Los ataques cibernéticos son cada vez más frecuentes, sofisticados y costosos.
El Noveno Estudio Anual sobre el Costo del Delito Cibernético encontró que el costo promedio del delito cibernético aumentó de $11.7 millones (alrededor de £8.6 millones) en 2017 a 1 13 millones (£10.3 millones) al año siguiente.
Esto representa un aumento del 12% interanual y del 73% en un período de cinco años, lo que demuestra la rapidez con que crece el coste de la ciberdelincuencia.
Se ha producido un salto similar en el número de incidentes que experimentan las organizaciones, con un aumento del 11% interanual y un aumento del 67% entre 2013 y 2018.
Quizás el hallazgo más preocupante es cómo los ciberdelincuentes han evolucionado sus ataques, reemplazando los métodos tradicionales de piratería por ataques dirigidos a los empleados.
Su eslabón más débil
A menudo se hace referencia a los empleados como el eslabón más débil de una organización, porque siempre existe el riesgo de que se apropien indebidamente de información confidencial o la pongan en riesgo.
Por ejemplo, pueden caer en una estafa de phishing, no aplicar las defensas adecuadas, eliminar accidentalmente información confidencial o eliminarla.
Incidentes como estos son particularmente peligrosos porque las organizaciones no pueden hacer mucho para prevenirlos. Además de la capacitación del personal, debe confiar en las estrictas políticas de seguridad de la información y esperar que los empleados las sigan.
No es de extrañar, entonces, que los ciberdelincuentes se dirijan cada vez más al personal. Esto ha sido principalmente a través de ransomware, que generalmente se entrega a través de archivos adjuntos infectados en correos electrónicos de phishing.
El estudio encontró que el número de organizaciones que informaron de un ataque de ransomware aumentó un 15% entre 2017 y 2018, y el costo promedio aumentó un 21%.
El ransomware y los iniciados maliciosos son los métodos de ataque de más rápido crecimiento en términos de costo.
También ha habido un fuerte aumento en el costo de los incidentes causados por personas de adentro maliciosas, hasta un 15% en 2018. Hay un par de razones por las que un empleado actual o anterior se enfocaría en su propia organización.
Tal vez fueron pasados por alto para un ascenso o fueron despedidos recientemente y quieren devolver el golpe a su empleador. Alternativamente, el ataque podría estar motivado financieramente, con el robo de información privilegiada para cometer fraude o vender en la web oscura.
Más información sobre los iniciados maliciosos >>
Comprometer datos confidenciales
El informe también encontró que hay una tendencia creciente de ataques que no están destinados a robar datos personales, sino a comprometerlos.
Atacar la integridad de los datos, al destruir o sabotear los datos, puede ser mucho más perjudicial para una organización que una filtración de datos estándar. Este es particularmente el caso de los ataques de ransomware, en los que las organizaciones deben auditar la magnitud del daño y determinar si se alteró alguna información.
Esto es algo que las personas también deben tener en cuenta cuando leen sobre incidentes de seguridad. Las organizaciones a menudo minimizan la gravedad de un ataque cibernético al garantizar a los clientes que no se robaron datos personales.
Sin embargo, esto no significa que el ataque no haya tenido éxito, ni que los clientes no se vean afectados.
¿Están preparados sus empleados?
La capacidad de sus empleados para detectar estafas y responder adecuadamente es uno de los factores más importantes en sus prácticas de seguridad cibernética.
La tecnología no puede hacer mucho para mitigar este riesgo, por lo que es vital que inviertas el mismo esfuerzo en aumentar la conciencia del personal que haces en programas antivirus y pruebas de penetración.
Nuestra completa Suite de E-learning de Concienciación del personal es un lugar ideal para comenzar. Este completo conjunto de cursos de capacitación capacitará a sus empleados para que tomen mejores decisiones de seguridad.
