OpiniónSeguridad

Seguridad centrada en las personas: forme a su personal para proteger su organización

Adenike Cosgrov, Cybersecurity Strategist para mercados internacionales de Proofpoint.

Adenike Cosgrov, Cybersecurity Strategist para mercados internacionales de Proofpoint.
Adenike Cosgrov, Cybersecurity Strategist para mercados internacionales de Proofpoint.

 

2020 ha sido en todos los aspectos un año de gran actividad para los ciberdelincuentes. La combinación de la turbación causada por la COVID y el aumento del nivel de sofisticación de las amenazas ha provocado más víctimas de ciberataques habituales entre las organizaciones.

El informe State of the Phish 2021 de Proofpoint descubrió que el año pasado el 57 % de las organizaciones sufrieron un ataque de phishing que consiguió sus objetivos. Las consecuencias fueron devastadoras y de largo alcance. Casi dos tercios de los afectados perdieron datos y la mitad sufrieron compromisos de cuentas o credenciales.

Otro viejo conocido, el ransomware, siguió siendo un azote para las empresas en 2020. Aunque la prevalencia de los ataques es parecida a la de años anteriores, hay más organizaciones dispuestas a cooperar con los ciberdelincuentes, desafortunadamente, con resultados desiguales.

De los dos tercios de organizaciones que sufrieron un ataque de ransomware el año pasado, la mitad optó por pagar el rescate. Solo el 60 % de ellas recuperaron el acceso a sus datos tras el primer pago. Las demás debieron hacer frente a nuevas exigencias de rescate o bien no obtuvieron respuesta alguna. Por regiones, el 41 % de las empresas españolas rechazaron pagar un rescate tras sufrir una infección, siendo las menos propensas a negociar con los ciberdelincuentes.

Las viejas tácticas, como el phishing y el ransomware, siguen dando sus frutos, y esto debe ser motivo de preocupación para los equipos de ciberseguridad

Las viejas tácticas, como el phishing y el ransomware, siguen dando sus frutos, y esto debe ser motivo de preocupación para los equipos de ciberseguridad. Si bien es cierto que la aparición de la pandemia afectó al porcentaje de éxito de los ciberataques el año pasado, realmente esto solo fue una parte del problema.

Lo más grave es la naturaleza de las amenazas modernas, que son cada vez más convincentes y están más focalizadas. Los ciberdelincuentes continúan dirigiendo cada vez más sus ataques a las personas, en lugar de a redes o infraestructuras.

Y, aunque las protecciones técnicas avanzan a buen ritmo, no ocurre igual con la concienciación de los usuarios. Mientras esto ocurra, las empresas estarán echando el pestillo en la puerta de entrada, pero dejando abierta la puerta de salida. 

Cerrar la brecha de concienciación

La concienciación de los usuarios es la herramienta más importante de su arsenal de ciberdefensa, a un nivel equivalente al de cualquier otra protección o control técnico. A pesar de esto, rara vez se le concede el mismo grado de atención o recursos.

Casi el 100 % de las organizaciones cuentan con un programa de formación en materia de seguridad. Sin embargo, cuando analizamos los detalles detrás de estas estadísticas nos topamos con la realidad.

Para casi la mitad de estas organizaciones, las sesiones de formación para concienciar en seguridad se llevan a cabo como máximo cuatro veces al año, e incluso en estos casos, en la mayoría se dedican menos de dos horas a este tema. Para agravar el problema, solo la mitad realizan formación en toda la empresa, y solo el 60 % ofrecen sesiones de formación formales, ya sean online o presenciales.

Además, en 2020 el 87% de las empresas españolas han obligado o solicitado a la mayoría de sus empleados que teletrabajen, pero solo el 36 % los han formado sobre las mejores prácticas para trabajar desde casa.

Esta falta de formación integral se refleja claramente en la concienciación de los usuarios. A pesar de que leemos continuamente noticias sobre ataques de gran relevancia, solo el 33 % de los usuarios saben la definición correcta de ransomware. En la misma línea, solo el 65 % y el 63 % conocen los conceptos de malware y phishing, respectivamente.

Aunque a los profesionales de la ciberseguridad esto les parecerá increíble, pone de manifiesto el abismo que hay entre tener constancia de un hecho y conocerlo en profundidad.

