Capacitación en concientización sobre ciberseguridad ¿qué nos está haciendo falta?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La capacitación en concientización sobre ciberseguridad es un proceso de enseñanza a los empleados sobre las mejores prácticas para proteger los datos y la infraestructura de una organización contra las amenazas cibernéticas. La capacitación puede cubrir una amplia gama de temas, como la identificación de correos electrónicos de phishing, la creación de contraseñas seguras y el uso de software antivirus.
La capacitación en concientización sobre ciberseguridad es importante porque ayuda a los empleados a tomar conciencia de los riesgos cibernéticos y a tomar medidas para protegerse. Los empleados son a menudo el eslabón más débil de la cadena de seguridad, por lo que es esencial que estén bien capacitados para identificar y evitar las amenazas.
Entonces ¿qué pasa?, ¿por qué no estamos llegando al punto que necesitamos?
La capacitación en concientización sobre seguridad no está funcionando al nivel que necesita. No protege a todas las industrias y a todas las personas todo el tiempo. La ingeniería social, sin embargo, está mejorando.
¿Qué podemos hacer en este sentido?
Primero, debemos separar la capacitación de concientización de su enfoque principal: el phishing. El phishing en sí mismo no es el problema completo: el problema es el elemento de ingeniería social del phishing que lo hace exitoso. La ingeniería social es la verdadera amenaza, y centrarse exclusivamente en el phishing significa que estamos abordando solo un subconjunto del problema.
La verdadera pregunta que debe hacerse es, ¿por qué la ingeniería social es tan exitosa y cómo podemos abordar este problema? El phishing puede parecer el tema principal porque es el enfoque de la mayoría de las personas; pero recuerde en todo momento, es la ingeniería social lo que lo sustenta.
La efectividad de la capacitación de concientización a menudo se ve socavada por el hecho de que es difícil cubrir todos los escenarios posibles de ingeniería social, y las personas aún pueden caer en ataques que no han enfrentado antes.
Por ejemplo, el tema de los ataques BEC.
El fraude de correo electrónico comercial (BEC) es un tipo de ataque cibernético en el que los atacantes intentan engañar a las víctimas para que revelen información confidencial o tomen acciones que les beneficien. Los ataques BEC suelen utilizar correos electrónicos de phishing que parecen ser de fuentes fiables, como empresas o individuos conocidos. Los correos electrónicos de phishing pueden contener enlaces a sitios web maliciosos o archivos adjuntos que contienen malware. Los atacantes también pueden utilizar técnicas de ingeniería social para manipular a las víctimas para que revelen información confidencial, como contraseñas o números de tarjetas de crédito.
Hoy en día, con los ataques BEC en aumento, es crucial que el liderazgo ejecutivo esté capacitado en campañas de phishing dirigidas a humanos porque están bajo un ataque implacable y un sólo movimiento en falso podría tener consecuencias desastrosas.
También está el tema de la gestión inadecuada de las capacitaciones, porque el problema más grande es que las organizaciones imponen la responsabilidad exclusiva de prevenir una infracción a los empleados al ofrecerles capacitación y castigar a cualquiera que falle. Los programas de concientización sobre seguridad a veces pueden tener el efecto opuesto al deseado cuando culpan o dan ejemplo a un empleado que comete un error. Esto disuade a los empleados de reconocer sus errores o incluso de informar incidentes cuando todavía hay tiempo para detener un ataque.
Entonces puede ser que el verdadero problema es que la responsabilidad suele recaer demasiado en el usuario final y no en la propia industria de la ciberseguridad.
Posiblemente nos concentramos demasiado en el "qué" en lugar del "por qué": lo que tiene éxito para el atacante en lugar de por qué tiene éxito. El "qué" podría ser un correo electrónico de phishing. El 'por qué' sería 'ingeniería social'. La pregunta, '¿Por qué falla la capacitación en concientización?' podría reformularse como '¿Por qué tiene éxito la ingeniería social?'
