¿Te enseña tu empresa cómo identificar el peligro?

  • Reportajes

Los empleados son parte de la superficie de ataque de una organización, y asegurarse de que tienen el conocimiento para defenderse a sí mismos y a la organización contra las amenazas, es una parte crítica de un programa de seguridad razonable.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

El reciente éxito de los ataques de Ransomware como Servicio (RaaS) hace que miles de empresas se enfrenten a extorsiones sistematizadas. Muchas veces la decisión de pagar o no pagar puede agradecersele a un empleado inconsciente, incluso un CEO, que fue víctima de una antigua amenaza que sigue funcionando: el correo electrónico de phishing.

Dependiendo de los recursos de seguridad internos y de la experiencia disponible en una organización, puede tener sentido contar con expertos externos que ofrezcan servicios de capacitación en seguridad. Independientemente de ello, los responsables de una organización deben entender qué se necesita para crear un programa de capacitación sobre seguridad, además de participar y ofrecer retroalimentación a lo largo del proceso.

Este contenido forma parte del número de marzo de IT Digital Security. Puedes descargarte la revista desde este enlace.

La seguridad es un camino, no un destino. Y aunque el proceso de la Seguridad de la Información puede tener muchas estrategias y actividades, al final se agrupan en tres fases que la industria ha identificado como Prevención, Detección y Respuesta. Fases que buscan proteger la confidencialidad, integridad y disponibilidad de la información.

Y la mejor tecnología del mundo no puede ayudar a las empresas a menos que los empleados entiendan y acepten su responsabilidad a la hora de salvaguardar los datos sensibles y proteger los recursos de la compañía. Y esto significa establecer prácticas y políticas que promocionen la seguridad y la formación de esos trabajadores, en todos los niveles, para que sean capaces de identificar y evitar los riesgos.

La estrategia de seguridad de una empresa sólo funcionará al máximo si los empleados están integrados en ella. Es por eso que no se puede subestimar la importancia de proporcionar a uno de los activos más importantes de cualquier empresa, los empleados, capacitación en concienciación sobre la seguridad de la información.

El objetivo de un programa de sensibilización no es sólo educar a los empleados sobre posibles amenazas a la seguridad y qué pueden hacer para prevenirlos. Es ir más allá, es convertirlos en una capa más de defensa contra las amenazas de seguridad.

Y una vez que los empleados acepten este rol dentro de las empresas, será tarea de la propia organización el garantizarles que cuenten con la información que necesitan para proteger su empresa. Por eso, un programa de concienciación de seguridad no debe obviar la educación sobre tipos específicos de amenazas, como pueden ser el malware en general, las amenazas de correo electrónicos como el phishing o qué es la ingeniería social.

Contraseñas

Área importante donde las haya es el tema de las contraseñas. No debe considerarse a éste un tema baladí en tanto en cuanto las brechas de seguridad han plagado la Dark web de enormes bases de datos con miles y miles de nombres de usuarios y contraseñas.

Existe una página web llamada: have i been pwned?, en la que cualquier usuario puede introducir su correo electrónico o nombre de usuario para ver si está en alguna de las bases de datos afectadas por una brecha. Incluso puede introducirse una contraseña, y ver si está incorporada a esas bases de datos, incluso en otras que los ciberdelincuentes pudieran utilizar en los llamados ataques de fuerza bruta.

El hackeo de contraseñas es más fácil de lo que parece, particularmente para los hackers avanzados. Y esta acción, la de escoger una contraseña que se va a utilizar cada día, puede significar la diferencia a la hora de proteger la información sensible de una empresa.

Los expertos coinciden en que ha llegado el momento de que las empresas dejen de confiar en las contraseñas tradicionales y adoptar métodos de acceso más seguros, como la autenticación multifactor, biométrica o sistemas single-sing-on. Según el último informe de Verizon, el 81% de las infracciones relacionadas con piratería informática involucra contraseñas robadas o débiles.

Mercado en alza

El de la formación y concienciación es un mercado en alza. La diversidad de los ataques, el crecimiento de los ataques dirigidos, que marcan un objetivo al que se estudia a veces durante meses, está haciendo que enseñar a los empleados a identificar una amenaza.

Desde Gartner aseguran que este mercado generó ingresos por valor de mil millones de dólares en 2014. Ahora se prevé que la cifra alcance los 10.000 millones en 2027.

Algunos estudios aseguran que la inversión en este tipo de formación es ha reducido la susceptibilidad del phishing en más de un 40%, lo que significa que el ROI de estos cursos de formación es altísimo. Capacitar a los empleados del mundo sobre cómo detectar y responder al spear phishing y otras amenazas dirigidas tiene un coste, pero puede ser el mejor ROI del mundo en la guerra contra la ciberdelincuencia que se prevé que les costará a las organizaciones 6.000 millones de dólares cada año para el año 2021.

Los cursos de formación y concienciación de seguridad han probado ser perfectos para crear un firewall humano y convertir al empleado en la última línea de defensa. Es más, la capacidad de identificar un phishing pasa de porcentajes de entre el 15% y el 20% al 2% después de un año.

Situación en España

“Lamentablemente hemos visto que no se presta demasiada atención a la formación en ciberseguridad. De hecho, la falta de concienciación en este ámbito es uno de los principales factores de riesgo para que se produzca un incidente. En concreto, empleados poco cuidadosos o desinformados son el objetivo de los grupos cibercriminales”, dice Alfonso Ramírez, director general de Kaspersky para España y Portugal.

Similar es la opinión de José María Ochoa, responsable de OneseQ, el negocio de ciberseguridad de Alhambra-Eidos, cuando le preguntamos si se presta la suficiente atención a la necesidad de formación de los empleados: “Para ser sincero, dependiendo del tamaño de la compañía se ajusta a “cero”. Las grandes compañías sí introducen concienciación, pero de un modo muy “programático” y poco atractivo, y las pymes, tan sólo las que han sufrido alguna consecuencia introducen planes de concienciación y de vuelta, a lo mismo, cursos muy centrados en praxis de administración laboral, pero que no ahondan en conceptos básicos ni en experiencias que abran la mente a la realidad del uso de las tecnologías”.

Y sin embargo, las compañías de todo el mundo, grandes, medianas y pequeñas son conscientes del problema que puede suponer un empleado poco formado en ciberseguridad. Las buenas noticias llegan de un informe elaborado por Kaspersky Lab y B2B International, “El factor humano en la seguridad TI: los empleados hacen vulnerables a las empresas”, que recoge que el 22% de las empresas en nuestro país están analizando cómo mejorar la seguridad mediante la formación.

“La mayor amenaza para el empleado es el desconocimiento”, dice José María Ochoa, añadiendo que por eso es tan importante que no sólo sepan manejar un proceso, sino que tengan más visibilidad de las amenazas. “Además, al final todos los empleados somos consumidores de tecnología a nivel personal, y ¿dónde está la frontera entre lo personal y profesional?”, dice el responsable de OneseQ.

Coincide la opinión de Alfonso Ramírez sobre que la verdadera amenaza para los empleados es su propia desinformación; “además, a esto hay que sumar que muchos trabajadores ocultan aquellos incidentes en los que se han visto involucrados, provocando que las consecuencias sean más graves si los equipos de TI no llegan a identificar la amenaza a tiempo”.

Los empleados no son conscientes de la adecuada utilización de los dispositivos y aplicaciones dentro de la empresa. Y no lo son “porque tampoco lo son a nivel particular y porque las propias compañías tampoco son conscientes del uso de los mismos”, dice José María Ochoa. “De las contraseñas ni hablamos”, continúa diciendo, y explica que la culpa no es de los usuarios ni de las contraseñas, sino de la escasa cultura de los sistemas de “gestión de identidades” que se implementan en las compañías, que la existencia de pocos sistemas SSO (Single Sing on) agrava la situación y que si un empleado tuviera que recordar tan sólo una password en lugar de uno por cada aplicación que utiliza, ¿no sería más sencillo una buena praxis con las contraseñas?

