El retorno de la inversión de la formación en concienciación sobre seguridad

Las soluciones de seguridad basadas en tecnología, como los cortafuegos, las soluciones de detección y respuesta de endpoints, los gateways de correo electrónico seguros, los antivirus de escritorio, el malware basado en la nube y el filtrado de spam son elementos esenciales de una infraestructura de seguridad. Sin embargo, muchos responsables de la toma de decisiones descuidan otro elemento importante que es necesario para mantener seguras las redes, los datos, las aplicaciones y los recursos financieros: los seres humanos que interactúan con ellos.

La formación en concienciación sobre seguridad está diseñada para reforzar la capacidad de los usuarios para reconocer amenazas como intentos de phishing, solicitudes inusuales que pretenden provenir del director ejecutivo de su empresa, publicidad maliciosa en páginas web y una serie de otras amenazas diseñadas para engañar a los usuarios para que hagan algo que puede causar estragos en una organización. Los usuarios bien formados en cuestiones de seguridad serán más escépticos y más cuidadosos a la hora de abrir correos electrónicos, hacer clic en enlaces de redes sociales o visitar páginas web sin comprobar primero si hay pistas sobre su validez.

Este informe técnico analiza los resultados de una encuesta exhaustiva realizada a organizaciones por Osterman Research durante mayo y junio de 2019. Este informe analiza la justificación financiera para implementar un programa sólido de capacitación en concientización sobre seguridad y demuestra el importante retorno de la inversión (ROI) que puede resultar.

Ver también: Planificación para las deficiencias de Office 365

Ideas clave de la investigación de Osterman

Los responsables de la toma de decisiones en materia de seguridad están preocupados por una amplia gama de cuestiones

La investigación concluyó que los responsables de la toma de decisiones y las personas influyentes están preocupados por una amplia gama de problemas de seguridad, en particular los ataques de phishing, el malware (incluido el ransomware) y las violaciones de datos sensibles o confidenciales. Las organizaciones más grandes tienden a estar más preocupadas por estos problemas que las más pequeñas.
Los presupuestos de seguridad están aumentando

Los presupuestos de seguridad de la gran mayoría de las organizaciones han ido aumentando con el tiempo. Curiosamente, en muchas organizaciones, una proporción relativamente pequeña del presupuesto total de seguridad se destina a tecnologías antiphishing, a pesar de que el phishing se considera la principal preocupación general.

Pero los presupuestos para la formación en concienciación sobre seguridad están aumentando aún más rápido.

En términos de empleados y usuarios de correo electrónico, los presupuestos destinados a concienciación sobre seguridad están creciendo a un ritmo significativamente más rápido que los presupuestos generales de seguridad. El crecimiento de estos presupuestos coincide con un aumento significativo de los minutos mensuales de formación sobre concienciación sobre seguridad que reciben los usuarios, de un promedio de 17,6 minutos a mediados de 2018 a 26,0 minutos previstos para mediados de 2020.

Los tomadores de decisiones aún consideran que las soluciones basadas en tecnología son superiores

Descubrimos que, en el caso de los ataques de phishing y de violación de correo electrónico empresarial (BEC), los responsables de la toma de decisiones generalmente consideran que la capacitación es una mejor manera de lidiar con estas amenazas. Sin embargo, en el caso de otros tipos de amenazas de seguridad, las soluciones basadas en tecnología generalmente se consideran superiores a la capacitación en concienciación sobre seguridad.

La mayoría de los usuarios no reciben suficiente formación

Casi un tercio de los usuarios reciben formación una vez al año o incluso con menos frecuencia. Otro 29 por ciento recibe formación sobre concienciación en seguridad solo dos o tres veces al año. Solo el 39 por ciento de los usuarios recibe formación trimestralmente o con mayor frecuencia.

El entrenamiento mejora drásticamente la capacidad de los usuarios para reconocer amenazas.

Antes de la formación en concienciación sobre seguridad, los equipos de TI y seguridad tenían relativamente poca confianza en la capacidad de sus usuarios para reconocer distintos tipos de amenazas. Sin embargo, después de que los usuarios recibieron la formación, el nivel de confianza en sus conocimientos y habilidades aumentó drásticamente, hasta triplicarse en algunos casos.

Descargue este informe técnico, patrocinado por Mimecast con investigación realizada por Osterman Research. Obtenga más información sobre la capacitación en concientización sobre seguridad y cómo las empresas están abordando las amenazas a la seguridad.