El cerebro es un procesador de información de capacidad limitada, sólo puede tratar con un cierto número de cosas en un momento dado. Por lo tanto, filtra la información y nos hace tomar atajos para manejar el gran volumen de información que enfrentamos.
Nuestro enfoque está en lo que sea que esté actualmente en la mente. Esto suele ser completar nuestro trabajo de la manera más eficiente posible. El filtrado suele ser subconsciente para permitirnos retener el enfoque. Gira en torno a nuestros propios prejuicios subconscientes, incluidos los prejuicios, las preferencias, las ambiciones, las esperanzas y los miedos, etcétera. Y los atacantes entienden esto, pues a menudo lanzan ataques cuando nuestros procesadores limitados tienen preocupaciones adicionales, como el fin de semana, un feriado o el brote de una pandemia. En este punto, nuestros procesadores limitados ya están abrumados con información y nuestros sesgos aumentan.
El atacante utiliza sesgos extremos, como la codicia, el miedo y la necesidad de prisa, como desencadenantes de la ingeniería social. Las víctimas están más preocupadas por terminar el trabajo e irse a las fiestas del fin de semana que por analizar el último correo electrónico. La víctima está en modo de respuesta más que analítico. Subconscientemente, no es trabajo del usuario preocuparse por la ciberseguridad, ese es el trabajo del equipo de ciberseguridad.
Cuando trabajo en un entorno de trabajo contenido y controlado se supone que la institución cuidará de mí. La institución detendrá a las personas que entren al edificio para robarme, protegerán mis bienes personales que llevo al trabajo, estarán disponibles para ayudarme si tengo un problema y proporcionarán tecnología que ayudará a detener los ataques. Todo esto limita la cantidad de conciencia de las amenazas de seguridad cibernética.
Es esta combinación de sobrecarga de información, sesgo personal y la disminución subconsciente de la ciberseguridad como "no es mi problema" lo que le permite al delincuente usar el tiempo y los factores desencadenantes para romper las defensas humanas.
La selección de objetivos implica investigar el objetivo para comprender los sesgos específicos. Esto se puede hacer fácilmente a través de las redes sociales y la huella en línea del objetivo. El resultado es un atacante que sabe exactamente qué disparador de sesgo debe activar para atrapar al objetivo con un alto grado de éxito. La orientación por parte de un atacante con buenos recursos, con tiempo y habilidades, casi siempre tendrá éxito.
Si el enfoque actual para combatir la ingeniería social no funciona, mientras la amenaza aumenta, debemos intentar algo diferente.
El principal problema es que estamos entrenando a las personas para que reconozcan los ataques, como el phishing, sin abordar sus prejuicios personales, es decir, su comportamiento personal.
La conciencia de seguridad debe ir de la mano con el entrenamiento conductual y el cambio de comportamiento es mucho más difícil que el simple reconocimiento.
La gente simplemente reacciona más a sus prejuicios subconscientes que a su conocimiento consciente. Crear un nuevo sesgo "bueno" en lugar de tratar de derrotar los sesgos "negativos" puede ser el camino a seguir. Es casi como la visión común de la memoria muscular: una buena respuesta automática, o hábito, que no requiere pensamiento consciente.
La ciberseguridad debe convertirse en una segunda naturaleza para todos los empleados, ya sea en el trabajo o en el hogar. Por ahora, a los usuarios se les enseña principalmente a rechazar correos electrónicos mediante el reconocimiento de errores tipográficos, errores gramaticales y orígenes desconocidos. Este es el "qué" de un correo electrónico de phishing. Pero los usuarios deben comprender mejor el "por qué" y el "cómo", y el efecto de un ataque de ingeniería social. Evitar la ingeniería social debe ser parte del trabajo y no una adición molesta a sus labores. Tenemos que aprender a defender y activar positivamente nuestros recursos humanos.
Para más información, visite: https://www.silikn.com/