El conocimiento es un arma poderosa que puede convertir a sus empleados en la primera línea de defensa contra las amenazas.
El Mes de la Concienciación sobre la Ciberseguridad (CSAM) es una iniciativa que abarca tanto el mundo de los consumidores como el de las empresas. Hay muchos puntos en común: al fin y al cabo, todo empleado es también un consumidor. Como cada vez trabajamos más desde casa, o nuestro espacio de trabajo remoto favorito, las líneas se hacen difusas. Por desgracia, al mismo tiempo, los riesgos de compromiso nunca han sido tan agudos.
Para construir un entorno más ciberseguro, ¿qué deberían incorporar los jefes de TI a sus programas de concienciación sobre seguridad? Es importante asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado.
Por qué es importante la formación
Según Verizon, tres cuartas partes (74%) de todas las violaciones globales del año pasado incluyen el "elemento humano", que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social. Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. Pero no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo. Se trata de cambiar los comportamientos de los usuarios a largo plazo.
Eso sólo puede ocurrir si ejecuta programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores temporales, contratistas y ejecutivos; cualquiera puede ser un objetivo, y basta un solo error para abrirle la puerta de su organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.
Como mencionado en un artículo anterior, las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.
3 áreas a incluir ahora y en 2024
A medida que nos acercamos al final de 2023, vale la pena pensar qué incluir en los programas del año que viene. Considere lo siguiente:
1) BEC y phishing
El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador.
Existen varios métodos utilizados, como hacerse pasar por un director general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing.
El phishing como tal existe desde hace décadas, pero sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.
Para 2024, considere incluya contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería(smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA).
Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.
2) Seguridad en el trabajo remoto e híbrido
Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponerles a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Y aquí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.
Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los "gemelos malvados", en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica.
También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.
3) Protección de datos
Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.
La formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.
El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Y siempre deben considerar si lo que publican en las redes sociales debe mantenerse confidencial.
Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. "Personas, procesos y tecnología" es el mantra que ayudará a construir una cultura corporativa más cibersegura.
Fuente: www.welivesecurity.com