Inicio
Inicio
Solicite una demostración

ROI de la formación en concienciación sobre seguridad: Parte 3 de 3

Compartir
  • Roy Zur, Director General de ThriveDX para empresas

En nuestras dos series anteriores sobre el ROI de la formación en concienciación sobre seguridad, hemos ofrecido una visión general de por qué la formación en concienciación sobre seguridad debe ser una prioridad (Parte 1). la formación para la concienciación en materia de seguridad debe ser una prioridad (Parte 1)teniendo en cuenta los beneficios monetarios, junto con formas de impactar positivamente y cambiar la concienciación de seguridad de los empleados (Parte 2) en su propia empresa.

En ThriveDX hemos pasado el último año adaptando nuestra misión y nuestras soluciones al cambiante panorama de la ciberseguridad, en el que el riesgo humano sigue siendo la principal amenaza para las empresas de todo el mundo. Con este fin, hemos convertido la seguridad del factor humano en una prioridad, yendo más allá de la concienciación para proporcionar una formación que realmente tenga un impacto en el comportamiento de los empleados. Como señaló Gartner en su informe informe 2022 Top Trendsel hecho de que las filtraciones de datos sigan asolando a las organizaciones demuestra que la formación tradicional en materia de seguridad no funciona.

Roy Zur, ROI de la formación sobre concienciación en materia de seguridad

Resumen

En la tercera parte de nuestra serie sobre el ROI de la formación en concienciación sobre seguridad, me gustaría explorar en qué se han quedado cortos los programas tradicionales de concienciación sobre seguridad y proponer un plan sobre cómo podemos enderezar el rumbo para lograr un cambio real, creando empresas más seguras y, en última instancia, un mundo digital más seguro para todos nosotros. Como leerá, unos pequeños cambios pueden tener grandes repercusiones.

Panorama general: El ROI en la cibercultura en evolución

La formación en materia de seguridad ha evolucionado mucho desde principios de la década de 2000. En aquella época, la mayoría de las empresas no dependían únicamente de datos digitales y sistemas informáticos para dirigir sus negocios. Los virus informáticos que podían replicarse y propagarse a otros ordenadores eran la principal preocupación, por lo que la atención se centraba en la tecnología que podía mantener seguros los datos importantes. En gran medida se pasó por alto la contribución de los seres humanos a la ciberseguridad.

Una década más tarde, las empresas dejaron de depender de los ordenadores de sobremesa y los procesos basados en papel para adoptar los ordenadores portátiles, los teléfonos inteligentes y otras tecnologías móviles. Los "simples" planes de piratería de mediados de la década de 2000 y principios de 2010 empezaron a dar paso a la monetización de la información y los datos, a medida que los ciberdelincuentes aprendían que podían obtener beneficios robando y vendiendo información personal en línea. Como resultado, los ataques a organizaciones en sectores de infraestructuras críticas pasaron de menos de diez en 2013 a casi 400 en 2020, un aumento del 3900% (Gartner).

Debido a estos aumentos, la ciberseguridad se está convirtiendo en un asunto de la junta directiva. En su 2022 Gartner Board of Directors Surveyel 88% de los miembros de los consejos de administración clasificaron la ciberseguridad como un riesgo empresarial, mientras que sólo el 12% la calificaron de riesgo tecnológico. Los líderes de seguridad, incluidos los CIO y los CISO, son ahora responsables de la ciberseguridad, y de cualquier brecha resultante, en un mínimo del 85% de las organizaciones (enlace a la encuesta de Gartner 2021).

