Lucha contra el phishing con intención



Los ejercicios de suplantación de identidad se han convertido en un elemento básico, pero ayuda a ser lo más claro posible sobre exactamente por qué los está haciendo.

En ciencia e ingeniería, el análisis de causa raíz es un método utilizado para identificar la fuente principal de un problema. Sin asignar la culpa, los ingenieros hacen preguntas para entender por qué ocurrió un problema. ¿Que pasó? ¿Qué salió bien? ¿Qué no salió tan bien? ¿Dónde tuvimos suerte? ¿Que podemos hacer para mejorar? Al hacerlo, los ingenieros colaboran en ajustes incrementales de herramientas y procesos. La clave: ser intencional para aprender algo de la experiencia.

Los ejercicios de phishing son un elemento básico en la mayoría de los programas de concientización de seguridad, aunque generalmente carecen de intención y su utilidad a menudo se debate. Los equipos de seguridad envían correos electrónicos y comprueban quién los abre, hace clic en enlaces, comparte contraseñas. ¿Con qué propósito? Algunos argumentan que es por cumplimiento o para educar al particular. Algunos dicen que es para avergonzar a quienes muerden el anzuelo. Estoy a favor de los ejercicios de phishing, siempre y cuando tengamos claro por qué los estamos haciendo. Pero, ¿qué pasaría si fuéramos tan intencionales sobre el phishing como lo son los ingenieros sobre el análisis de la causa raíz?

Ser intencional sobre un ejercicio de phishing significa decidir lo que queremos lograr. Significa que creamos el ejercicio con un propósito específico en mente, no marcar una casilla. Si no estamos seguros de cuáles son nuestros objetivos, debemos pensar un poco en por qué estamos haciendo el ejercicio en primer lugar. ¿Nos lo pidió el jefe? ¿Siempre lo hacemos una vez por trimestre? ¿Estamos obligados a hacerlo? ¿Queremos ver si Alice es un robot, si Bob está prestando atención o si le da una lección al departamento de finanzas? Podemos crear un ejercicio más útil si tenemos claros nuestros objetivos para hacerlo.

A menudo hablamos de un ejercicio de phishing como algo que estamos haciendo para nuestro personal: educarlos sobre cómo se ve el phishing y enseñarles qué hacer si reciben un correo electrónico sospechoso. Para recordarles que se mantengan vigilantes y tengan cuidado al abrir correos electrónicos de extraños. Para medir algo, cualquier cosa. Pero con un poco de planificación anticipada y una intención clara, podemos utilizar ese ejercicio para nuestro beneficio: podemos aprender más sobre las personas que apoyamos, cómo trabajan, qué necesitan más de nosotros. No podemos capacitar a las personas para que trabajen de manera segura si no sabemos cómo apoyarlos mejor.

Cuando trabajaba para The New York Periods, utilizaba ejercicios de phishing para introducir la seguridad en la redacción. Enviaría correos electrónicos, verificaría las respuestas y publicaría un resumen interno una semana después. El propósito no period marcar una casilla, asustar a los periodistas o clasificar diferentes departamentos. El propósito era hacer que la gente hablara de seguridad. Para hacer preguntas, de nosotros y de sus colegas. Para comenzar una conversación y conseguir que nos inviten a reuniones semanales. Admito que pasar por alto el departamento de comunicaciones corporativas fue una ventaja adicional.

Podemos aprovechar los ejercicios de phishing para conocer las necesidades de nuestro individual y educarlos sobre las mejores prácticas de una manera que tenga sentido para ellos en lugar de para nosotros. ¿Pero cómo? No encontrará las respuestas en la cantidad de aperturas, clics o envíos. Presta atención a las preguntas que las personas hacen en las semanas posteriores a un ejercicio: las preguntas que las personas hacen en el pasillo, en el elevador, mientras esperas tu café. Escuche las preocupaciones que comparten, no importa cuán tontas o paranoicas crean que suenan. Entonces, y solo entonces, sabrás lo que están buscando y cómo puedes apoyarlos mejor.

Los ejercicios de phishing nos ayudan a identificar campeones de seguridad entre nuestro personalized. Los que informan cada ejercicio. Los que hacen preguntas, siempre ansiosos por aprender más. Los que preguntan si pueden escribir el correo electrónico de phishing del próximo mes. Los que se esfuerzan por compartir sus conocimientos y apoyar a sus colegas. Los que reconocen que la seguridad es importante para su trabajo. Quienes creen que todos merecen una buena seguridad y que ven la seguridad como una responsabilidad social, no algo que su equipo hace solo. Necesitas apoyarlos, alentarlos, empoderarlos. Comience un club y traiga bocadillos.

¿Alguna vez te has preguntado qué tan bien va tu entrenamiento de conciencia? Encontrará que objetivos e intenciones claros conducen a la creación de mejores métricas. Sabrá qué medir una vez que tenga claro lo que está tratando de lograr. ¿Quieres que la gente tome conciencia de la existencia de tu equipo? ¿Quieres que tu equipo sea más noticeable? ¿Aumentar la cantidad de solicitudes de soporte que recibe su equipo? ¿Obtener información sobre las prioridades para el próximo trimestre? Los ejercicios de phishing pueden ayudarlo a lograr todas estas cosas.

La próxima vez que crees un ejercicio de phishing, pregúntate por qué.

Contenido relacionado:

Runa Sandvik trabaja en seguridad digital para periodistas. Su trabajo se basa en la experiencia de su tiempo en The New York Periods, Flexibility of the Press Foundation y The Tor Project. Es miembro de la junta de la Asociación Noruega de Noticias en línea y tuitea como @runasand. Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial