Tasa de clicks: medida fiable en evaluar riesgos de phishing o falacia
Actualmente, en materia de ciberseguridad empresarial, existen muchos programas organizativos de concienciación sobre phishing dedicados a brindar a los empleados aquellas herramientas que necesitan para reconocer las estafas de phishing.
Para demostrar la eficacia de su programa, las organizaciones a menudo destacan su porcentaje de clics, o la cantidad de personas que visitan las páginas web a través de enlaces en los correos electrónicos. Pero ¿cuál es la tasa de clics que te informa sobre los riesgos del phishing organizacional y consecuencias? Para explicar la fiabilidad o no de esta medida dentro de la empresa vamos a apoyarnos en un ejemplo deportivo.
Sabemetrics: el método que analiza el rendimiento de jugadores de béisbol
En los viejos tiempos, era responsabilidad de los gerentes de equipos intercambiar, contratar y despedir a jugadores basándose en la intuición, en la fuerza de sus brazos y en sus carreras. A pesar de los miles de millones de dólares que mueve este deporte, durante más de 100 años, calificar jugadores fue casi siempre un juego de adivinanzas. Así que ¿cómo se valoran hoy los logros y la habilidad de un jugador de béisbol de grandes ligas?
En la actualidad, calificar a un jugador es más una ciencia empírica que un ingenioso juego de adivinanzas. La razón: el método estadístico conocido como “Sabermetrics”, utilizado en las grandes ligas de béisbol permite, mediante el análisis y la selección de una ingente cantidad de datos explícitos, medir y demostrar sin fallos realmente el rendimiento de un jugador. Comprobados los resultados en materia de seguridad de métodos cómo estos dentro del terreno de juego ¿cómo aplicar y garantizar el mismo éxito dentro de una organización?
Cómo calificar el éxito de un programa de concienciación de phishing
La tasa de clics se usa como punto de referencia para comprender si un programa de formación está funcionando o no y cuál es el nivel actual de amenaza de la empresa. Pero ¿qué te está diciendo realmente? ¿es solo la tasa de clics una métrica en la que confiar para obtener una imagen precisa de los riesgos, impuestos por el comportamiento de tus empleados? ¿o estamos cayendo en el mismo error como décadas antes cometían los equipos de béisbol? La respuesta a estas preguntas es que, al reducir nuestra perspectiva a una sola medición, con la esperanza de que esta proporcione información simple y rápida no lo podemos visualizar de forma completa y precisa.
La falacia de la tasa de clics
Para explicar y demostrar este argumento veamos un ejemplo práctico basado en dos organizaciones, que llamaremos empresas A y B con 100 empleados cada una. Cada compañía tiene 10 empleados, que caen en simulaciones de phishing cada mes, lo que arroja una tasa de clics constante del 10% durante todo el año en ambas compañías. Esta tasa no implica ninguna mejora en ninguna de las empresas.
Pero aquí está la trampa; En la empresa A, siempre son los mismos 10 empleados que hacen clic en los enlaces y caen en la simulación. Esto significa que 90 empleados sabían y estaban listos para recibir correos electrónicos de phishing en primer lugar; 10 no han mejorado en absoluto, lo que se puede ver, al observar la tasa de clics. Pero en la Compañía B, sin embargo, siempre son diferentes personas las que caen en las simulaciones, y aquí está el factor diferenciador: ningún empleado recae en las simulaciones más de una vez.
Conclusión del caso
Por tanto, desde el punto de vista de la ciberseguridad, el ejemplo demuestra que en la empresa B tenemos un gran logro de aprendizaje, pero que no se puede deducir al observar sólo la tasa de clics. Aunque la tasa de clics se mantuvo igual en ambas compañías, el nivel de aprendizaje e internalización del mensaje del programa fue completamente diferente.
Basado en fuente original: CibeReady