Demo

Estadísticas mundiales demuestran el fracaso de la concientización

Nicolás Bruna Blog No hay comentarios

Estadísticas mundiales demuestran el fracaso de la concientización

Al fin los reportes dicen algo nuevo

Como todos los años, los reportes de ciberseguridad dicen lo mismo: el problema de la ingeniería social es cada vez peor. Aburrido.

De todas formas, durante el período post pandemia, se comenzó a ver un nuevo dato: que esta cifra ha empeorado a pesar de los esfuerzos de concientización de las organizaciones.

El razonamiento es el siguiente: si las empresas están realizando campañas de concientización, y las estadísticas mundiales empeoran, significa que la concientización no sirve. Razonamiento lógicamente impecable, claro, si esa fuese la única variable que se considera.

Patitos vs Mapaches

Para ayudar a quienes realizan estos reportes a brindar información más apropiada a sus lectores, se lo vamos a explicar con patitos:

Supongamos un universo inicial de 10 patitos. Aparece un mapache y se los come.

Conclusión de los reportes: el 100% de los patitos mueren frente a la amenaza de un mapache.

Supongamos ahora otro universo con 10 patitos nuevos, de los cuales 3 son concientizados sobre el riesgo de ser comidos por un mapache. Ahora, cuando éste aparece, 2 de los 3 patitos concientizados logran prevenir la amenaza, y el mapache se come 8. Gracias a la concientización, el 80% de los patitos mueren frente a la amenaza de un mapache. Una mejora considerable frente al 100% del escenario anterior.

Conclusión de los reportes: concientizar permite disminuir el riesgo de ser comidos por un mapache.

Frente a esta realidad, más patitos comienzan a ser concientizados. Ahora tenemos 100 patitos concientizados, pero la familia ha crecido bastante, y tenemos 900 sin concientizar.

La cantidad de patitos concientizados creció considerablemente, de 3 a 100. Sin embargo, como la cantidad de patitos expuestos sin concientizar es proporcionalmente mayor al escenario anterior, ahora, más del 90% de los patitos mueren frente a la amenaza de un mapache.

Conclusión de los reportes: concientizar no sirve, porque la estadística empeoró.

Cómo interpretar las estadísticas actuales

Transformemos por un momento los patitos en organizaciones, y los mapaches en ciberdelincuentes.

Durante el 2020, a causa de la pandemia, aumentó de manera imprevista la cantidad de personas y organizaciones expuestas a Internet (y a sus riesgos).

Ahora bien, como ya sabemos, esta transformación digital – en muchos casos forzada – no se hizo en conjunto con un plan de ciberseguridad precisamente planificado. Como casi todo en nuestro ámbito, la ciberseguridad es algo que se tiene en cuenta después. Después del Phishing, después del Ransomware, después del incidente.

Si bien entre 2020 y 2022 aumentaron las organizaciones que incluyeron a las personas dentro de su estrategia de seguridad, las organizaciones que no realizan ningún tipo de concientización aumentaron en una proporción mayor.

Y por eso, cuando medimos el problema global de la ingeniería social, vemos que las estadísticas empeoraron frente a años anteriores.

Entonces, ¿concientizar sirve o no?

Como la cantidad de organizaciones que no realizan concientización es muy grande y está por ahora en constante crecimiento, concientizar tiene poco efecto en una estadística global.

Si hoy la estadística global indica que el 94% de los ciberataques comienzan con un ataque de Phishing, el hecho de concientizar en nuestra organización no va a mover ni siquiera un punto ese porcentaje.

Con los patitos pasa lo mismo. Si más del 90% de los patitos mueren frente a la amenaza de un mapache, por más que concienticemos a uno extra y no muera, poco va a modificar esta estadística.

Ahora bien, está en nosotros ser el patito que se salva, o el que es comido por el mapache. A mí me interesa la estadística global, pero me es mucho más relevante qué pasa en mi organización.

Resulta que las organizaciones que llevan adelante un plan de concientización utilizando un AMS cuentan con métricas que permiten demostrar el cambio de comportamiento de los usuarios y el desarrollo de una cultura organizacional más segura.

Estas organizaciones pueden gestionar el riesgo de la ingeniería social y conocer el grado de exposición actual, además de realizar acciones para llevarlo a un nivel aceptable.

Es decir, están en condiciones de ser el patito que sobrevive al mapache.

¿Y tu organización, qué tan preparada está frente a esta amenaza?

 


Compartir:

Compartir en LinkedIn Compartir en Pinterest Compartir en WhatsApp
Tags:
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta

Búsqueda

Entradas recientes

Nube de etiquetas

actualidad cambio de comportamiento capacitación y concienciación ciberseguridad ciso columnista invitado concienciación consejos hardening de usuarios ingeniería social phishing ransomware responsable de seguridad seguridad de la información smartfense