Un estudio reciente en UC San Diego Health plantea preguntas sobre la efectividad de Capacitación obligatoria de conciencia de phishingun común Capacitación de ciberseguridad Método utilizado en toda la América corporativa. La investigación, realizada durante ocho meses en 2023 con casi 20,000 empleados, examinó si estos programas reducen significativamente la susceptibilidad de los empleados a ataques de phishing.
Evaluación del entrenamiento de conciencia de phishing
El estudio sometió a los empleados a 10 campañas de phishing simuladas Evaluar si la capacitación anual estándar mejora la capacidad de reconocer y evitar correos electrónicos maliciosos. Los resultados no mostraron una disminución significativa en las tasas de falla de phishing, independientemente de cuándo los empleados completaron la capacitación por última vez.
Grant Ho, profesor asistente de la Universidad de Chicago y coautor del estudio, declaró: «Eso sugiere que la capacitación obligatoria de conciencia cibernética no proporcionó conocimiento de seguridad beneficioso a los usuarios».
Hallazgos clave sobre el comportamiento de ciberseguridad de los empleados
- Los empleados que completaron la capacitación mostraron solo una mejora menor, con las tasas promedio de falla de phishing en solo un 1,7%.
- Los resultados inmediatos posteriores al entrenamiento mostraron altas tasas de fracaso, lo que indica un impacto limitado de los programas tradicionales de capacitación en ciberseguridad.
- El compromiso con los módulos en línea fue bajo: más de las tres cuartas partes de los empleados pasaron menos de un minuto en el material, y el 37-51% cerró la página de capacitación casi de inmediato.
Ho señaló que los empleados a menudo tratan la capacitación como una interrupción, verificando correos electrónicos o navegando por la web, reduciendo la retención y la atención.
Prueba de diferentes enfoques de entrenamiento de ciberseguridad
Los investigadores segmentaron a los empleados en grupos después de las simulaciones de phishing:
- Consejos generales de ciberseguridad
- Módulos interactivos de preguntas y respuestas
- Informes detallados sobre el ataque simulado específico
- Una combinación de estos métodos
- Grupo de control sin entrenamiento de seguimiento
Lecciones de preguntas y respuestas interactivas produjo el mayor beneficio medible, pero solo cuando los empleados se comprometieron completamente. La finalización del entrenamiento interactivo redujo la susceptibilidad a los ataques de phishing en un 19%, destacando el potencial de los enfoques interactivos. Las bajas tasas de finalización, sin embargo, limitaron la efectividad general.
El estudio también sugirió que los empleados que voluntariamente completan la capacitación ya pueden tener rasgos que los hacen menos susceptibles a los ataques de phishing, planteando preguntas sobre la capacitación versus el comportamiento inherente.
Implicaciones para la ciberseguridad empresarial
Phishing continúa representando una gran amenaza y confiando únicamente en Capacitación de conciencia de phishing de empleados Deja a las organizaciones vulnerables. Los investigadores recomiendan una estrategia de ciberseguridad de varias capas, que combina capacitación con herramientas automatizadas para detectar y bloquear mensajes sospechosos antes de alcanzar las bandejas de entrada.
Ho concluyó,
«La capacitación tal como se despliega comúnmente no proporciona protección suficiente contra el phishing por sí solo».
