Llegamos a ustedes gracias a:



Reportajes y análisis

¿Funciona su programa de concientización sobre seguridad?

[03/11/2016] Los empleados en Axe Capital, la firma ficticia del multimillonario Bobby Axelrod de Billions, una nueva serie de Showtimes, estuvieron muy molestos cuando se enteraron que el allanamiento sorpresa de seguridad, en el cual fueron acribillados con preguntas sobre sus transacciones comerciales, fue solo una prueba. Axelrod, por su parte, encontró que el allanamiento falso fue fructífero, puesto que reveló los eslabones débiles internos de su organización.

Estas son las métricas que las empresas deberían estar usando para evaluar el éxito de sus programas de concientización sobre la seguridad. Para que un entrenamiento de concientización funcione, tiene que mantener a todos los miembros, bueno, conscientes.

Un reporte de Wombat reciente reveló que, además del problema creciente de phishing, los empleados en todas las industrias ponen en peligro los recursos de la compañía con la compartición de información en exceso dentro de las redes sociales, el uso inseguro de Wi-Fi y la exposición de datos confidenciales de la compañía. Estas publicaciones ubicuas implican un riesgo serio.             

Chris Weber, cofundador de Casaba Security, señala "los ataques de phishing son bastante medibles. Usted les da a las personas un taller sobre phishing, después desarrolla una campaña de evaluaciones de phishing, y observa cuántas personas caen en la trampa y cuántas personas reportan el ataque o el correo electrónico sospechoso, afirma.

Debido a que muchas de las amenazas perpetradas por actores maliciosos con frecuencia convergen en phishing, estos ejercicios no pueden ser pasador por alto, particularmente en vista de la inclinación que tienen las personas de compartir en exceso. "La mayoría de las compañías están adoptando algún tipo de entrenamiento anual, haciendo saber a las personas que éstas son las cosas que deberían tener en cuenta si es que están intentando acceder a recursos de la compañía, sostuvo Weber.

El entrenamiento solo no es suficiente. Un programa de concientización tendrá entrenamiento en combinación con evaluaciones. "Realice un entrenamiento para saber qué está sucediendo, y las pruebas para mantenerlo activado en las mentes de las personas.     

"Cada persona en la organización debería ser evaluada mensualmente. Podría ser más frecuente que eso, pero no al punto de irritar a las personas. Eso es medible, añade Weber.

Debido a que muchos ataques son resultado de un error humano, "a veces es más fácil bloquear el acceso a todo y después concederlo a demanda. Así cualquiera que solicita acceso necesita instalar algún tipo de software de administración de dispositivo para ayudar a las organizaciones a tener un registro, monitoreo y un poco más de control de los recursos, agrega Weber.

Bloquear el acceso puede ser engañoso, y establecer los controles de acceso no elimina la necesidad de un entrenamiento de concientización continuo y significativo.         

Dave Chronister, fundador de Parameter Security, anota, "el entrenamiento en concientización es uno de los elementos más importantes que puede hacer para proteger su red. Necesita tener un programa y necesita ser efectivo.          

Efectivo significa hacer más que solo ser alguien que hable sobre las cosas molestas que hace la gente. Ese enfoque insípido seguro causará que la atención de la audiencia se desvíe -quizás hasta logre que saquen sus teléfonos y empiecen a publicar en las redes sociales           

Chronister añade que, cuando él escucha que la gente le dice tener un solo entrenamiento de concientización sobre la seguridad al año, él sabe que no es un programa que está a la medida.

"Si no es reforzada con películas, correos electrónicos, posters de medios y pruebas, los usuarios finales solo la recordarán un par de días, después su concepto desaparecerá, anota Chronister.         

Una compañía mediana cuyo programa realmente le impresionó, sostuvo reuniones mensuales. "En vez de una reunión de una hora al año, eran reuniones de 30 a 45 minutos cada mes. "Ellos tenían 10 minutos para hablar de concientización sobre la seguridad, y en cada reunión, ellos tocaban un tema actual, anota Chronister

En vez de ser víctima del enfoque "vamos a fracasar, el resultado fue que, en el transcurso de un año, ellos habían empleado más tiempo hablando de la concientización sobre la seguridad. Esto, combinado con los ejercicios de ingeniería social, les permitió desarrollar las métricas que necesitaban para ver dónde tenían que mejorar.

Los ejercicios de ingeniería social son bastante difíciles de hacer, porque requieren que expertos de seguridad engañen a sus empleados. La intención debe ser descubrir qué está pasando, no castigar a las personas por errores involuntarios. Con el fin de saber si es que las personas responden o contactan a la mesa de ayuda, la empresa necesita instituir pruebas consistentes y variadas.          

Sí, los correos electrónicos de phishing son una técnica popular de ingeniería social, pero ellos también necesitan saber si es que un extraño puede entrar por la puerta fácilmente y llegar hacia donde quieren. "Las mediciones les muestra esto, información como cuántas personas hicieron clic en el enlace y cuántas personas ingresaron información después. Posteriormente, la meta es encontrar ¿qué se puede hacer para disminuir esto?, añade Chronister.        

Un problema que enfrentan las organizaciones es seleccionar, de acuerdo a las políticas corporativas, quién recibe el golpe. "Muchas personas piensan que no se puede obtener el clic del CISO, pero el CISO podría caer. Que un CISO sea engañado o engañada por la ingeniería social es tan probable como para el resto de la compañía.           

"La ingeniería social no sucede porque usted es estúpido. Si eso es lo que cree, usted será la víctima de ingeniería social. He visto a un CISO que dijo que cualquiera que fuese víctima de ingeniería social sería despedido. Al tomar una postura tan dura, él logró que su programa de seguridad empeore. Si cometo un error y me doy cuenta, no se lo diré a nadie porque me podrían despedir, señala Chronister.

Las necesidades de la concientización sobre la seguridad necesitan basarse en un conjunto de habilidades y en el sector de la industria. Josh Grunzweig, analista de inteligencia de amenazas, Unidad 42 de Palo Alto Networks, indica, "Muchos empleados de hotelería están utilizando terminales POS como una computadora normal -revisando correos electrónicos, navegando en la web, publicando en Facebook. Esos terminales solo deberían utilizarse para transacciones financieras.          

Cuando se evalúa el éxito del entrenamiento de concientización sobre la seguridad, es importante ser realistas respecto a las expectativas que rodean al cambio del comportamiento humano. "Existen muchos elementos involucrados en instalar controles técnicos para que los atacantes no accedan a donde no deberían estar, añade Grunzweig.       

En todos los sectores de la industria, cuando a las personas se les concede un acceso autorizado, lo que el programa de entrenamiento de concientización puede lograr es limitado. "La hotelería se ha visto golpeada por muchos años, así que no hay duda de que los empleados necesitan estar entrenados respecto a qué buscar, pero es necesario establecer controles, indica Grunzweig.            

Las empresas están llegando a entender que no pueden poner toda la carga en los empleados, porque el número de los ataques es vasto. Las compañías grandes y pequeñas que han tenido éxito con el entrenamiento de concientización lo están logrando porque están lidiando con la seguridad como compañía, y están alertando a los empleados de amenazas a las que ellos pueden estar expuestos en sus vidas personales.           

Stan Black, CSO de Citrix, señala que uno delos retos relacionados a la concientización sobre la seguridad es que las personas necesitan recibir algún beneficio más allá del conocimiento. "Para muchas de las personas con funciones de oficina -desde finanzas hasta recursos humanos-, existen cursos específicos para determinados roles. Los ligamos a una tendencia, y añadimos componentes conforme las amenazas van volviéndose más prevalentes, anota Black.         

Los asistentes ejecutivos son la vía hacia los ejecutivos, y Black añade, "Instaure una concientización sobre ingeniería social específica para sus roles. La información que ellos tienen es muy valiosa, y eso lo juntamos con otro elemento que se conecta con sus vidas personales.          

Para poder medir el éxito de un programa de concientización sobre la seguridad, ellos necesitan métricas, lo que requiere pruebas frecuentes que no solo son relevantes para el negocio, sino que también son significativas para las personas que trabajan ahí.