Hacia una mayor eficacia en los programas de concienciación sobre ciberseguridad; una triple perspectiva

Aunque muchas organizaciones acostumbran a dedicar el mes de octubre a los programas de concienciación sobre ciberseguridad, esta labor esencial es un esfuerzo de todo el año, ¡o debería serlo! Pero, como ocurre con muchos de los desafíos de la actualidad, puede ser muy difícil abrirse paso entre tanta agitación para dirigirse al personal.

Y conforme se acerca el final de 2022, esa agitación no hace más que aumentar, tanto por la actual crisis de salud pública como por los acontecimientos geopolíticos que pueden afectar directa o indirectamente a una organización o al mercado, y por las técnicas de ataque que son totalmente nuevas o (lo que quizá sea aún más peligroso) imperecederas, porque su eficacia se ha demostrado repetidamente en el pasado.

Cuando pensamos en cómo hacer que las organizaciones sean seguras y estén protegidas, es importante considerar estas tres perspectivas: el punto de vista del mundo, el punto de vista del negocio y el punto de vista del hogar.

El punto de vista del mundo

En la actualidad no faltan noticias que acaparan titulares. Y aunque algunas organizaciones se muestran preocupadas por la posible actividad ciberofensiva relacionada con la guerra terrestre en Europa, no es en sí el despliegue de un arma cibernética, sino el que se valga de los titulares cibernéticos, lo que probablemente pase a ser una amenaza dirigida a la mayoría de las organizaciones.

Los autores de amenazas leen las mismas noticias. Y durante las crisis globales y locales, una técnica de phishing muy común es aprovechar esos eventos actuales con la expectativa de llevar al destinatario, ávido de recibir información "nueva", urgente u oportuna. Los mensajes con enlaces maliciosos que supuestamente llevan a contenidos de vídeo "exclusivos", o incluso a falsas organizaciones benéficas que buscan donaciones reales, son especialmente frecuentes.

La situación actual de Europa ha abierto los ojos a empresas de todo el mundo en lo que respecta a lo interconectadas e interdependientes que son sus cadenas de suministro, y que abarcan desde los alimentos hasta el petróleo y otras materias primas esenciales.

Por tanto, es importante recordar que la "concienciación sobre la seguridad" se aplica tanto a los particulares como a las organizaciones en su conjunto. La "conciencia situacional" está estrechamente relacionada con la concienciación sobre la seguridad de la información. Una de las formas en que una organización puede ponerse a prueba sobre qué tanto (o tan poco) sabe sobre su lugar en el ecosistema global es llevar a cabo ejercicios de simulación, o sesiones de práctica con un escenario supuesto que requiera una respuesta rápida y coordinada. Y definitivamente estas maniobras tienen un componente de ciberseguridad, habitualmente en forma de una función de Respuesta a Incidentes (IR): un equipo que puede tener internamente, o que puede contratar con uno o más proveedores externos.

El punto de vista del negocio

Quedémonos con este concepto de cadena de suministro mientras cambiamos el punto de vista para analizar directamente el impacto sobre el negocio.

Después de todo, los negocios existen para generar valor tanto para los accionistas como para los clientes. La forma en que las empresas reaccionan y responden a escenarios inesperados afecta directamente su capacidad de operación. Como ocurre con los individuos, el comportamiento de una organización empresarial suele obedecer a impactos e incentivos económicos. Y los negocios que dependen de varios componentes para ofrecer su producto o servicio, cuando dichos componentes son hardware, software y/o propiedad intelectual, pueden encontrarse con que la complejidad de su forma de operar constituye un riesgo operativo innato.

Un ejemplo específico: si actualmente su organización no sabe qué conexión tiene con la economía de Taiwán, es sin duda el momento de realizar ejercicios de simulación para descubrir dónde puede tener puntos ciegos. Desde la perspectiva de la seguridad de la información, ¿cómo se vería afectada la seguridad de su centro de datos (el suyo propio o el que le proporcione un proveedor de servicios en la nube) si las actualizaciones planificadas de los componentes físicos subyacentes simplemente no pudieran ejecutarse, porque los chips u otra tecnología ya no estuvieran disponibles?

El punto de vista del hogar

Probablemente, el indicador más poderoso de un programa efectivo de concienciación sobre la seguridad de la información es el contenido que se dirige al empleado de forma holística. La concienciación y el cambio de comportamiento efectivos se dirigen al individuo, tanto en el trabajo como en su hogar.

No hay un interruptor de encendido/apagado que cambie el comportamiento de un empleado entre el entorno del trabajo y el de casa. Esto se volvió aún más evidente en los últimos dos años, con el trabajo desde casa.

¿No hay lugar en un programa de capacitación para dar consejos prácticos al personal sobre los riesgos que pueden ser más pronunciados fuera de la oficina? Conectarse a una red WiFi pública sin una VPN, reutilizar contraseñas en sitios web y compartir demasiada información en redes sociales son comportamientos peligrosos que pueden afectar a una organización, incluso aunque estas conductas ocurran después del horario de trabajo en dispositivos que no son propiedad ni están gestionados por el equipo de TI.

Adoptar esta visión holística en la formación tiene un doble beneficio. La organización no solo está más segura porque sus usuarios están mejor informados sobre las posibles amenazas en línea, sino que podrían tener un empleado que esté especialmente agradecido y aprecie que esta capacitación también le ayude a proteger sus dispositivos y su red en casa de forma más eficaz.

Los tres puntos de vista y la "visibilidad"

Recurrir a múltiples puntos de vista es un modelo relevante para mucho más que un programa de concienciación sobre la seguridad.

Una de las formas más prometedoras y poderosas de pensar en la visibilidad es el concepto de detección y respuesta extendidas (XDR). Este modelo reconoce que el supuesto rey de la visibilidad del pasado, los registros recopilados por un sistema de gestión de eventos e información de seguridad (SIEM), ya no son la mejor herramienta para lograr una conciencia situacional integral en todo el entorno, y ouede que nunca haya sido "la mejor herramienta".

Los registros son solo una perspectiva. Si a esto se le añaden los datos de la red y de los puntos finales, se obtienen tres puntos de vista del entorno. La combinación de estos tres planos de datos y de estos puntos de vista con capacidades como la orquestación y la automatización, el análisis basado en el aprendizaje automático y una plataforma de inteligencia contra amenazas, son los elementos que componen una XDR eficaz.

En materia de concienciación sobre la seguridad, una solución XDR puede ayudar a revisar los correos electrónicos y alertar cuando detecte un texto de hipervínculo que no coincida con el hipervínculo subyacente, un enfoque clásico de muchas campañas de phishing. Una solución de XDR puede indicar cuando se detecte comportamientos de los usuarios que deban investigarse, no necesariamente una señal de que realmente exista una amenaza, sino una actividad anómala, algo fuera de lo normal si se compara con el comportamiento del usuario hasta ese momento. Una solución de XDR puede acelerar el ritmo del flujo de trabajo de resolución enviando automáticamente un correo electrónico a un usuario que podría haber hecho clic accidentalmente en ese enlace ofuscado.

Independientemente de que se trate de la XDR o de un programa de concienciación sobre la seguridad, es imperativo recordar siempre que cuantas más perspectivas se tengan, mejor informados estarán todos en la empresa. 

El punto de vista del mundo, el punto de vista del negocio, el punto de vista del hogar: hay que tener en cuenta estas tres perspectivas o puntos de vista al considerar cómo crear o mejorar los esfuerzos de concienciación de seguridad existentes en la organización.

Ben Smith, Field CTO de NetWitness