Hoy en día, los ciberataques que se aprovechan del factor humano son frecuentes y cada vez más sofisticados, lo que demuestra la necesidad vital de concienciación en materia de seguridad. De hecho, entre el 93% y el 97% de los ciberataques se producen por negligencia humana, con un coste medio de 4,35 millones de dólares por brecha (IBM), frente a los 3,66 millones de dólares de hace sólo cuatro años (Informe mundial 2022 sobre el coste de las amenazas internas). Con dos tercios de las empresas que informan de entre 21 y 40 incidentes al año, las pérdidas financieras para una empresa pueden aumentar rápidamente.

ciberdelincuencia

Un vistazo al análisis coste-beneficio

Un análisis honesto de la relación coste-beneficio de la formación para la concienciación en materia de seguridad podría ser más o menos así: Si se resta el gasto de un curso de concienciación sobre seguridad, que asciende a una media de 50.000 dólares, se ahorran 4,3 millones de dólares, ya que el coste medio de una violación de datos es de 4,35 millones de dólares(IBM). 

Osterman Research desglosa los costos directos antes y después de la capacitación de concientización de seguridad para una empresa de más de 1000 empleados como $ 488,80 antes y $ 110,21 después. Su investigación también encontró que el presupuesto general de capacitación de concientización de seguridad en 2018 fue de $ 137 por empleado, creciendo a $ 156 por empleado en 2019, con el empleado promedio gastando menos de 18 minutos en capacitación por mes a mediados de 2018. Este número saltó a casi 23 minutos en 2019 y 26 minutos a mediados de 2020.

El lado del ahorro de la ecuación incluye menores costes de reparación de incidentes. Menos cuantificables son los costes potencialmente devastadores de la pérdida de clientes, el daño a la valoración bursátil y la reputación de la empresa, las multas reglamentarias, etc.

¿Qué probabilidades hay de que se produzca un ataque?

Las probabilidades de que un comportamiento arriesgado por parte de un empleado pueda iniciar una brecha de seguridad en su empresa no han hecho más que aumentar en los últimos años, según la investigación sobre ROI publicada en el último informe de Mimecast Estado de la seguridad del correo electrónico de Mimecast. Sólo los ataques de phishing han aumentado un 63% desde que comenzó la pandemia del COVID-19 y los empleados hacen clic en tres veces más correos electrónicos maliciosos que antes, a menudo bajando la guardia mientras trabajan desde casa.

Por qué fracasan los esfuerzos de ciberseguridad

La formación para la concienciación en materia de seguridad no sólo trata de evitar amenazas y violaciones de la seguridad, sino también de evitar las importantes pérdidas que pueden derivarse de la ausencia de una formación adecuada. A la hora de decidir dónde, cuándo y cómo invertir en preparación en materia de seguridad, es fundamental asegurarse de que sus empleados disponen de la información y los conocimientos necesarios para defenderse mejor de los ataques.

Desafortunadamente, solo el 25% de las organizaciones asigna dos o más horas a la formación formal en phishing anualmente y solo el 20% realiza más de siete simulaciones al año (Estudio de ThriveDX sobre concienciación global en ciberseguridad 2022).

Los enfoques tradicionales de la formación para la concienciación en materia de seguridad han demostrado ser una sangría de recursos, tiempo y dinero. EnPor eso es tan importante invertir en la formación adecuada sobre concienciación en materia de seguridad, en todos los niveles de la organización. En ThriveDX, con nuestras Soluciones integrales de ciberseguridad para el factor humanovamos más allá de la concienciación con nuestra formación para incluir un enfoque holístico. Como se ha señalado anteriormente en esta serie, y se subraya en el estudio de ThriveDX, abordar el factor humano es lo que proporciona un mayor retorno de la inversión en ciberseguridad de una organización.

La formación en concienciación sobre seguridad de ThriveDX es una formación sobre el factor humano que ofrece soluciones pertinentes y realistas, totalmente personalizables, múltiples tipos de simulaciones de ataques, informes en tiempo real y total privacidad de los datos. Es lo que hace del modelo de formación adaptativa continua de ThriveDX una solución galardonada.

Los pequeños cambios pueden reportar grandes beneficios

Todos los departamentos de su organización corren el riesgo de sufrir ciberataques debido a una formación inadecuada en ciberseguridad, una cultura de ciberseguridad deficiente y vulnerabilidades relacionadas con antiguos empleados. Por lo tanto, su formación en seguridad debe centrarse en promover el cambio de comportamiento a todos los niveles.