Para Alfonso Ramírez si bien en los empleados suele recaer la mayor parte de responsabilidad, la seguridad “no es solo es un asunto de los equipos de TI, es una responsabilidad compartida entre todos los empleados de la empresa. Por ejemplo, la dirección, e incluso departamentos como RRHH, han de fomentar la formación y las buenas prácticas en materia de ciberseguridad”.

Los empleados, explica el máximo responsable de Kaspersky para la región de Iberia, “son la puerta de entrada para cualquier ciberamenaza”.

¿En quién debe recaer la responsabilidad de un adecuado parcheado de los sistemas para cerrar vulnerabilidades? “Es la cuestión que está en el aire constantemente, pero yo creo que es una responsabilidad compartida entre la capacidad de operación TI y la de seguridad que deberá de contrastar la necesidad el parcheo con el aseguramiento del correcto funcionamiento del sistema. En ocasiones no es posible actualizar parches porque los sistemas no están preparados para algunas versiones”, dice José María Ochoa.

Preguntamos también por la Gamificación como medio de formación a los empleados, como herramienta para concienciar a los empleados en el área de la ciberseguridad. En el caso de la empresa rusa de seguridad, se ha puesto en marcha Kaspersky Security Awareness Trainings, una iniciativa dirigida tanto a empleados como a directores generales con el objetivo de crear una cultura basada en la ciberseguridad. Explica Alfonso Ramírez que son este programa “los empleados reciben las pautas necesarias para detectar conductas de riesgo o inadecuadas. Además, se les muestra ejemplos de buenas prácticas y modelos a imitar a través de técnicas activas de aprendizaje, juegos y motivación. De esta forma, los trabajadores podrán detectar y reconocer las amenazas con el fin de crear un vínculo corporativo”.

El uso de una herramienta de gamificación como Kaspersky Security Awareness Trainings ha conseguido reducir hasta un 90% el número de incidentes, y hasta un 95% la probabilidad de que los participantes apliquen las habilidades adquiridas en su trabajo diario. “Creemos que contar con una cultura de ciberseguridad positiva, basada en un enfoque educativo en lugar de restrictivo, tendrá resultados favorables para las organizaciones. De esta manera, estarán preparadas para hacer frente al entorno de las ciberamenazas actuales, pero también a las futuras”, dice Alfonso Ramírez.

En opinión de José María Ochoa, la Gamificación “es perfecta para contextualizar y animar a la instrucción, ya que trata de eliminar lo tedioso y aburrido de recibir una formación. Lo que pasa es que hasta para preparar una buena gamificación hay que alinear las expectativas”.

Los imprescindibles

Hay varios elementos clave a la hora de hacer frente a una amenaza de seguridad, o incluso de evitarla. Acciones tan sencillas como mantener cierto control sobre lo que un empleado, tenga el nivel que tenga, puede instalar y mantener funcionando en sus ordenadores.

Hemos mencionado las contraseñas. Si bien es cierto que existen herramientas capaces de gestionarlas, mucho más básica es la tarea de mantener unas buenas prácticas, como añadir caracteres especiales o cambiarlas cada cierto tiempo.

En caso de duda, no actúes. Aunque en multitud de ocasiones se ha hecho referencia al empleado como al eslabón débil de la cadena, no se le puede estigmatizar, sobre todo cuando los ciberdelincuentes generan verdaderas obras de arte capaces de un engaño sin igual.

La falta de un backup adecuado es el mejor aliado de un ataque de ransomware. Por eso debe animarse a los empleados a que protejan su trabajo con copias de seguridad periódicas. Mantenerse al tanto de lo que ocurre en las organizaciones, para saber detectar un mensaje sospechoso es más una cuestión de sentido común y puede evitar que un ataque BEC, o de Business Email Compromise, pueda tener éxito.