El entrenamiento de concienciación sobre phishing desaparece después de unos meses

Imagen: Sebastian Herrmann Los programas de concientización sobre seguridad y phishing desaparecen con el tiempo, y los empleados deben volver a capacitarse después de unos seis meses, según un documento presentado en la conferencia de seguridad USENIX SOUPS el mes pasado. El propósito del artículo era analizar la efectividad del entrenamiento de phishing en el tiempo. Además: las campañas de phishing, desde la primera hasta la última víctima, tardan 21 horas en promedio Aprovechando el hecho de que las organizaciones del sector de la administración pública alemana deben someterse a programas obligatorios de formación de concienciación sobre phishing, académicos de varias universidades alemanas encuestaron a 409 de los 2.200 empleados de la Oficina Estatal de Geoinformación y Encuestas Estatales (SOGSS).
Los investigadores probaron la efectividad de la capacitación sobre phishing a lo largo del tiempo, con pruebas periódicas a intervalos regulares, para determinar cuándo los empleados de SOGSS perderían su capacidad para detectar correos electrónicos de phishing. Los empleados se dividieron en varios grupos y se probaron cuatro, seis, ocho, diez y doce meses, respectivamente, después de recibir un curso de capacitación sobre phishing en el sitio. El equipo de investigación descubrió que, si bien los encuestados pudieron identificar correctamente los correos electrónicos de phishing incluso después de cuatro meses después de la capacitación inicial, este no fue el caso después de seis meses y más, y se recomendó una nueva capacitación.
Los investigadores también desarrollaron sus propios "recordatorios" para "reponer los conocimientos y la conciencia sobre el phishing de los empleados", que utilizaron para volver a capacitar a los empleados después de realizar la encuesta, y nuevamente seis y doce meses después. "Desarrollamos cuatro diferentes", dijeron los académicos. "Se distribuyeron cuatro medidas de recordatorio en cuatro grupos (una por grupo): (a) texto, (b) medida de video, (c) ejemplos interactivos y (d) un texto breve.
"Doce meses después del tutorial, comparamos la retención de conocimientos de los cuatro grupos recordatorios [...
]. Entre las cuatro medidas recordatorias, la medida del video y la medida de los ejemplos interactivos obtuvieron mejores resultados, con un impacto que duró al menos seis meses después de su implementación ". Los académicos concluyeron que, si bien capacitar a los empleados en la detección de correos electrónicos de suplantación de identidad (phishing) podría ayudar a las organizaciones a defenderse de algunos ataques, esta capacitación debe ser cíclica, con sesiones de capacitación repetidas, de manera óptima cada seis meses y utilizando medidas de capacitación interactivas o en video.
Se pueden encontrar detalles adicionales sobre el trabajo del equipo de investigación en un documento titulado "Una investigación sobre la concienciación y la educación sobre el phishing a lo largo del tiempo: cuándo y cómo recordar mejor a los usuarios" [PDF aquí o aquí]. pags VER GALERIA COMPLETA.