Es posible que sus empleados hayan oído hablar de marcas populares o con fama mundial que han sido víctimas de ataques de phishing o ransomware. Pero eso no significa que entiendan la mecánica de la amenaza. Y, ciertamente, no indica que conozcan el papel que ellos juegan en la defensa contra ella.

Para suplir esta falta de conocimientos, los programas de concienciación en materia de seguridad deben ir más allá de los conceptos básicos de las amenazas habituales, y formar a los usuarios sobre sus responsabilidades en cuanto a ciberseguridad. 

Identificación de sus personas muy atacadas

Para mejorar la protección, antes debe saber quiénes son las personas que están sufriendo los ataques. Esto puede ayudarle a proporcionar la formación adecuada a las personas que la necesitan, en función de cuáles son los usuarios que tienen más riesgos. En Proofpoint, a estos usuarios los llamamos VAP (Very Attacked People), o personas muy atacadas.

Cuando vaya a emprender esta investigación debe dejar de lado cualquier idea preconcebida que pueda tener. Sus VAP pueden ocupar cualquier puesto en la jerarquía de su organización. Aunque los ataques a VIP, como miembros de la Junta directiva, pueden resultar más lucrativos, los atacantes se dirigen con frecuencia a empleados de otros niveles del escalafón. Además, los VAP varían según las empresas y los sectores.

En un ejemplo reciente, Proofpoint observó que los 20 VAP principales de una gran organización de atención sanitaria también eran VIP. Por el contrario, solo un VIP recibió un ataque durante el mismo período de tres meses en una empresa financiera.

Y esto es solo un ejemplo puntual. Como ocurre con la formación para concienciar en materia de seguridad, la identificación de los VAP no es una actividad puntual; las personas muy atacadas cambiarán continuamente y habrá usuarios incorporándose y saliendo de la lista cada mes.

Una vez que haya identificado a sus VAP, puede evaluar sus niveles de concienciación en seguridad. Con esta información, puede diseñar programas de formación personalizados que proporcionen educación en el contexto de los perfiles de riesgo concretos y se centren en lagunas de conocimiento fundamentales de los usuarios.

Esto es la ciberseguridad centrada en las personas. Y con frecuencia es la única barrera de seguridad entre sus datos, redes y sistemas y los ciberdelincuentes.

Construcción de una ciberdefensa centrada en las personas

Los ciberdelincuentes tienen el firme propósito de atacar su empresa. Si usted no muestra la misma determinación a la hora de defenderla, el resultado es inevitable.

Los controles y procesos técnicos, y las mejores prácticas no bastan por sí solos. El comportamiento de los usuarios es el mayor factor de riesgo para las empresas modernas, por lo que cambiar ese comportamiento es esencial para conseguir una ciberdefensa robusta.

La única vía para conseguir esto es crear una cultura en la que la ciberseguridad no solo preocupe al equipo de TI, sino que sea responsabilidad de todos. Esta cultura se alimenta de una formación continua sobre concienciación en contexto. La formación debe estar adaptada a sus usuarios y basada en inteligencia sobre amenazas real y en el panorama de amenazas en continua evolución. Cuanta más información se tenga sobre los ataques dirigidos a la organización, más personalizada puede ser la formación.

No se trata de formar a los usuarios para que aprueben un examen. Hay que entrenarlos para que defiendan la organización. Su programa de formación para concienciar en materia de seguridad debe reflejar esta idea. No puede limitarse a definiciones de diccionario y ataques simulados, debe centrarse en el comportamiento y en cómo este incrementa el riesgo. Implicar a los usuarios a nivel técnico también puede ayudar a mejorar su interacción.

Cuando los empleados entienden la relación entre reutilizar una contraseña y una fuga de datos o entre hacer clic en un enlace de un remitente desconocido y el ransomware, cambian su comportamiento: el 80 % de las organizaciones afirman que la formación para concienciar en seguridad ha reducido su vulnerabilidad ante los ataques.

La ciberseguridad ya no es una disciplina técnica. En la era de los ataques centrados en las personas, el conocimiento y la concienciación son fundamentales. Cuanto más sepan los usuarios, más segura estará su organización.

Computing 804