Click here for English

DENVER – La formación en ciberseguridad de los empleados de la ciudad reduce la posibilidad de que un empleado sea víctima de delitos cibernéticos de phishing, pero una formación más frecuente e integral podría reducir aún más ese riesgo y proteger mejor la seguridad de los datos de la ciudad, según un nuevo reporte de auditoría publicado este mes por el Auditor de Denver, Timothy M O’Brien, Contador Público Certificado.

“Pusimos a prueba a miles de empleados de la ciudad para ver qué tan bien responden ante un delito informático que es común, dijo el Auditor O’Brien. “Las lecciones que aprendimos podrían ser beneficiosas para cualquier empleador que busque protegerse contra los ciberataques”.

El phishing es un tipo de delito informático en el que un agente perverso, que se hace pasar por una persona o empresa legítima, intenta atraer a una persona u organización desprevenida para que comparta información confidencial o se descargue un programa informático malicioso como un programa de chantaje. La información o el programa informático pueden usarse para acceder a sistemas o cuentas importantes, lo que puede resultar en robo de identidad, pérdida de datos y pérdidas financieras.

El Apéndice B de nuestro reporte de auditoría proporciona una lista completa de indicios frecuentes que ayudan a detectar un correo electrónico de phishing para que cualquier persona del público los tenga en cuenta al abrir un correo. Estas pistas incluyen errores ortográficos y gramaticales, falsificaciones de dominio, imitación de logotipos o identidad de marca obsoleta, mensajes que crean una sensación de urgencia, saludos genéricos, ofertas “demasiado buenas para ser verdad” o archivos adjuntos inesperados.

“Los cibercriminales solo tienen que hacerlo bien una vez para causar mucho daño, mientras que la ciudad debe hacer lo correcto en todo momento para proteger nuestros datos confidenciales”, dijo el Auditor O’Brien.

Durante la auditoría, nuestro equipo creó dos correos electrónicos de phishing simulados y los envió a unos 6,500 empleados de la ciudad que habían sido seleccionados al azar. La mitad de los empleados recibió un correo electrónico básico con pistas fáciles para ayudar a detectar el phishing. La segunda mitad del grupo de prueba recibió un correo electrónico de phishing más complicado y de aspecto pulido. El objetivo era evaluar el comportamiento de los empleados de la ciudad cuando se enfrentaban a un correo electrónico enviado por un agente malintencionado.

Analizamos cómo estos empleados gestionaban los correos electrónicos según su tipo de trabajo, el tiempo que llevaban trabajando para la ciudad, el nivel de puesto directivo, la categoría VIP y el número de formaciones recientes en ciberseguridad que habían completado.

Según los resultados de nuestras pruebas, encontramos que las formaciones en ciberseguridad de la ciudad habían creado un impacto positivo pero limitado. Los empleados que habían realizado formaciones recientes que incluían información sobre phishing tenían más probabilidades de denunciar correctamente la existencia de un phishing a la agencia de Servicios de Tecnología de la ciudad, pero el índice de reportes fue significativamente más bajo de lo que recomiendan las mejores prácticas. Los empleados que tomaron los cursos de formación para la concientización en ciberseguridad de la ciudad también fueron menos propensos a enviar información confidencial, como nombres de usuario y contraseñas.

También encontramos que algunos empleados que interactuaron incorrectamente con los correos electrónicos de phishing no estaban obligados a realizar las formaciones en ciberseguridad de la ciudad.

“La ciudad cuenta con sistemas y medidas de seguridad para ayudar a protegerse contra el phishing y otros delitos informáticos”, dijo el Auditor O’Brien. “Sin embargo, todos los empleados deberían añadir una capa de protección adicional realizando formaciones en ciberseguridad y manteniéndose alerta”.

Los empleados que reciben formación en ciberseguridad tienen menos probabilidades de interactuar con correos electrónicos de phishing y es más probable que denuncien correos electrónicos de phishing que aquellos que no recibieron ninguna formación.

Recomendamos a los que empleados que completen las formaciones en ciberseguridad sobre phishing al menos cada seis meses porque las formaciones de mayor antigüedad generan un menor impacto sobre el comportamiento. Esas capacitaciones deben incluir cuestionarios o evaluaciones para garantizar que los empleados comprendan el contenido de las lecciones. Y la administración de la ciudad debe incluir con frecuencia información sobre cómo los empleados pueden reportar correctamente un correo electrónico de phishing para ayudar a mejorar las bajas tasas de denuncia. También recomendamos que la ciudad identifique con claridad qué tipos de trabajo deberían realizar la formación.

“El phishing es común y sucede en todas las organizaciones”, dijo el Auditor O’Brien. “Es importante que nuestra formación sea frecuente y completa porque los estafadores intentan ser igual de minuciosos en sus ataques”.

Por último, descubrimos que los Servicios de tecnología deberían comunicar regularmente las métricas de phishing a las agencias individuales para informar a la dirección sobre las tasas de clics, las tasas de informes y los infractores reincidentes. Esto ayudará a mantener informados a los gerentes sobre posibles tendencias o problemas. Al implementar esta recomendación, las agencias de la ciudad serán más conscientes de cómo están actuando sus agencias y empleados.

 “Mi oficina realiza periódicamente auditorías de ciberseguridad como esta y comparte los resultados delicados de forma confidencial con las agencias de la ciudad debido a la naturaleza de alta seguridad de la información”, dijo el Auditor O’Brien. “La seguridad es una de las principales prioridades de mi oficina, al igual que lo es para los Servicios Tecnológicos. Espero que con nuestros hallazgos los sistemas de nuestra ciudad estén todavía más seguros y reforzados”.

Lea la auditoría

 

%d bloggers like this: