Ya sea descargando un archivo adjunto de correo electrónico plagado de malware o enviando sus datos de inicio de sesión en sitios web dañinos, el hecho de que un empleado sea víctima de una estafa de phishing es una situación que puede quitar el sueño a los profesionales de TI y a los propietarios de empresas.
Un enfoque cada vez más eficaz para reducir este riesgo es la formación de los empleados en materia de phishing, pero ¿en qué consiste exactamente este tipo de formación?
En este artículo, discutiremos:
- ¿Qué es la formación sobre phishing?
- ¿Por qué es importante la concienciación sobre el phishing?
- ¿Cuáles son los diferentes tipos de formación sobre phishing?
- Cómo empezar con el enfoque correcto
¿Qué es la formación sobre phishing?
La formación para la concienciación sobre el phishing es la educación continua que se imparte a los empleados para que comprendan cómo funciona el phishing, cómo detectar los signos reveladores de un ataque y qué acciones seguras deben tomar cuando se sientan atacados.
Muchas empresas realizan periódicamente cursos de concienciación sobre el phishing para evitar que los usuarios pongan en peligro sus credenciales, descarguen archivos adjuntos maliciosos o envíen información confidencial a un suplantador.
¿Por qué es tan importante la concienciación sobre el phishing?
Existe la idea errónea de que las estafas de phishing son fáciles de detectar y que sólo las personas sin conocimientos técnicos o ingenuas pueden ser víctimas. También existe la falsa seguridad de confiar demasiado en la tecnología para evitar el phishing o pensar que "es poco probable que nuestra empresa sea un objetivo".
La verdad es que los ataques de phishing siguen funcionando y aumentan su prevalencia y sofisticación cada año, con una combinación de intentos de "rociar y rezar" mezclados con ataques de spear-phishing hiperdirigidos.
Actualmente hay casi 75 veces más sitios de phishing que de malware y casi el 36% de las filtraciones de datos están relacionadas con el phishing.
Google Safe Browsing / Verizon DBIR 2021
Con este tipo de amenazas, es vital que los empleados reciban formación sobre cómo detectar e informar de los ataques de phishing antes de que puedan causar daños financieros, operativos o de reputación.
Después de todo, sólo hace falta un intento de phishing exitoso para causar estragos.
¿Cuáles son los diferentes tipos de formación sobre el phishing?
Existen muchos tipos de canales, formatos y técnicas para impartir este tipo de formación, pero los más comunes son:
- Formación por ordenador
- Ejercicios de phishing simulados
- Formación en el aula
Formación por ordenador
Muchos de nosotros recordamos los días en los que nos sentábamos en el trabajo en presentaciones de PowerPoint de una hora de duración para concienciarnos sobre la seguridad, mirando al instructor con la boca abierta mientras transmitía una lista de consejos sobre "cómo mantenerse seguro en Internet".
Afortunadamente, la formación se ha vuelto más eficaz (y menos dolorosa) desde entonces.
La formación en materia de phishing por ordenador es más o menos lo que dice la lata: en lugar de asistir a una sesión presencial, los empleados pueden seguir los cursos en sus ordenadores a través de un enfoque de "eLearning" modernizado.
Este es un ejemplo de vídeo de formación de la plataforma automatizada de formación en seguridad de usecure, uLearn:
La formación de concienciación sobre el phishing basada en ordenador tiene muchas ventajas, entre ellas
- Es rápida: la formación por ordenador suele incluir cursos cortos que pueden completarse en minutos, y muchos estudios demuestran que las sesiones de formación más cortas contribuyen a mejorar la retención de conocimientos.
- Es atractiva - Las soluciones modernas de formación de concienciación sobre el phishing suelen incluir vídeos y contenido interactivo, que pueden ser potentes herramientas de aprendizaje para ayudar a los usuarios a comprender los riesgos con ejemplos del mundo real.
