La mitad de los especialistas en seguridad de la información oculta sus errores a la dirección

Un estudio reciente de la empresa ThinkCyber ha revelado que más de la mitad de los especialistas en seguridad de la información están preocupados por la protección digital en sus organizaciones. A pesar de la creciente popularidad de los programas de formación en ciberseguridad, muchos especialistas todavía temen informar a la dirección sobre sus errores.

En la encuesta, realizada por investigadores independientes en nombre de ThinkCyber, participaron 163 especialistas en ciberseguridad, incluyendo CISOs/CIOs, gerentes senior de seguridad y directores de TI. La encuesta se llevó a cabo en la conferencia Infosecurity Europe en Londres del 4 al 6 de junio de 2024.

Durante la encuesta, los encuestados hablaron sobre las violaciones de seguridad más comunes en sus organizaciones. Los principales problemas incluyen:

• Hacer clic en enlaces de correos electrónicos (53%);
• Transferencia de datos corporativos fuera de la empresa (53%);
• Compartir nombres de usuario y contraseñas con terceros (51%).

Además, una cuarta parte de los especialistas duda mucho que sus colegas cambien su comportamiento después de completar la formación en seguridad. El 60% de los encuestados admitió que en su empresa la formación se realiza solo una vez cada varios meses o incluso una vez al año.

Tim Ward, CEO de ThinkCyber, enfatiza la importancia de una formación regular y oportuna en ciberseguridad. Según él, la formación realizada en el momento de necesidad es más efectiva, ya que está relacionada con una situación actual específica y está dirigida a resolver tareas concretas.

Además, las organizaciones deben evaluar y monitorear el progreso de sus programas de seguridad. Casi la mitad de los especialistas en seguridad de la información encuestados (49%) admitieron que no pueden identificar claramente los grupos de usuarios que realizan acciones arriesgadas.

Entre otros resultados clave de la encuesta se destacan los siguientes:

• El 42% de los encuestados cree que su organización no puede demostrar la efectividad de la formación actual;
• La mitad de los encuestados dijo que no se sentiría segura dentro de la estructura de la empresa, informando a la dirección sobre sus errores;
• El 51% de los encuestados está seguro de que la mayoría de los empleados de su empresa están preocupados por la seguridad, mientras que el 39% cree que solo los gerentes y los equipos de seguridad se ocupan de esto.

Muchos especialistas en seguridad de la información reconocen que los programas de formación actuales son ineficaces. Es posible que esta sea la señal de que es hora de empezar a revisar los enfoques de formación que se utilizan ahora mismo. Los especialistas de ThinkCyber sugieren tres formas de mejorar la formación en seguridad:

1. Formación regular. Una formación anual no es suficiente. Es necesario realizar formación regular para mantener la relevancia del conocimiento y aumentar la conciencia de los empleados sobre las últimas ciberamenazas.

2. Presentación de información en pequeñas porciones. El 70% de los encuestados prefiere recibir formación en dosis pequeñas pero frecuentes. Este enfoque aumenta el compromiso y la efectividad de la formación.

3. Evaluación del nivel de compromiso y progreso. Es importante medir no solo el nivel de compromiso, sino también el impacto de la formación en el comportamiento real de los empleados para evaluar la efectividad de los programas de reducción de riesgos.

El problema de la ciberseguridad en las organizaciones modernas va más allá de las soluciones técnicas y requiere un enfoque integral. Crear una cultura de apertura donde los empleados no teman informar sobre errores, una formación regular y relevante, así como un monitoreo constante de la efectividad de las medidas tomadas, son elementos clave de una estrategia exitosa de protección digital.

Solo combinando innovaciones tecnológicas con el desarrollo de la conciencia y la responsabilidad de cada miembro del equipo, las organizaciones podrán construir un sistema de seguridad de la información verdaderamente confiable.