Es posible que los trabajadores no tengan conciencia sobre los ciberataques y la ciberseguridad


Una encuesta de Armis a profesionales de negocios apunta a la falta de conocimiento sobre incidentes recientes y la higiene cibernética adecuada.

cybersecurity.jpg

Imagen: Yuichiro Chino / Moment / Getty Photos

Una de las formas clave de defender su organización contra los ciberataques involucra a sus propios empleados. Para protegerse a sí mismos y a su empresa contra campañas de phishing, malware y otros tipos de ataques, sus trabajadores deben tener cierta conciencia de los incidentes cibernéticos y, lo que es más importante, las mejores prácticas de seguridad. Pero una encuesta reciente del proveedor de seguridad Armis revela una falta de conocimiento en ciertas áreas de seguridad entre muchos encuestados.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)

Realizada en mayo de 2021, la encuesta recibió respuestas de 2.004 profesionales en activo en todo Estados Unidos. Los encuestados provenían de una variedad de industrias y sectores, que incluyen educación, finanzas, salud, TI y telecomunicaciones, manufactura, ventas, medios y promoting. El objetivo de la encuesta era medir la conciencia de los incidentes cibernéticos recientes y las prácticas adecuadas de ciberseguridad entre los profesionales, según Armis.

El reciente ataque de ransomware contra el proveedor de tuberías Colonial Pipeline y el reciente intento de un pirata informático de envenenar el agua en una planta de tratamiento de Florida han sido noticia. Ambos incidentes recibieron una buena cantidad de cobertura, no solo en la prensa tecnológica sino en los medios de comunicación en basic. Sin embargo, el 21% de los profesionales encuestados por Armis no había oído hablar del ataque contra Colonial Pipeline. Además, el 45% de los encuestados desconocía el ataque contra la planta de tratamiento de agua de Florida.

Incluso entre quienes están familiarizados con estos ciberataques recientes, algunos no ven ningún impacto duradero. En respuesta a la amenaza de ransomware, Colonial Pipeline se vio obligado a cerrar su canalización por un tiempo. En otro incidente, JBS Meals tuvo que cerrar temporalmente sus operaciones de procesamiento de carne en los EE. UU. Y Australia luego de un ataque de ransomware. Sin embargo, el 24% de los encuestados por Armis dijeron que no creían que el ataque contra Colonial Pipeline tendría efectos duraderos en la industria de combustibles de EE. UU.

Sin embargo, en el lado positivo, los encuestados reconocieron el efecto potencial typical de los ciberataques en la sociedad. Un abrumador 86% de los encuestados dijo que cree que los ataques a servicios críticos, como proveedores de petróleo, servicios de salud, departamentos de policía e instalaciones de tratamiento de agua, podrían tener un impacto importante en la vida cotidiana.

Desde principios de 2020, la pandemia de coronavirus ha obligado a más personas a trabajar desde casa y utilizar sus dispositivos personales para proyectos laborales. Ahora que las empresas están comenzando a abrirse nuevamente, muchos empleados se están moviendo hacia un modelo híbrido de trabajo tanto en casa como en la oficina. Como tal, es más possible que traigan los mismos dispositivos desde casa u otra ubicación remota a la oficina. ¿Eso representa un riesgo de seguridad? Eso depende.

Si una organización asegura firmemente el dispositivo y se asegura de que el trabajador siga una higiene cibernética adecuada, los riesgos deberían ser mínimos. Pero ese no es siempre el caso. Un dispositivo no seguro combinado con un empleado que no conoce las mejores prácticas de seguridad puede abrir fácilmente la puerta a un aumento de las amenazas cibernéticas.

Alrededor del 71% de los profesionales encuestados dijeron que planean llevar sus dispositivos del trabajo desde casa a la oficina. A pesar de los posibles riesgos, más de la mitad (54%) de los encuestados dijeron que no creen que sus dispositivos personales representen una amenaza para su organización. Sin embargo, alrededor del 27% de los encuestados dijo que sus empresas no tienen políticas vigentes para proteger tanto los dispositivos laborales como los personales.

Pero, ¿es justo suponer que los empleados no técnicos deberían estar al tanto de los últimos incidentes cibernéticos? ¿Y la falta de conocimiento sobre los ataques en las noticias juega un papel en los hábitos de higiene cibernética de un trabajador?

«Este informe de Armis sugiere que la población en general sigue lamentablemente inconsciente de los ciberataques importantes, pero incluso si el 100% lo supiera, ¿está claro que saben qué papel desempeñan para mantener la seguridad de las organizaciones?» preguntó Sounil Yu, director de seguridad de la información de la empresa de gestión de activos cibernéticos JupiterOne. «¿Cuán importante papel deberían desempeñar? ¿Las políticas de seguridad que prohíben o controlan la introducción de dispositivos personales o de IoT habrían evitado los ataques a Colonial Pipeline y la planta de tratamiento de agua?»

Esperar automáticamente que sus compañeros de trabajo adquieran el conocimiento suficiente sobre ciberseguridad para ayudar a combatir los ataques es una temeridad, a menos que les brinde la capacitación adecuada. Los empleados deben comprender cómo estos ataques se relacionan con ellos y con sus trabajos antes de poder dedicarse a unirse a la lucha.

«La conciencia de seguridad debe adaptarse a lo que es relevante para los empleados e idealmente entregársela a tiempo durante los incidentes», dijo John Bambenek, asesor de inteligencia de amenazas del proveedor de inteligencia Netenrich.

«Conocer los detalles de los recientes ataques a servicios públicos no se traduce en que los empleados sepan qué archivos adjuntos no deben abrir o en qué enlaces de phishing no deben hacer clic», agregó Bambenek. «Cuando los empleados generan alertas de seguridad, es importante tener una conversación con ellos de una manera muy no hostil para usar esos momentos como educativos. Las simulaciones de phishing también han arrojado algunos resultados, pero cuanto más puede hacer que la conciencia de seguridad sea relevante para lo que el empleado realmente ve es essential «.

Sin embargo, la conciencia y la comprensión de un empleado sobre la ciberseguridad es very important, ya que la mayoría de los ataques están dirigidos contra ellos. La falta de conciencia convierte a un empleado en un blanco fácil para un ciberdelincuente que busca acceder a la pink de una organización a través de un ataque de phishing o ingeniería social, según Joseph Carson, científico jefe de seguridad de la firma de seguridad ThycoticCentrify.

«Asegurar que los empleados de todos los niveles reciban la capacitación suficiente, como identificar correos electrónicos con malware y otros intentos rudimentarios de robo de credenciales, puede ser un paso importante para ayudar a reducir la tasa de éxito de un ataque o al menos generar una alerta. «Dijo Carson. «Al normalizar la formación dentro de la cultura del lugar de trabajo, las organizaciones pueden ayudar a mantener la atención a estas prácticas a largo plazo».

Por último, las organizaciones deben invertir tiempo y recursos tanto en la educación de los empleados como en la tecnología de seguridad como un enfoque doble para combatir los ataques. Con ese fin, AJ King, CISO de la empresa de respuesta a incidentes BreachQuest, ofrece las siguientes sugerencias:

  1. Contrate personas dedicadas a la concienciación de la seguridad que no sean ingenieros, sino profesionales de marketing que sepan cómo involucrar a una audiencia para educar a sus empleados.
  2. Implemente herramientas técnicas que eviten que las personas cometan errores fácilmente prevenibles.
  3. Configure la autenticación multifactor, especialmente para sistemas de correo electrónico, VPN y cuentas privilegiadas.
  4. Elimine los privilegios de administrador local para los usuarios estándar.
  5. Adopte un administrador de contraseñas en toda su organización para mejorar y facilitar la seguridad de las contraseñas para todos los empleados.

Ver también



Enlace a la noticia initial