Para los responsables de supervisar la protección de datos y la ciberseguridad de una organización, es un argumento familiar: “El empleado abre los archivos adjuntos de correo electrónico e infecta a las empresas con ransomware“.
Los titulares sobre este efecto no son para nada nuevos, incluso las soluciones de seguridad más avanzadas no pueden protegerse completamente contra los ataques más sofisticados que los piratas informáticos aprovechan para apuntar a usuarios individuales. Todo lo que se necesita es que un empleado abra un solo archivo adjunto malicioso o haga clic en un enlace infectado, y toda la postura de ciberseguridad de la empresa se pone en riesgo.
Debido a estas acciones que son tan simples y tan comunes como el abrir un correo electrónico, seguir un enlace a un sitio web, etc., hacen más difícil que nunca que las empresas refuercen su ciberseguridad. Sin embargo, con una capacitación sólida para los usuarios que ayuda a resaltar la importancia del papel de un miembro del personal en el panorama general de la protección de datos y la ciberseguridad, las empresas pueden reducir el riesgo de que uno de sus usuarios abra la puerta a un atacante digital.
Empleados: un eslabón débil de seguridad
Durante varios años, los empleados han representado uno de los puntos más débiles de la ciberseguridad empresarial. El colaborador del CIO Clint Boulton señaló que esto incluye no solo a los empleados de nivel inferior, sino también a los usuarios en los niveles de supervisión y administración. Los hackers utilizan cada vez más técnicas avanzadas para engañar a los usuarios y fomentar los ataques.
Además, Boulton descubrió que muchos empleados se están “arruinando en un falso sentido de ciberseguridad” cuando se implementan las medidas avanzadas de protección de datos y otras herramientas de protección.
Si bien el software avanzado puede ser considerablemente útil en la lucha contra las violaciones y el robo de datos, las empresas también deben dedicar el tiempo y esfuerzo necesarios a la capacitación de seguridad adecuada, y no confiar únicamente en las soluciones de software de ciberseguridad.
“Con una sólida capacitación a los empleados en ciberseguridad, las empresas pueden reducir el riesgo de que uno de sus usuarios abra la puerta a un atacante digital“.
“Ese es un gran problema que estamos viendo“, dijo a Boulton Theodore Kobus, líder del equipo de protección de datos y privacidad de BakerHostetler. “Las empresas realmente necesitan enfocarse en los temas clave para ayudar a evitar que estos ataques ocurran en primer lugar“.
Las estadísticas actuales respaldan esto: en general, el phishing, la piratería y el malware contribuyeron a la mayoría de los incidentes de ciberseguridad, con un 43 % en el 2016. De esto, el 32 % se debió a un error humano y el 18 % se debió a dispositivos perdidos o robados, informó Boulton.
Con un porcentaje tan alto de problemas debido a las acciones propias de los empleados, las empresas ya no pueden ignorar el papel clave de los usuarios en la postura de ciberseguridad en general. La capacitación adecuada, que incluye elementos sospechosos a los que debe prestar atención, así como el conocimiento de las técnicas de piratería actuales, debe ser una prioridad para las organizaciones en cualquier industria.
Cómo abordar la formación de empleados en ciberseguridad
A continuación algunos consejos y mejores prácticas para que las organizaciones puedan incorporar en su capacitación centrada en el empleado para ayudar a apoyar el éxito:
1. Asegurar que los empleados entiendan la importancia
De acuerdo con el autor y asesor de seguridad Anthony Howard para BitSight Tech, uno de los primeros y más importantes pasos en la capacitación, es asegurarse de que los empleados comprendan la importancia crítica del proceso. Si bien los trabajadores pueden estar conscientes del tipo de ataques que se producen en el panorama actual de la ciberseguridad, es crucial que los líderes de TI y otros gerentes de departamento hagan resaltar la importancia de la capacitación y los pasos de seguridad apropiados por parte de los usuarios.
“En conclusión: no importa qué firewall o detección de intrusión o VPN use, si sus empleados no entienden la importancia de la protección y la privacidad de los datos“, señaló Howard. “Nadie en su organización se preocupará por la seguridad de los datos, las políticas de privacidad, la protección de la propiedad intelectual o la violación de datos hasta que les diga por qué es importante, cómo puede afectarlos y luego les dirá qué hacer para evitarlo“.
[image url=”/wp-content/uploads/2018/12/Phishing.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”800″ height=”420″]
Los ataques de phishing, piratería y malware siguen siendo comunes para las empresas de todas las formas y tamaños.
2. Sensibilizar sobre las amenazas actuales
La capacitación en seguridad puede ser abrumadora, especialmente si la organización nunca había participado en este tipo de iniciativas. Debido a que el panorama de amenazas está cambiando constantemente, puede ser difícil discernir dónde comenzar. Sin embargo, un buen punto de partida incluye aumentar el conocimiento de las principales amenazas actuales y garantizar que los empleados comprendan cómo estas vulnerabilidades podrían afectar a la organización y qué medidas pueden tomar para reducir las posibilidades de que esto suceda.
Según como lo destacó Trend Micro en su Resumen de seguridad para mitad del año 2018, algunos de los principales problemas que se enfrentaron durante la primera mitad de este año incluyen:
- Serias vulnerabilidades de software y hardware, y los problemas de parches asociados.
- Ransomware
- Minería criptomoneda no deseada.
- Mega violaciones, o violaciones de datos que exponen o comprometen más de un millón de registros.
- Débil seguridad del router.
- Compromiso de correo electrónico (BEC).
- Muestras de malware de tamaño pequeño y sin archivos.
Asegurarse de que los empleados conozcan y comprendan las principales amenazas, como el ransomware y el compromiso del correo electrónico comercial, en particular, puede ayudar a reducir considerablemente las posibilidades de que estos problemas afecten la seguridad de la empresa.
3. Enfoque en estrategias clave: phishing e ingeniería social.
También es importante educar a los empleados sobre los enfoques que utilizan los piratas informáticos para admitir ataques como BEC y ransomware. Esto incluye phishing e ingeniería social, específicamente. Chris Taylor, de Trend Micro, informó que los ataques de phishing e ingeniería social fueron calificados como la preocupación de seguridad que más demoraba entre los asistentes a la conferencia de seguridad Black Hat 2017.
“El phishing es una de las tácticas más comunes utilizadas por los ciberdelincuentes“, explicó Taylor. “Empleando tácticas de ingeniería social, normalmente intentan engañar al usuario para que haga clic en un enlace malicioso o abra un archivo adjunto con malware. Esto, a su vez, podría llevar a una descarga de ransomware o incluso ser la primera etapa en una operación de ocultamiento de información más secreta diseñada para elevar los datos de los clientes o propiedad intelectual altamente sensible“.
Hay que asegurarse de que los empleados conozcan y comprendan las principales amenazas, como el ransomware y el compromiso del correo electrónico comercial, en particular, puede ayudar a reducir considerablemente las posibilidades de que estos problemas afecten la seguridad de la empresa.
4. Incluir a todos los usuarios: supervisores, consultores y proveedores.
No solo los empleados regulares pueden ser víctimas de la ingeniería social, el phishing y otras tácticas de piratería. Los ejecutivos, las organizaciones asociadas y los proveedores con acceso a las plataformas clave de la empresa, también pueden presentar una debilidad. Esta fue una dura lección aprendida por Target después de su violación de datos de 2013, que se debió a que los piratas informáticos aprovecharon las credenciales robadas del proveedor de HVAC de terceros.
De esta manera, la capacitación en seguridad debe extenderse a todos los usuarios con acceso a las plataformas de infraestructura de la empresa, incluidos consultores externos o proveedores de servicios, así como a supervisores internos y gerentes. Como dijo el jefe de seguridad de la información de Jerumai, Rocio Baeza, a BitSight Tech, esto se convierte en una parte cada vez más crítica de la capacitación a medida que aumenta la colaboración cruzada entre empresas.
“Exija que las políticas de ciberseguridad se apliquen a los empleados, contratistas y proveedores de servicios”, señaló Baeza. “Las empresas a menudo pasan por alto a los contratistas y proveedores de servicios, lo que significa que otros pueden, literalmente, alejarse con sus datos“.
Para obtener más información sobre las mejores prácticas para la capacitación en seguridad cibernética de los empleados y el papel que las soluciones de software avanzadas pueden desempeñar en la postura de seguridad general de una empresa, comuníquese con los expertos de Trend Micro hoy.
Leave a Reply