Crear una cultura de ciberseguridad sólida es fundamental para el buen funcionamiento de las operaciones de una empresa, especialmente a medida que los ataques se vuelven más avanzados. Renee Tarun, CISO adjunta / vicepresidenta de seguridad de la información de Fortinet, analiza los pasos para que los líderes de TI puedan establecer una línea de base para una buena higiene cibernética y asegurarse de que sus empleados se tomen en serio la ciberseguridad.
Durante la primera mitad de 2020, el equipo de FortiGuard Labs descubrió que los entornos de trabajo en evolución y una mayor dependencia de los dispositivos personales presentaban nuevas oportunidades para que los ciberdelincuentes explotaran las redes empresariales. Un método en el que los actores de amenazas han confiado en gran medida en los últimos tiempos es la creación de correos electrónicos de phishing de apariencia legítima que se pueden usar para personalizar y lanzar ataques con facilidad. Si bien esta no es una táctica nueva de ninguna manera, este tipo de ataques de ingeniería social solo se han vuelto más sofisticados y dañinos a medida que los empleados continúan trabajando de forma remota y permanecen aislados de sus equipos.
La necesidad de mitigar el riesgo de amenazas internas
Ya sea que lo sepan o no, los empleados pueden representar un riesgo significativo para la seguridad de las redes empresariales y los datos que poseen. Teniendo en cuenta que el 68% de las organizaciones se sienten de moderadas a extremadamente vulnerables a los ataques internos, como se señaló en un estudio reciente, está claro cuán importante es este problema. Además de las que se consideran personas internas malintencionadas, estas amenazas también se pueden atribuir al grupo conocido como «personas internas accidentales».
Según este mismo estudio, los equipos de seguridad consideran que ser víctima de ataques de phishing (38%) es la principal causa de amenazas internas accidentales, seguido del spear phishing (21%), contraseñas deficientes (16%) y la navegación de sitios web sospechosos (7%). En otras palabras, abrir la puerta a los ciberdelincuentes puede ser tan simple como hacer clic en un enlace o descargar un archivo sin tomarse el tiempo para determinar si es legítimo o no.
Los comportamientos descuidados y negligentes pueden tener un efecto duradero en las organizaciones, especialmente en el caso de una violación de datos. Y con más empleados trabajando desde casa, incapaces de caminar hasta el escritorio de un compañero de trabajo para expresar sus pensamientos sobre un correo electrónico de apariencia sospechosa, estas personas tienen más probabilidades de ser susceptibles a ataques de ingeniería social.
Teniendo esto en cuenta, es más importante que nunca que los CISO prioricen la conciencia de seguridad cibernética de sus empleados para ayudarlos a comprender el papel que desempeñan en mantener las redes seguras y reducir el riesgo de amenazas internas.
Creando un firewall humano a través de una cultura de seguridad
Teniendo en cuenta que los empleados pueden ser la mejor línea de defensa, es fundamental que los CISO protejan a sus organizaciones al incluir la educación y la conciencia de los empleados en su estrategia de ciberseguridad. Al adoptar esta técnica, los líderes pueden asegurarse de que la fuerza laboral esté preparada para enfrentar las diversas amenazas.
Independientemente de los cargos o funciones, todos los empleados deben comprender las repercusiones de un evento de seguridad y cómo podría afectar a la organización y a ellos personalmente. La importancia de este enfoque estratégico para toda la empresa se destacó en una encuesta Forbes Insights Survey de 2019 de más de 200 CISO. Cuando se les preguntó qué iniciativas de seguridad planean priorizar en términos de financiamiento durante los próximos cinco años, el 16% de los encuestados señaló la creación de una cultura de seguridad.
Si bien este es un paso en la dirección correcta, el establecimiento de una línea de base para una buena higiene cibernética debe comenzar con los CISO que ayuden a sus empleados a tomar en serio la ciberseguridad. Esto se puede lograr de las siguientes formas:
- Priorizar la formación en conciencia cibernética
Los ataques de ingeniería social son extremadamente frecuentes en las organizaciones simplemente porque funcionan. De hecho, el Informe de Investigaciones de Violación de Datos de Verizon de 2019 (DBIR) encontró que aproximadamente un tercio de todas las violaciones de datos involucraron phishing de una forma u otra. Para combatir este riesgo, los CISO deben educar a sus empleados sobre los ataques comunes que podrían aparecer en forma de phishing, spear phishing, smishing u otras estafas de soporte técnico.
Ya sea que estas lecciones se brinden a través de espacios de reuniones en línea, chat de video o correo electrónico, deben tener prioridad. Comprender estas amenazas y sus señales de alerta asociadas será fundamental para ayudar a los empleados a evitar ser víctimas de correos electrónicos falsos o sitios web maliciosos.
