El 64 por ciento de las organizaciones en España afirman que sus empleados carecen de los conocimientos fundamentales sobre seguridad

El 94 por ciento de los encuestados españoles afirma que su equipo directivo apoya la formación de los empleados en materia de seguridad.

Fortinet, líder global de ciberseguridad que impulsa la convergencia de redes y seguridad, ha publicado su Informe anual sobre Concienciación y Formación en materia de Ciberseguridad 2024, en el que se destaca el crucial papel que juegan los empleados a la hora de gestionar y mitigar el ciber riesgo de su organización.

En relación al mismo, Acacio Martín, VP Fortinet Iberia destacó que “la formación en ciberseguridad se ha convertido en un imprescindible en las organizaciones españolas y es impulsada directamente por la alta dirección que la sitúa como una de sus prioridades. La privacidad y la seguridad de los datos son los dos aspectos más presentes en las formaciones que las organizaciones ofrecen a sus empleados, lo que confirma la importancia de que estos se conviertan en la principal línea de defensa frente a los ataques”.

Por su parte, John Maddison, Chief Marketing Officer en Fortinet confirmó que “los cibercriminales aprovechan nuevas tecnologías como la IA para aumentar la sofisticación de sus ataques, por lo que es cada vez más importante que los empleados actúen como una sólida primera línea de defensa. El informe de Fortinet subraya la importancia de crear una cultura de ciberseguridad y la necesidad de desplegar medidas de concienciación y formación en seguridad en toda la organización. Estas conclusiones confirman la importancia de nuestro reconocido servicio Security Awareness and Training para empresas, que incorpora la versión educativa gratuita disponible para escuelas de primaria y secundaria de todo el mundo, y su papel en el fortalecimiento de la ciber resiliencia”.

Las principales conclusiones del informe son las siguientes:

•   El uso de la IA por parte del cibercrimen para incrementar el volumen y la velocidad de sus ataques, lleva a considerar a los responsables empresariales que estas amenazas serán más difíciles de detectar para sus empleados. Más del 60% de los encuestados a nivel global y del 70% de los españoles, esperan que haya un mayor número de empleados que sean víctimas de ataques en los que los ciberdelincuentes utilicen IA. Sin embargo, la buena noticia es que la mayoría de los encuestados a nivel global (80%) y en España (88%) también confirman que el conocimiento general sobre que el aumento de los ataques que aprovechan la IA lleva a que sus organizaciones se muestren más receptivas a implementar políticas de  concienciación y formación en este ámbito.

•   Los empleados pueden ser la primera línea de defensa de una organización, pero a los directivos les preocupa cada vez más que sus empleados no estén concienciados en materia de seguridad. Casi el 70% de los encuestados cree que sus empleados carecen de conocimientos críticos sobre ciberseguridad. En España, el porcentaje se reduce ligeramente, hasta el 64%.

•   Los directivos reconocen la importancia de la formación en materia de concienciación sobre seguridad, pero consideran que algunos aspectos específicos hacen que algunos programas de formación sean más eficaces que otros. Tres cuartas partes de los directivos afirman que planifican sus campañas de concienciación en materia de seguridad, con contenidos mensuales (34%) o trimestrales (47%). En España la periodicidad es trimestral con un 58%, frente a solo un 12% que realiza una programación mensual. Los ejecutivos a escala global también señalan que los contenidos de alta calidad desempeñan un papel destacado en el éxito o el fracaso del programa.

Las últimas amenazas contra las que deben luchar los empleados

Uno de los principales usos de la IA por parte de los ciberdelincuentes es para que los esquemas de phishing sean más creíbles y difíciles de detectar. Dado que el phishing se dirige directamente a los usuarios a nivel individual, las organizaciones se centran en gran medida en enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques.

•   El empleado sigue siendo un objetivo atractivo. Más del 80% de las organizaciones a nivel global sufrieron ataques el año pasado, como malware, phishing y ataques a contraseñas dirigidos directamente a particulares.

