Octubre ha sido el mes europeo de la ciberseguridad, un período que se aprovecha para avanzar en la concienciación sobre en este ámbito, y sobre lo que supone en cuanto a la disolución de las fronteras entre consumidores y empresas.
Según Verizon, a nivel global, el 74% de todas las brechas de ciberseguridad registradas durante el año pasado estuvieron relacionadas con el factor humano, que en muchos casos se tradujo en errores, negligencias o la caída de usuarios en ataques de phishing e ingeniería social.
Los programas de formación y concienciación en ciberseguridad se erigen como herramientas fundamentales para mitigar estos riesgos. Sin embargo, alcanzar el éxito en esta área no es un camino rápido ni sencillo. Más que centrarse exclusivamente en la formación o en la sensibilización, ya que ambas pueden desvanecerse con el tiempo, el objetivo real es transformar a largo plazo los comportamientos de los usuarios.
Para lograr esta transformación, es esencial ejecutar programas de manera continua con el fin de mantener los conocimientos en la mente de los usuarios en todo momento. Además, es crucial extender los aprendizajes a todas los involucrados en los procesos de trabajo, lo que incluye a trabajadores temporales, contratistas y ejecutivos de alto nivel, ya que cualquier persona podría ser un blanco potencial de las ciberamenazas y un simple error puede permitir su entrada.
El lema personas, procesos y tecnología es clave para una cultura más resistente en materia de ciberseguridad
Como recomendación, dividir las sesiones en fragmentos breves aumentará la probabilidad de que los mensajes se arraiguen en la memoria de los participantes y, siempre que sea factible, es buena idea incorporar ejercicios de simulación o gamificación para que la capacitación sea más atractiva y efectiva.
A medida que nos aproximamos al final de 2023, es pertinente reflexionar sobre los elementos que debemos incluir en los programas de ciberseguridad del próximo año. Resulta fundamental adaptarse a las ciberamenazas actuales y a las futuras, dejando atrás las estrategias obsoletas. Esta son los tres principales aspectos que se deben tener en cuenta a la hora de elaborar un plan de ciberseguridad efectivo.
BEC y phishing
A pesar de que el phishing como tal existe desde hace décadas, sigue siendo uno de los principales vectores para el acceso inicial a las redes corporativas, más aún con el auge del teletrabajo. Además, las tácticas están cambiando y del mismo modo se tienen que actualizar los ejercicios de concienciación.
Para 2024, será prioritario incluir contenido sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Una buena forma de asegurar la mejor capacitación de los empleados es asociarse con un proveedor de cursos, quien estará al día de todas las técnicas específicas y la forma de combatir las ciberamenazas. Una práctica novedosa y efectiva para ilustrar estos contenidos son las simulaciones en vivo.
El fraude Business Email Compromise (BEC) o compromiso del correo electrónico corporativo, que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia más exitosas en la actualidad. De hecho, tan solo en Estados Unidos, los casos reportados al FBI el año pasado ocasionaron pérdidas de más de 2700 millones de dólares.
Las multas derivadas del GDPR aumentaron un 168% en 2022, superando los 2900 millones de euros
En este delito, que se basa fundamentalmente en la ingeniería social, normalmente engañan a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del ciberdelincuente, haciéndose pasar, por ejemplo, por un CEO o un proveedor. En este sentido, es fundamental implementar ejercicios de concienciación sobre phishing, así como combinarlo con inversiones en ciberseguridad avanzada del correo electrónico, procesos de pago seguros y doble verificación de cualquier solicitud de pago.
Empleados: trabajo remoto e híbrido
Los expertos han advertido durante mucho tiempo que es más probable que los empleados ignoren las directrices o políticas de seguridad, o simplemente las olviden cuando trabajan desde casa. De hecho, un reciente estudio de Lookout encontró que, por ejemplo, el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano los hace más relajados y distraídos.
Esto puede ponerlos en un riesgo elevado de verse comprometidos, especialmente cuando las redes domésticas y los dispositivos pueden estar menos protegidos que sus equivalentes corporativos. Aquí es donde los programas de capacitación deben intervenir con consejos sobre actualizaciones de seguridad para ordenadores portátiles, administración de contraseñas y el uso solo de dispositivos aprobados por la empresa.
Además, el trabajo híbrido se ha convertido en la norma para muchas empresas hoy en día, y desplazarse a la oficina o trabajar desde un lugar público acarrea ciertos riesgos. Algunos de ellos son las ciberamenazas de los puntos de acceso wifi públicos que pueden exponer a los trabajadores móviles a ataques de adversarios en el medio (AitM, según sus siglas en inglés), en los que los ciberdelincuentes acceden a una red y escuchan a escondidas los datos que viajan entre los dispositivos conectados y el router; y las amenazas de gemelos malvados en las que los ciberdelincuentes configuran un punto de acceso wifi duplicado que se hace pasar por legítimo en una ubicación específica.
Protección de datos
Las multas derivadas del GDPR aumentaron un 168% en 2022, superando los 2900 millones de euros, debido a que los reguladores tomaron medidas estrictas contra su incumplimiento. Esto es un argumento lo bastante significativo como para que las organizaciones se aseguren de que su personal siga correctamente las políticas de protección de datos.
La formación periódica es una de las mejores formas de promover las mejores prácticas de gestión de datos, lo que implica formación en el uso de un cifrado fuerte, una buena gestión de contraseñas, mantener los dispositivos seguros e informar de cualquier incidente inmediatamente al contacto correspondiente.
Es fundamental implementar ejercicios de concienciación sobre phishing
El personal también puede beneficiarse de una actualización sobre el uso de la copia oculta (CCO), ya que es un error común que conduce a fugas involuntarias de datos de correo electrónico. Otra capacitación técnica debe ser sobre el uso de las redes sociales, prestando especial atención al grado de confidencialidad de la información.
Los cursos de capacitación y concienciación son un componente crítico de cualquier estrategia de ciberseguridad, pero no pueden operar de manera independiente. Las organizaciones deben respaldarlos con políticas de ciberseguridad sólidas secundadas por controles efectivos y herramientas como la gestión de dispositivos móviles. El lema personas, procesos y tecnología es fundamental para la construcción de una cultura corporativa más resistente en materia de ciberseguridad.