Además de enseñar acerca de los indicadores comunes de las estafas cibernéticas (es decir, la promoción de ofertas «gratuitas»), estas ofertas de capacitación también deben incluir ejercicios de phishing simulados diseñados para probar el conocimiento y determinar qué empleados podrían necesitar más ayuda. A través de tácticas como estas, los empleados estarán mejor equipados para saber cuándo son el objetivo de un ataque de ingeniería social y, por lo tanto, pueden actuar en consecuencia.
El Instituto de Capacitación NSE de Fortinet ofrece un servicio gratuito de capacitación en Conciencia de Seguridad de la Información para educar a los empleados sobre los crecientes riesgos de ataques cibernéticos y cómo identificar amenazas.
- Cree una asociación entre el equipo de seguridad y otros departamentos
La ciberseguridad no puede recaer solo sobre los hombros de los equipos de seguridad y TI; especialmente a medida que las amenazas cibernéticas continúan volviéndose más sofisticadas y difíciles de detectar. Además de garantizar que los empleados puedan identificar los ataques de phishing, los líderes también deben fomentar la colaboración entre el equipo de seguridad y otros departamentos. Esto significa ayudar a ambas partes a comprender las expectativas.
Si bien el equipo de seguridad será el experto en términos de determinar el riesgo y las amenazas, otros departamentos serán fundamentales para ayudar a desarrollar políticas fáciles de usar que sean fáciles de seguir tanto en la oficina como en entornos de trabajo remotos, incluso para aquellos que están no enteramente cibernético.
A través de esfuerzos de colaboración, los CISO pueden garantizar que todas las personas de la organización no solo conozcan las políticas de seguridad, sino que también comprendan el impacto que sus acciones pueden tener en la organización en su conjunto. Ayudar a los empleados a comprender las prácticas seguras de ciberseguridad y las ramificaciones que pueden tener sus acciones debería conducir a mejoras en la forma en que estas personas responden cuando se enfrentan a un correo electrónico o sitio web sospechosos, incluso mientras trabajan desde casa.
Cuando los empleados saben lo que se espera y sienten que son parte del equipo, se les anima más a seguir las mejores prácticas y ayudar a eliminar los comportamientos que causan problemas accidentales de información privilegiada, como olvidarse de cambiar las contraseñas predeterminadas o descuidar el uso de contraseñas. Y a medida que más empleados sigan su ejemplo, el firewall humano que actúa como la primera línea de defensa de la organización solo se hará más fuerte.
- Establezca las mejores prácticas sencillas
Incluso una vez que los empleados sepan qué buscar en el caso de un ataque de ingeniería social, es posible que aún necesiten orientación en lo que respecta a los próximos pasos. Si bien es fácil ignorar o eliminar un correo electrónico de apariencia sospechosa, ¿qué pasa con aquellos que parecen normales y de los que el receptor aún no está seguro? En este escenario, los CISO deben alentar a los empleados a que se hagan ciertas preguntas para ayudarlos a tomar la decisión correcta: ¿Conozco al remitente? ¿Esperaba este correo electrónico? ¿Este correo electrónico invoca una emoción fuerte como emoción o miedo? ¿Me están diciendo que actúe con urgencia?
Si bien estas preguntas deberían ayudar a aclarar cualquier confusión con respecto a si el correo electrónico es malicioso, el receptor aún debe tomar medidas adicionales para protegerse a sí mismo y a su organización. Esto incluye pasar el cursor sobre los enlaces para ver si son legítimos antes de hacer clic, no abrir archivos adjuntos inesperados, llamar al remitente para verificar que realmente envió el correo electrónico y reportar todos los correos electrónicos sospechosos al equipo de seguridad o de TI. Al explicar estos pasos a sus empleados desde el principio, los CISO pueden evitar repercusiones negativas en el futuro.
La capacidad de tener conciencia cibernética es una pieza fundamental del rompecabezas cuando se trata de mantener la seguridad de las organizaciones. Ya sea que los empleados se den cuenta o no, sus acciones podrían abrir la puerta para que los ciberdelincuentes accedan a información confidencial, lo que significa que la pasividad hacia la seguridad ya no es aceptable.
Al priorizar la capacitación y la colaboración entre los departamentos y el equipo de seguridad, los CISO pueden sentar las bases para una sólida cultura de seguridad. La identificación de comportamientos sospechosos, el mantenimiento de dispositivos actualizados y la práctica de un comportamiento cibernético seguro deben integrarse en la estructura de todos los puestos de trabajo para garantizar que el firewall humano se mantenga firme.
