Como siempre se dice en ciberseguridad, el factor humano es el eslabón más débil de la cadena y es el principal responsable de que un ataque se lleve a cabo de forma efectiva. Es por eso que los cibercriminales, que saben esto, constantemente intentan aprovechar la incredulidad o los descuidos de los empleados cuando lanzan sus campañas maliciosas. Pero también podemos ver esta realidad como una oportunidad, ya que con el conocimiento y la capacitación necesaria puede convertir a esos empleados en la primera línea de defensa de una empresa. La clave está en implementar un programa efectivo de capacitación para incrementar la concientización sobre los riesgos de seguridad a los que están expuestas las personas, como empleados y como usuarios.
De hecho, datos recientes revelan que el 82% de las filtraciones de datos analizadas en 2021 involucraron un "elemento humano". Estas cifras demuestran que en la actualidad los empleados representan uno de los principales objetivos para los cibercriminales a la hora de llevar adelante sus ataques. Por eso, es es fundamental en la estrategia que lleve adelante una organización en su esfuerzo por mitigar los riesgos poder brindarles los conocimientos necesarios para que sean cada vez más capaces de detectar las señales que advierten de un posible ataque y que puedan comprender cuándo pueden estar poniendo en riesgo datos confidenciales.
¿Qué es la formación en concientización en ciberseguridad?
La capacitación en temas de concientización tiene como objetivo cambiar los comportamientos a través de una mejor educación para permitir a las personas aprender a identificar dónde radican los principales riesgos de seguridad y cuáles son las prácticas recomendadas para mitigarlos. Es un proceso formalizado que idealmente debería cubrir una variedad de áreas temáticas y técnicas para capacitar a los empleados para que tomen las decisiones correctas. El mismo es fundamental para aquellas organizaciones que intentan crear una cultura corporativa de seguridad por diseño.
¿Por qué es necesaria la formación en concientización sobre seguridad?
Como cualquier tipo de programa de capacitación, la idea es mejorar las habilidades de la persona. En este caso, mejorar el conocimiento que tiene sobre la seguridad informática no solo posiciona mejor al individuo a la hora de desempeñar su rol, sino que también reducirá el riesgo de una potencial brecha de seguridad con todas las consecuencias que conlleva.
La verdad es que los usuarios corporativos representan el corazón palpitante de cualquier organización. Si pueden ser atacados, también lo puede ser la organización. De manera similar, el acceso que tienen a datos sensibles y sistemas de TI aumenta el riesgo de que ocurran accidentes que también podrían afectar negativamente a la empresa.
Lectura recomendada: 5 ideas para establecer una dinámica de capacitación en seguridad en una empresa
Varias tendencias resaltan la urgente necesidad de que las organizaciones pongan en marcha programas de capacitación para generar mayor concientización en aspectos claves de la seguridad, como son:
Contraseñas: las credenciales estáticas existen desde que existen los sistemas informáticos. Y a pesar de las súplicas de los expertos en seguridad a lo largo de los años, siguen siendo el método más popular que utilizan los usuarios a la hora llevar adelante procesos de autenticación. La razón es simple: las personas saben instintivamente cómo usarlas. El desafío está en que las contraseñas también son un blanco de ataque de los actores maliciosos. Si un atacante logra engañar a un empleado para que comparta sus credenciales o incluso si logra adivinarlas, probablemente no hay nada más que se interponga en su camino para lograr tener acceso total a la red.
Según una estimación, más de la mitad de los empleados en países como Estados Unidos han apuntado sus contraseñas en un papel. Las malas prácticas a la hora de gestionar contraseñas abre la puerta a los actores maliciosos. Y a medida que aumenta la cantidad de credenciales de acceso que los empleados necesitan recordar, también aumenta la probabilidad de que ocurra un uso indebido de esas credenciales.