- Es medida - La formación por ordenador facilita la comprobación de la información que los usuarios han retenido o no. A menudo, un rápido cuestionario de seguimiento es todo lo que se necesita para medir cuánta información han absorbido.
- Puede completarse en cualquier momento - Con las reuniones, las vacaciones anuales y los días de enfermedad, intentar reunir a todo el personal en la misma presentación puede ser una pesadilla. La formación por ordenador puede completarse a menudo cuando el usuario tiene tiempo, lo que evita que se pierdan sesiones o que se obstaculice la productividad.
Ejercicios de phishing simulados
Si la formación por ordenador es la más adecuada para concienciar a los empleados sobre el phishing, los ejercicios de simulación de phishing son los más adecuados para ofrecer al personal una experiencia de aprendizaje verdaderamente práctica.
Un ejercicio de simulación de phishing para empleados se utiliza para evaluar qué usuarios son susceptibles de sufrir un ataque, dándoles una experiencia real mientras se analiza cómo reaccionarían en un escenario de phishing.
Para ello, se suele replicar un correo electrónico de phishing bien elaborado y se rastrea qué personas introducen sus datos de acceso o descargan un archivo adjunto "dañino".
Este es un ejemplo de una plantilla de phishing tomada de la herramienta de phishing simulado de usecure, uPhish:
Parece un correo electrónico bastante legítimo, ¿verdad? El 39% de los empleados que participaron en esta simulación pensaron que sí:
Estas son algunas de las ventajas de los ejercicios de phishing simulado:
- Sirven de base para la formación. Analizar qué empleados son vulnerables al phishing al comienzo de su formación por ordenador te proporciona una métrica útil para medir el progreso en una fecha posterior.
- Poner de manifiesto dónde se necesita formación adicional. El despliegue de simulaciones periódicas permite a las empresas detectar a los usuarios que corren el riesgo de ser víctimas y que pueden necesitar una formación adicional.
- Medir el impacto de la formación. El despliegue de simulaciones de phishing antes y después de la formación de los empleados proporciona una visión útil de la eficacia de su formación de concienciación.
Formación presencial
Algunas empresas, que son una forma de formación de la vieja escuela, siguen utilizando las sesiones presenciales para impartir formación contra el phishing. Sin embargo, hay algunas diferencias clave entre este enfoque y el enfoque basado en la informática:
- Puede ser más caro. A menudo se necesita un instructor especializado en formación sobre seguridad para estas sesiones, cuyo coste puede variar.
- Puede requerir mucho tiempo. Estas sesiones requieren tiempo de preparación y a menudo necesitan que todos los empleados estén presentes al mismo tiempo (lo que puede ser un dolor de cabeza logístico, por decir algo).
- La formación es menos específica. La formación presencial suele impartirse a través de presentaciones de PowerPoint con un estilo programático y de marcación de casillas, lo que significa que todo el personal recibe el mismo material independientemente de sus conocimientos, su función o su antigüedad.
Los estudios han indicado que la retención de ciertos temas puede ser hasta un 250% mayor con la formación basada en ordenador, en lugar de un modelo basado en el aula.
Merrill Lynch, El libro del conocimiento
Empezar con el enfoque adecuado
Habiendo ayudado a empresas de todo el mundo a reducir el riesgo cibernético humano de sus empleados, usecure sabe lo que se necesita para impulsar realmente la concienciación de los empleados sobre el phishing.
Por ello, siempre instamos a las empresas a incluir la concienciación sobre el phishing en un programa de formación sobre seguridad para empleados más amplio que abarque una amplia gama de temas de seguridad, por ejemplo, la higiene de las contraseñas, la ingeniería social y el manejo de datos de forma segura.
Obtén más información sobre cómo poner en marcha una formación eficaz en materia de phishing y concienciación sobre la seguridad con la guía gratuita 2021 de usecure que aparece a continuación, o prueba los cursos de formación en materia de concienciación sobre la seguridad de usecure con una prueba gratuita de 14 días.
-> La guía para poner en marcha una formación eficaz en materia de concienciación cibernética