•   Con la evolución de los ataques, la concienciación y la formación en materia de seguridad serán cada vez más importantes. El 96% de los encuestados afirman que su equipo directivo apoya la formación de los empleados en materia de seguridad. En España el porcentaje es ligeramente superior, con un 94%.

•   Un 90% de los encuestados en España afirman que la prevención de phishing está incluida en sus programas y planes de formación.. Otras prioridades son la privacidad, con un 42%, situando la seguridad de datos en un 34%.

Los empleados forman una sólida primera línea de defensa contra los ataques

Aunque los equipos de seguridad y TI son cruciales para proteger a las organizaciones contra las ciberamenazas, los empleados también desempeñan un papel importante en la prevención de las brechas de seguridad:

•   Los empleados se muestran abiertos a la formación en ciberseguridad. La mayoría de los directivos (86% a nivel global y 92% en España) afirma que sus empleados valoran positivamente las medidas de concienciación y formación en materia de seguridad.

•   Las organizaciones obtienen resultados positivos cuando implantan programas de formación y concienciación en seguridad. Una abrumadora mayoría de directivos (89%) afirma que su organización experimentó al menos cierta mejora en su postura de seguridad tras la implantación de medidas de concienciación y formación en seguridad. En España el porcentaje registrado es ligeramente inferior, con un 86%. A nivel global ni uno solo de los encuestados afirma no haber observado ninguna mejora, mientras que en nuestro país la cifra se limita a un 2%.

No todos los programas de formación en cibersensibilización son iguales

La mayoría de las organizaciones se muestran motivadas para introducir políticas de concienciación y la formación en materia de seguridad en función de su experiencia por haber sufrido brechas de seguridad o tener conocimiento de las amenazas en su industria o sector.

Casi todos los responsables de la toma de decisiones a nivel global (96%) y en España (94%) afirman que su equipo directivo apoya la implantación de formación para concienciar a los empleados en materia de ciberseguridad.

Según el informe de este año, el 97% de los directivos cree que una mayor concienciación de los empleados reforzaría la postura de ciberseguridad de la organización. Sin embargo, los encuestados también coinciden en que hay aspectos clave de los programas de formación que son importantes para la eficacia.

•   El contenido atractivo es primordial. Aunque el 86% de los responsables de la toma de decisiones a nivel global y el 90% de los españoles afirma estar satisfecho con su actual solución de formación y concienciación en materia de seguridad, la mayor queja entre los que no están satisfechos es la falta de contenidos atractivos.

•   El factor tiempo es clave. Para evitar la fatiga formativa teniendo en cuenta la cantidad de tiempo que se requiere de los alumnos. Exigir demasiado tiempo a los empleados puede sobrecargarlos. Entre 1,1 y 2,0 horas es el tiempo más comúnmente propuesto, con tres horas como media.

Formar a los empleados

Un solo incidente de violación tiene repercusiones significativas para una empresa. Es vital crear una estrategia de defensa triple que incluya concienciación y formación en seguridad para todos los empleados, conocimientos técnicos de ciberseguridad para el personal de TI y de seguridad, y soluciones de seguridad avanzadas para la red.

Más allá de enseñar a los empleados qué hacer cuando se encuentran con amenazas, la concienciación y la formación sientan las bases para crear una cultura de ciberseguridad en toda la organización. Fortinet ofrece su servicio de Concienciación y Formación en Seguridad a las empresas que desean desarrollar una fuerza de trabajo con ciberconciencia. Diseñado por los mejores formadores del Instituto de Formación de Fortinet, este servicio cubre una amplia gama de temas, ofrece oportunidades de personalización de contenidos y refuerza lo aprendido con recordatorios y comprobaciones periódicas. Las organizaciones que utilizan el servicio también tienen acceso a una variedad de cuadros de mando para realizar un seguimiento del progreso de los alumnos y la presentación de informes para hacer frente a los seguros cibernéticos y las necesidades de cumplimiento.