Ingeniería social: Los humanos somos seres sociables. Eso nos hace susceptibles a la persuasión. Queremos creer las historias que nos cuentan y en la persona que las cuenta. Esta es la razón por la que funciona la ingeniería social: el uso por parte de los actores maliciosos de técnicas persuasivas como la presión y la suplantación de identidad para engañar a la víctima y convencerla de que cumpla sus órdenes. El mejor ejemplo de ingeniería social puede ser un correo electrónico de phishing, un mensaje de texto (también conocido como smishing) o una llamada telefónica (también conocido como vishing), pero también se usa en ataques del tipo BEC y en otras modalidades de estafa.
La economía del cibercrimen: en la actualidad los cibercriminales cuentan con una red compleja y sofisticada conformada por sitios en la dark web. A través de estos sitios los actores maliciosos compran y venden datos y servicios que van desde alojamientos blindados, ransomware as a service, etc. Se estima que se mueven miles de millones en estos mercados. Esta “profesionalización” de la industria del cibercrimen naturalmente ha llevado a los actores de amenazas a concentrar sus esfuerzos donde el retorno de la inversión es más alto. En muchos casos, eso significa dirigirse a los propios usuarios: empleados corporativos y consumidores.
Trabajo híbrido: se cree que quienes trabajan desde su casa tienen más probabilidades de hacer clic en enlaces de phishing y tener un comportamientos más riesgoso, como usar dispositivos de trabajo para uso personal. Teniendo esto en cuenta, el surgimiento de una nueva era de trabajo híbrido abrió las puertas para que los atacantes se dirijan a los usuarios corporativos cuando se encuentran en su punto más vulnerable. Eso sin mencionar el hecho de que las redes domésticas y las computadoras pueden estar menos protegidas que sus equivalentes en la oficina.
¿Por qué importa la formación?
En última instancia, una brecha de seguridad grave, ya sea como resultado de un ataque de terceros o de la divulgación de datos de forma accidental, podría provocar un daño financiero y a la reputación importante. Un estudio reciente reveló que el 20% de las empresas que sufrieron una brecha de seguridad este tipo estuvieron a punto de quebrar como consecuencia de este incidente. Una investigación independiente afirma que el costo promedio de una filtración de datos a nivel mundial ahora es más alta que nunca: más de US$ 4,2 millones.
No es solo un cálculo de los costos que significa un incidente para los empleadores. Muchas regulaciones como HIPAA, PCI DSS y Sarbanes-Oxley (SOX) exigen que las organizaciones que las cumplen lleven a cabo programas de capacitación de concientización sobre la seguridad de los empleados.
Cómo hacer que la capacitación en ciberseguridad funcione
Hemos explicado el "por qué", pero ¿qué pasa con el "cómo"? Los CISO deben comenzar consultando con los equipos de recursos humanos, que normalmente son quienes lideran los programas de capacitación de una compañía. Es posible que puedan brindar asesoramiento ad hoc o un apoyo más coordinado.
Entre las áreas a cubrir como parte de un programa de capacitación se podrían incluir:
- Ingeniería social y phishing/vishing/smishing
- Divulgación accidental por correo electrónico
- Protección web (búsqueda segura y uso de Wi-Fi público)
- Mejores prácticas de contraseña y autenticación multifactor
- Trabajo seguro a distancia y desde casa
- Cómo detectar amenazas internas
Sobre todo, tenga en cuenta que la formación deben ser:
- Divertida y a través de dinámicas (piense en reforzar de forma positiva en lugar de mensajes basados en el miedo)
- Basada en ejercicios que simulen situaciones de la vida cotidiana
- Continua durante todo el año, con lecciones cortas (10-15 minutos)
- Incluyendo a todos los miembros de la organización, incluidos ejecutivos, trabajadores a tiempo parcial y servicios contratados
- Capaz de generar resultados que se pueden utilizar para ajustar los programas para satisfacer las necesidades individuales
- Diseñada para adaptarse a diferentes roles
Una vez que se decide todo esto, es importante encontrar el proveedor adecuado para implementar estos programas de capacitación. La buena noticia es que existen muchas opciones en línea y a diferentes precios, además de herramientas gratuitas. Dado el panorama de amenazas actual, la inacción no es una opción.