Cómo construir un firewall humano para hacer frente a las amenazas internas
27 de Octubre de 2020Escribe Renee Tarun, vicepresidente de Seguridad de la Información en Fortinet
Durante la primera mitad de 2020, el equipo de los FortiGuard Labs descubrió que la evolución de los entornos laborales y la mayor dependencia de los dispositivos personales presentaban nuevas oportunidades para que los ciberdelincuentes se aprovecharan de las redes empresariales. Un método en el que los ciberdelincuentes han confiado mucho últimamente es la creación de correos electrónicos de phishing de aspecto legítimo, los cuales pueden utilizarse para adaptar y lanzar ataques con facilidad. Si bien no se trata de una táctica nueva, estos tipos de ataques de ingeniería social sólo se han vuelto más sofisticados y perjudiciales a medida que los empleados siguen trabajando a distancia y permanecen aislados de sus equipos de trabajo.
Los comportamientos descuidados y negligentes pueden tener un efecto duradero en las organizaciones, especialmente en el caso de una brecha de datos. Y con más empleados trabajando desde casa, sin poder caminar hasta el escritorio de un compañero de trabajo para ver qué piensan de un correo electrónico sospechoso, las personas son más propensas y susceptibles a los ataques de ingeniería social.
En este Mes de la Concientización de Ciberseguridad, es más importante que nunca que los CISO den prioridad a la educación de sus empleados en materia de ciberseguridad para ayudarles a comprender el papel que desempeñan en el mantenimiento de la seguridad de redes y en la reducción del riesgo de amenazas internas.
Crear un firewall humano a través de una cultura de seguridad
Considerando que los empleados pueden ser la mejor línea de defensa, es fundamental que los CISO protejan a sus organizaciones e incluyan la educación y la concienciación en su estrategia de ciberseguridad. Al adoptar esta técnica, los líderes pueden asegurar que la fuerza de trabajo está preparada para enfrentar las diversas amenazas. Independientemente de sus cargos o funciones, todos los empleados deben comprender las repercusiones de un incidente de seguridad y cómo podría afectar a la organización y a su vida personal.
Establecer una línea de base para una buena higiene cibernética debe comenzar con los CISO ayudando a sus empleados a tomar la ciberseguridad en serio. Esto se puede lograr de las siguientes maneras:
- Dar prioridad a la capacitación en ciberconcientización. La razón por la que los ataques de ingeniería social son tan frecuentes en las organizaciones es simplemente porque funcionan. Para combatir este riesgo, los CISO deben educar a sus empleados acerca de las amenazas más comunes que podrían aparecer en forma de phishing, spear phishing (campañas dirigidas a un objetivo puntual), smishing (a través de mensajes SMS) u otras estafas digitales. Ya sea que estas lecciones se proporcionen a través de reuniones en línea, video chat o correo electrónico, deben tener prioridad. La comprensión de estas amenazas y de sus señales de alerta será fundamental para ayudar a los empleados a evitar ser víctimas de un correo electrónico falso o de sitios web maliciosos. Además de enseñar los indicadores comunes de las estafas cibernéticas (por ejemplo, la promoción de ofertas "gratuitas"), estas propuestas de capacitación también debieran incluir ejercicios de simulación de phishing diseñados para poner a prueba los conocimientos y determinar cuáles empleados podrían necesitar más ayuda. Mediante tácticas como éstas, los empleados estarán mejor equipados para saber cuándo son el objetivo de un ataque de ingeniería social y podrán, por tanto, actuar en consecuencia. El Instituto de Formación de la NSE de Fortinet ofrece un curso de formación gratuito y en español de concientización sobre seguridad de la información para educar a los empleados sobre los crecientes riesgos de los ciberataques y cómo identificar las amenazas.
- Colaborar entre el equipo de seguridad y otros departamentos. La ciberseguridad no puede recaer únicamente en los hombros de los equipos de seguridad y tecnología de la información, sobre todo porque las amenazas cibernéticas siguen siendo cada vez más sofisticadas y difíciles de detectar. A través de los esfuerzos de colaboración, los CISO pueden asegurar que todos los individuos de la organización no sólo sean conscientes de las políticas de seguridad, sino que también comprendan el impacto que sus acciones pueden tener en la organización en su conjunto. Ayudar a los empleados a comprender las prácticas de ciberseguridad y las ramificaciones que sus acciones pueden tener debería conducir a mejoras en la forma en que estos individuos responden cuando se enfrentan a un correo electrónico o sitio web sospechoso, incluso cuando trabajan desde sus hogares. Cuando los empleados saben lo que se espera de ellos y se sienten parte del equipo, se les anima más a seguir las mejores prácticas y a ayudar a eliminar las conductas que causan problemas y accidentes internos, incluyendo olvidar cambiar las contraseñas predeterminadas o no usar contraseñas seguras. Y a medida que más empleados sigan el ejemplo, el firewall humano que actúa como primera línea de defensa de la organización se hará más fuerte.
- Establecer prácticas claras. Incluso cuando los empleados son conscientes de lo que deben buscar en el caso de ser víctimas de un ataque de ingeniería social, pueden seguir necesitando algo de orientación cuando se trata de los siguientes pasos. Mientras que es fácil ignorar o borrar un correo electrónico de aspecto sospechoso, ¿qué pasa con aquellos que parecen normales y de los que el receptor aún no está seguro? En este escenario, los CISO deberían animar a los empleados a hacerse ciertas preguntas para ayudar a tomar la decisión correcta: ¿Conozco al remitente? ¿Esperaba este correo electrónico? ¿Este correo electrónico está invocando una emoción fuerte como la emoción o el miedo? ¿Me están diciendo que actúe con urgencia? Si bien estas preguntas debieran ayudar a aclarar cualquier confusión con respecto a si el correo electrónico es malicioso, el receptor debiera tomar medidas adicionales para protegerse a sí mismo y a su organización. Esto incluye pasar el cursor sobre los enlaces para ver si son legítimos antes de hacer clic, no abrir archivos adjuntos inesperados, llamar al remitente para verificar que realmente envió el correo electrónico y reportar todos los correos electrónicos sospechosos al equipo de TI o de seguridad. Al explicar estos pasos a sus empleados desde el principio, los CISO pueden evitar repercusiones negativas a futuro.
Reflexiones finales
La capacidad de ser ciberconsciente es una pieza crítica del rompecabezas cuando se trata de mantener las organizaciones seguras. Aunque los empleados se den cuenta o no, sus acciones podrían abrir la puerta para que los ciberdelincuentes accedan a información sensible, lo que significa que la pasividad hacia la seguridad ya no es aceptable.
Al dar prioridad a la formación y la colaboración entre los departamentos y el equipo de seguridad, los CISO pueden sentar las bases de una cultura de seguridad sostenible. La identificación de comportamientos sospechosos, el mantenimiento de los dispositivos actualizados y la práctica de un comportamiento cibernético seguro deben formar parte de la estructura de todos los puestos de trabajo para garantizar que el firewall humano permanezca fuerte y estable.
(*) Renee Tarun: Vicepresidente de Seguridad de la Información en Fortinet