Cómo fortalecer el elemento humano de la ciberseguridad


Profesional de TI trabajando frente a una computadora portátil
Imagen: Unsplash

La mejor defensa contra los ataques cibernéticos no son las soluciones tecnológicas de seguridad cibernética, sino el fortalecimiento del elemento humano, Perry Carpenter, veterano de seguridad cibernética, autor y director de seguridad evangelizadora de SaberBe4dijo.

de Verizon Informe de investigaciones de violación de datos de Small business 2022 reveló que el elemento humano continúa impulsando las infracciones, lo que representa el 82% de todos los ataques. Y los ataques son cada vez más agresivos, con ransomware saltando un 13 % en 24 meses, un aumento remarkable al de los últimos cinco años combinados.

“A medida que continuamos acelerando hacia un mundo cada vez más digitalizado, las soluciones tecnológicas efectivas, los marcos de seguridad sólidos y un mayor enfoque en la educación desempeñarán su papel para garantizar que las empresas permanezcan seguras y los clientes protegidos”, dijo Hans Vestberg, director ejecutivo y presidente de Verizon. .

El informe de Verizon expone el costo de la influencia humana. “Las personas siguen siendo, por mucho, el eslabón más débil en las defensas de seguridad cibernética de una organización”, dice la compañía.

KnowBe4, una plataforma de phishing simulada y capacitación en concientización sobre seguridad, lanzó recientemente una package de recursos diseñado para ayudar a los profesionales de TI y seguridad informática a mejorar su elemento humano de seguridad. La organización dijo que los profesionales de TI aún enfrentan desafíos cuando se trata de crear un programa de concientización sobre seguridad.

Carpenter, en contacto con TechRepublic, compartió las lecciones de seguridad humana que aprendió en los últimos años. Advierte que, si bien las crecientes estadísticas de ciberseguridad son motivo de gran preocupación, las empresas deben mirar más allá.

“Desafortunadamente, conocer las amenazas a la ciberseguridad es solo la mitad de la batalla. Hacer algo por ellos y, lo que es más importante, hacer algo para prevenir ellos, es donde realmente deberías pasar tu tiempo”, dijo Carpenter. Explicó que incluso aquellos que participan en esfuerzos de concientización sobre seguridad sufren de un defecto fatal: la brecha de conocimiento-intención-comportamiento.

VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)

La brecha conocimiento-intención-comportamiento

“El hecho de que los miembros de su equipo estén al tanto de algo no significa que les importe”, dijo Carpenter. La brecha de conocimiento-intención-comportamiento explica por qué las infracciones continúan aumentando a pesar de las inversiones que hacen las empresas para crear programas sólidos de concientización sobre seguridad cibernética para todos los trabajadores.

Según Carpenter, los trabajadores pueden ser conscientes de las amenazas y los riesgos, cómo trabajan y qué deben hacer para evitarlos, pero aun así no toman las medidas necesarias para mantener la seguridad de la empresa.

Para revertir esta situación, las empresas deben cerrar las brechas entre el conocimiento y la intención para fomentar comportamientos correctos entre sus trabajadores. Esto requiere un enfoque con el que lucha la industria de la ciberseguridad altamente técnica: trabajar con la naturaleza humana.

Trabajando con la naturaleza humana

Los programas de ciberseguridad efectivos funcionan con la naturaleza humana porque las organizaciones cibercriminales se han vuelto expertas en manipularla. Los líderes pueden preguntarse por qué, si sus trabajadores están informados, caen en todo tipo de estafas y campañas de phishing.

La respuesta, según Carpenter, no tiene nada que ver con cuán inteligentes son los empleados. Las técnicas más exitosas para violar un sistema no dependen de malware sofisticado sino de cómo manipulan las emociones humanas. Los atacantes aprovechan la curiosidad organic, la impulsividad, la ambición y la empatía.

Otro método es la vieja técnica de internet marketing de ofrecer cosas free of charge. Las campañas publicitarias masivas de Clickbait pueden ser increíblemente efectivas y, para los ciberdelincuentes, son puertas de entrada para descargar malware y ransomware. Prometerán dinero en efectivo, oportunidades de inversión o simplemente un lavado de autos gratis, sabiendo que es muy difícil para los humanos resistirse a una oferta aparentemente inofensiva y atractiva.

Otra tendencia al alza manipula la empatía humana. En 2020, el FBI advirtió sobre esquemas de fraude emergentes relacionados con COVID-19, y en mayo de 2022, el Centro de Quejas de Delitos en World wide web del FBI IC3 alertó que los estafadores se hacían pasar por entidades ucranianas que solicitaban donaciones. Los delincuentes no se detendrán ante nada y utilizarán las crisis humanitarias o los eventos posteriores a los desastres naturales para fabricar ataques de ingeniería social.

Los ciberdelincuentes también están creando ataques altamente personalizados utilizando la información de los empleados que obtienen a través de las redes sociales y los sitios en línea. Además, al saber que un empleador responde ante un gerente, RRHH o el director ejecutivo de una empresa, aprovecharán esa relación y se harán pasar por personas de autoridad dentro de la organización. “Envían mensajes falsos del director ejecutivo con instrucciones para transferir fondos a una cuenta de proveedor falsa o engañar a los empleados para que comprometan otros correos electrónicos comerciales fraudulentos (BEC) esquemas”, dijo Carpenter.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Gestión de la comunicación, el comportamiento y la cultura.

Carpenter explicó que las empresas deben brindar capacitación continua en seguridad a sus empleados en tres áreas:

  • Comunicación
  • Comportamiento
  • Gestión de la cultura

Compartió con TechRepublic los puntos clave que los líderes pueden usar para crear lecciones para cada sección.

Lecciones de comunicación

  • Entiende a tu audiencia y lo que valoran.
  • Capte la atención de las personas y conéctese con la emoción: haga que sus mensajes sean atractivos. No solo comparta hechos, sino que use historias y ejemplos para conectarse.
  • Tenga un claro llamado a la acción: dígales a sus equipos, específicamente, lo que deben hacer.

Lecciones de comportamiento

  • Reconozca la brecha de conocimiento-intención-comportamiento como una realidad que afecta cualquier comportamiento que espera alentar o desalentar. Los miembros de su equipo pueden tener el conocimiento que necesitan y las mejores intenciones, pero su objetivo es, en última instancia, impactar en sus comportamientos.
  • La gente no es racional. Necesitamos ayudarlos con indicaciones, herramientas y procesos que hagan que los comportamientos sean más fáciles y se sientan más naturales.
  • Coloque las herramientas y el entrenamiento lo más cerca posible del punto de comportamiento.

Lecciones de gestión cultural

  • Comprenda su cultura tal como existe actualmente mediante encuestas de medición de cultura, grupos focales, observación y más.
  • Identifique posibles «portadores de cultura» que estén equipados y capacitados para ayudar a respaldar la mentalidad y los comportamientos que desea ver exhibidos en todo su equipo.
  • Diseñe estructuras, presiones, recompensas y rituales que sean continuos y aborde las diferencias únicas entre varios grupos.

EPM y simulaciones de phishing

En 2021, IBM reveló que el costo promedio de un ataque de punto remaining es de $ 4.27 millones. A medida que los modelos de trabajo híbridos se vuelven la norma y la superficie de ataque se expande con millones de nuevos dispositivos conectados fuera de las redes corporativas, las soluciones de ciberseguridad como Endpoint Privilege Management (EPM) y las simulaciones de phishing se nivelan para responder a las brechas de seguridad.

Acento destacó recientemente cómo los EPM podrían permitir a los usuarios realizar su trabajo de manera eficiente y segura sin correr el riesgo de infracciones. Los EPM brindan a los puntos finales un conjunto mínimo de privilegios que eliminan los derechos administrativos de la foundation de usuarios y controlan qué aplicaciones pueden ejecutarse. “Solo se permite la ejecución de aplicaciones confiables y verificadas, y lo hacen con el conjunto de privilegios más bajo posible”, explica Accenture.

Otra herramienta de seguridad que se está volviendo cada vez más crítica para identificar vulnerabilidades del elemento humano y fortalecer las brechas mientras se educa a los usuarios son las simulaciones de phishing. Los equipos de TI simulan campañas de phishing en simulaciones de phishing para visualizar cómo responden los trabajadores. Esto permite a los equipos probar su postura de seguridad, identificar puntos débiles y aprender de las simulaciones.

“Incluso cuando ha logrado resultados transformadores, su viaje rara vez termina. Los malos actores seguirán encontrando formas innovadoras de frustrar nuestros mejores esfuerzos. Su respuesta será adaptarse constantemente y comprometerse con un proceso de mejora continua”, dijo Carpenter.



Enlace a la noticia primary