Por qué los ataques de phishing y ransomware no son una prioridad para las juntas directivas

Un informe de la empresa de software de gestión de amenazas internas Egress encontró algunas conclusiones sorprendentes cuando habló con líderes de TI: A pesar de la amenaza extendida y muy grave del ransomware, muy pocas juntas directivas lo consideran una prioridad máxima.

El 84% de las organizaciones informaron haber sido víctimas de un ataque de phishing el año pasado, según Egress, y de ellas, el 59% resultó infectado con ransomware como resultado. Si se suman el 14% de las empresas que dijeron que no fueron víctimas de un ataque de phishing, aún se llega a alrededor del 50% de todas las organizaciones que fueron afectadas por ransomware en 2021.

Egress dijo que sus datos muestran que ha habido un aumento del 15% en los ataques de phishing exitosos en los últimos 12 meses, siendo la mayoría de los ataques utilizando enlaces y adjuntos maliciosos. Estos métodos no son nuevos, pero un aumento del 15% en los ataques exitosos significa que algo no está funcionando.

VER: Violación de contraseña: por qué la cultura popular y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

A pesar del aumento en los intentos exitosos de phishing y a pesar de que más de la mitad de esos ataques conducen a infecciones de ransomware, solo el 23% de las juntas directivas consideran el ransomware como una prioridad máxima. Además, el 52% de las organizaciones asignan menos de una cuarta parte de su presupuesto de seguridad para enfrentar el phishing, a pesar de que el 84% de las organizaciones fueron víctimas de dichos ataques en 2021.

¿Por qué existe tal desconexión?

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. El estado de la lucha contra el phishing
  2. Cómo cerrar la brecha de efectividad

El estado de la lucha contra el phishing

"A pesar de que el 83% de nuestros encuestados destina una parte de su presupuesto de seguridad a medidas de lucha contra el phishing, está claro a partir de datos anteriores en este informe que muchos ataques todavía logran pasar", dice el informe.

Si te preguntas qué están haciendo exactamente las empresas, Egress dijo que el 72% compró un seguro cibernético, el 64% contrató asesoría legal y el 55% invirtió en servicios de investigación forense. Además, el 98% de las organizaciones dijeron que realizaron capacitación en contra del phishing durante el último año, y el 55% dijo que lo hizo más de una vez al año.

El seguro y la capacitación son donde comienza a aparecer una brecha entre las ideas y la realidad, sugiere el estudio. En el caso del seguro, que muchos consideran como un elemento disuasorio, suele ocurrir lo contrario. "Los pagos a los ciberdelincuentes, especialmente para exigencias de ransomware, a menudo financian más ataques y ponen a las organizaciones en un mayor riesgo futuro de ataques recurrentes", dice el informe.

Egress dijo que los ciberdelincuentes a menudo buscan empresas con seguro cibernético, las atacan y establecen el rescate justo por debajo del límite de pago de su aseguradora, asegurándose así de obtener dinero e incentivando a más empresas a optar por el seguro e ignorar el problema. "Algunas empresas creen que la mejor idea es pagar y luego al menos las dejarán en paz en el futuro. Lamentablemente, esto es un pensamiento utópico", dijo Egress.

En cuanto a la capacitación, el informe encontró que el 45% de las organizaciones cambian de proveedor de capacitación anualmente, lo que según Egress sugiere que están buscando una capacitación más efectiva o que sienten que la capacitación existente no funciona.

Jack Chapman, vicepresidente de inteligencia de amenazas en Egress, dijo que no es sorprendente que los ataques sigan siendo exitosos a pesar de la capacitación. "La verdad es que la capacitación en ciberseguridad tiene limitaciones en su efectividad. Es mucho esperar que las personas estén constantemente vigilantes ante la amenaza del phishing", dijo Chapman.

Cómo proteger tu computadora de los virus: métodos y consejos

Cómo cerrar la brecha de efectividad

La capacitación no funciona, el seguro incentiva a los ciberdelincuentes, las tasas de éxito de los ataques están aumentando y las juntas directivas parecen no preocuparse. Todo esto está llevando a una brecha seria entre la grave amenaza del phishing y el ransomware, y las respuestas en cuanto a actitud y presupuesto que reciben los líderes de TI.

Chapman dijo que las juntas pueden tener una serie de razones para ignorar la amenaza del phishing y el ransomware. Algunas, dijo, están enterrando la cabeza en la arena, mientras que otras confían en que el seguro se encargará del problema. Otros creen que no son lo suficientemente conocidos, grandes o están en una industria lo suficientemente lucrativa como para ser un objetivo, dijo Chapman.

VER: Google Chrome: consejos de seguridad y de interfaz de usuario que debes conocer (Newsmatic Premium)

"Existe una falta de conciencia sobre cómo operan las pandillas de ransomware que alimenta esa desconexión: las personas que integran las juntas directivas pueden no tener necesariamente un conocimiento íntimo de los problemas de ciberseguridad, por lo que es posible que no entiendan la gravedad y la magnitud del problema", dijo Chapman.

Cerrar esa desconexión será una prioridad clave para los líderes de TI en 2022, dijo Chapman. Él dice que los líderes de TI y seguridad saben que sus juntas directivas no están tomando en serio el ransomware. Desafortunadamente para ellos, es su responsabilidad lograr que sus miembros de la junta comprendan la amenaza.

"Se trata de hacer que se sienta 'real' para las personas que podrían no estar completamente conscientes de la gravedad del problema y la probabilidad de un ataque. Realizar simulaciones de roles para ayudarles a comprender el daño potencial causado por el ransomware y educar a la junta directiva sobre los impactos del mundo real, y cómo no se puede solucionar necesariamente con un pago de seguro", dijo Chapman.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Por qué los ataques de phishing y ransomware no son una prioridad para las juntas directivas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.