Sólo en la C-Suite el 76% de los directores generales admiten que se saltan los protocolos de seguridad para hacer las cosas más rápido, sacrificando la seguridad por la velocidad. He aquí cómo incluso pequeños cambios de comportamiento en una sola área pueden reducir los riesgos cibernéticos y proteger mejor su negocio.

  • Actualmente se tarda una media de 277 días en identificar y contener una violación de datos. Una mejor formación en materia de seguridad dentro de los departamentos de TI y Seguridad, que promueva la identificación de incidentes y las medidas de mitigación, puede ayudar a contener una filtración en 200 días o menos, con un ahorro medio de 1,12 millones de dólares.

  • La creación de un equipo de Respuesta a Incidentes que compruebe periódicamente la IR de su empresa puede suponer un ahorro medio de 2,66 millones de dólares en costes por infracciones.

  • Las credenciales robadas o comprometidas no sólo son la causa más común de una violación de datos, sino que, con 327 días, son las que más tardan en identificarse. Con una formación continua y adaptable para los empleados de RR.HH., su empresa tiene el potencial de ahorrar 150.000 dólares en caso de que se produzca una filtración.

Las cifras son cortesía de IBM.

El resultado final

La seguridad es responsabilidad de todos. Basta con que un empleado haga clic en un enlace malicioso, vea un archivo adjunto infectado o comparta información confidencial para que toda su empresa se vea en peligro.

La buena noticia es que el 58% de las organizaciones encuestadas por ThriveDX afirman que ya cuentan con normas de concienciación integradas en sus estrategias de TI y el 65% desea ampliar sus programas de concienciación en el futuro. La ciberseguridad va por buen camino.

Según un nuevo informe de investigación de mercado publicado por Global Market Estimates, se prevé que el mercado mundial de formación en concienciación sobre ciberseguridad crezca de 1.854,9 millones de dólares en 2022 a 12.140,0 millones de dólares en 2027, y se espera que crezca a una CAGR del 45,6% de 2022 a 2027. El informe cita la tendencia al alza de la penetración de Internet en los países en desarrollo y subdesarrollados; la creciente adopción de gadgets vestibles, smartphones y dispositivos extraíbles; el aumento de las estafas relacionadas con el COVID-19; las guerras recientes; los correos electrónicos falsos; y los ataques maliciosos a pymes y empresas de nueva creación como algunos de los factores que impulsan el crecimiento del mercado.

En resumen

En pocas palabras, la formación en concienciación sobre seguridad sostenible puede proporcionar un ROI significativo y amortizarse en poco tiempo. Por una inversión relativamente pequeña, usted ayuda a garantizar que su cortafuegos humano esté preparado para reconocer y responder a las amenazas más recientes. Para obtener más información sobre los programas de formación en seguridad empresarial de ThriveDX, visítenos aquí

Roy Zur CEO de ThriveDX para empresas

Roy Zur, emprendedor en serie, es fundador y consejero delegado de la división empresarial de ThriveDX, la empresa educativa global comprometida con la transformación de vidas a través de la formación y las soluciones de competencias digitales. En agosto de 2021, ThriveDX adquirió Cybint Solutions, donde también ocupó el cargo de consejero delegado desde que fundó la empresa en 2014. Roy es un veterano de 15 años de la cacareada Unidad 8200 de las Fuerzas de Defensa israelíes, donde sirvió como Mayor, lo que le inculcó desde el principio una pasión por abordar el "factor humano" de la formación en ciberseguridad - actualmente la vulnerabilidad # 1 en todo el panorama de amenazas.   

Además de dirigir la visión de la División Empresarial de ThriveDX, Roy es profesor adjunto de gestión de riesgos en ciberseguridad en IDC Herzliya, en Israel. También es fundador y presidente del Instituto Israelí de Política y Legislación, organización sin ánimo de lucro, y miembro del Consejo Empresarial de Forbes.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido