Construir un firewall humano para hacer frente a las amenazas internas
Renee Tarun, CISO adjunta / Vicepresidenta de Seguridad de la Información en Fortinet Inc.
13/10/2020De forma consciente o no, los empleados pueden suponer un riesgo importante para la seguridad de las redes corporativas. De hecho, el 68% de las organizaciones se sienten moderadamente o extremadamente vulnerables a los ataques internos, como se ha señalado en un estudio reciente. Además de los que se consideran maliciosos internos, estas amenazas también pueden atribuirse al grupo conocido como “iniciados accidentales”. Según este mismo estudio, los equipos de seguridad consideran que ser víctima de ataques de phishing (38%) es la principal causa de las amenazas internas accidentales, seguido por el spear phishing (21%), las contraseñas deficientes (16%) y la navegación por sitios web con contenido malicioso (7%). En otras palabras, abrir la puerta a los ciberdelincuentes puede ser tan simple como hacer clic en un enlace o descargar un archivo sin tomarse el tiempo para determinar si es o no legítimo.
Los comportamientos descuidados y negligentes pueden afectar a largo plazo a las organizaciones, especialmente en el caso de una brecha de datos. Y con más teletrabajadores, más posibilidades de sufrir un ataque de ingeniería social. Por ello, es más importante que nunca que los CISO den prioridad a la concienciación de sus empleados en materia de ciberseguridad para ayudarles a comprender el papel que desempeñan en el mantenimiento de la seguridad de las redes y en la reducción del riesgo de amenazas internas.
Crear una cultura de seguridad
Considerando que los empleados pueden ser la mejor línea de defensa, es crucial que los CISO protejan sus organizaciones incluyendo la formación y la concienciación de los empleados en su estrategia de ciberseguridad. Al adoptar esta técnica, podrán asegurar que la fuerza laboral está preparada para enfrentar las diversas amenazas.
Independientemente de su cargo o función, todos los empleados deben comprender las repercusiones de un evento de seguridad y cómo podría afectar a la organización y a ellos personalmente. La importancia de este enfoque estratégico en toda la empresa se puso de relieve en una encuesta realizada por Forbes Insights en 2019 a más de 200 CISO. Cuando se les preguntó qué iniciativas de seguridad tenían previstas priorizar en términos de financiación durante los próximos cinco años, el 16% de los encuestados señaló la creación de una cultura de seguridad.
Este es un paso en la dirección correcta, si bien una buena ciberhigiene comienza porque los CISO ayuden a sus empleados a tomar en serio la ciberseguridad. Esto se puede lograr de las siguientes maneras:
Priorizar la ciberconciencia
Los ataques de ingeniería social son muy frecuentes en las organizaciones porque suelen tener éxito. De hecho, el Informe de Investigación de Brechas de Datos (DBIR) de Verizon de 2019 desveló que aproximadamente un tercio de todas las brechas involucraban el phishing de una manera u otra. Para combatir este riesgo, los CISO deben formar a sus empleados acerca de los ataques comunes que podrían aparecer en forma de phishing, spear phishing, smishing u otras estafas de soporte técnico. La comprensión de estas amenazas y de sus líneas rojas asociadas será fundamental para ayudar a los empleados a evitar ser víctimas de un correo electrónico falso o de sitios web maliciosos.
Además de enseñar los indicadores comunes de las ciberestafas, esta formación también debería incluir ejercicios de simulación de phishing diseñados para poner a prueba los conocimientos y determinar qué empleados podrían necesitar más ayuda. Mediante estas tácticas los empleados estarán mejor preparados para saber cuándo son el blanco de un ataque de ingeniería social y podrán, por lo tanto, actuar en consecuencia. El Instituto de Formación NSE de Fortinet ofrece un servicio de formación gratuito sobre ciberseguridad para enseñar a los empleados los crecientes riesgos de los ciberataques y aprendan cómo identificar las amenazas.
Crear una asociación entre el equipo de seguridad y otros departamentos
El peso de la ciberseguridad no puede recaer únicamente sobre los hombros de los equipos de seguridad y TI, sobre todo porque las ciberamenazas son cada vez más sofisticadas y difíciles de detectar. Además de garantizar que los empleados puedan identificar los ataques de phishing, los responsables de TI también deben fomentar la colaboración con otros departamentos. Si bien el equipo de seguridad será el experto en términos de determinar el riesgo y las amenazas, otros departamentos serán críticos para ayudar a desarrollar políticas fáciles de seguir tanto en la oficina como en entornos de trabajo remotos, incluso para aquellos que no son totalmente digitales.
Gracias a los esfuerzos de colaboración, los CISO pueden garantizar que todas las personas de la organización no solo conozcan las políticas de seguridad sino que también comprendan el impacto que sus acciones pueden tener en la organización en su conjunto. Ayudar a los empleados a comprender las prácticas de ciberseguridad y las consecuencias que sus acciones pueden tener debería conducir a mejoras en la forma en que estos individuos responden cuando se enfrentan a un email o sitio web sospechoso, incluso cuando trabajan desde casa.
Cuando los empleados saben lo que se espera de ellos y se sienten parte del equipo, son más proclives a aplicar las mejores prácticas y a eliminar las conductas que causan problemas internos accidentales, como olvidarse de cambiar las contraseñas o no usar contraseñas seguras. A medida que más empleados se sumen, el firewall humano que actúa como primera línea de defensa de la organización se hará más fuerte.
Establecer prácticas óptimas sencillas
Incluso una vez que los empleados son conscientes de lo que deben buscar en el caso de un ataque de ingeniería social, pueden seguir necesitando algo de orientación cuando se trata de los siguientes pasos. Es fácil ignorar o borrar un correo electrónico de aspecto sospechoso, ¿qué pasa con aquellos que parecen normales y de los que el receptor aún no está seguro? En este escenario, los CISOs deberían animar a los empleados a hacerse ciertas preguntas para ayudar a tomar la decisión correcta: ¿Conozco al remitente? ¿Esperaba este correo electrónico? ¿Este correo electrónico está invocando una emoción fuerte, como el miedo? ¿Me están diciendo que actúe con urgencia?
El receptor también debería tomar medidas adicionales para protegerse a sí mismo y a su organización como pasar el cursor sobre los enlaces para ver si son legítimos antes de hacer clic, no abrir archivos adjuntos inesperados, contactar con el remitente para verificar que realmente envió el correo electrónico y reportar todos los correos electrónicos sospechosos al equipo de TI o de seguridad. Explicando estos pasos a sus empleados desde el principio, los CISO pueden evitar repercusiones negativas en el futuro.
Tener ciberconciencia es fundamental cuando se trata de mantener seguras las organizaciones. Tanto si los empleados se dan cuenta como si no, sus acciones podrían abrir la puerta para que los ciberdelincuentes accedan a información sensible. La pasividad hacia la seguridad ya no es aceptable. Al priorizar la formación y la colaboración entre los departamentos y el equipo de seguridad, los CISO pueden sentar las bases de una sólida cultura de seguridad. La identificación de comportamientos sospechosos, el mantenimiento de los dispositivos actualizados y una actitud segura deben formar parte de la estructura de todos los puestos de trabajo para garantizar que el firewall humano se mantenga firme.
