Concienciación en seguridad - Construyendo un cortafuegos humano
Lectura de 2 min aprox.
La concienciación sobre seguridad (Security Awareness) se refiere a las actividades de educación y formación que ayudan a los empleados de una organización y a las personas a reconocer correctamente las ciberamenazas y a actuar de forma adecuada. Por mucho que se refuercen las defensas técnicas, el ser humano sigue siendo la última línea de defensa. Alrededor del 90% de los ataques de ingeniería social tienen su origen en errores de juicio humanos, por lo que mejorar la concienciación sobre seguridad es una medida tan importante como la inversión en tecnología, o incluso más.
Los límites de la formación tradicional
Muchas organizaciones imparten la educación en seguridad mediante e-learning o formación presencial una vez al año, pero este enfoque tiene límites claros. Los estudios muestran que, aunque la concienciación aumenta justo después de la sesión, la mayor parte del conocimiento se olvida tres meses después. Además, en la mayoría de los casos la finalización formal del curso se convierte en un fin en sí mismo y no conduce a un cambio real de comportamiento. Con la actitud de «basta con aprobar el examen» no se puede hacer frente a los ataques de phishing cada vez más sofisticados.
Enfoques eficaces
Se envían a los empleados correos de entrenamiento que imitan ataques reales y se miden las tasas de clic y de notificación. Los empleados que caen reciben retroalimentación inmediata para potenciar el efecto del aprendizaje. Para más detalles, consulte la guía de protección contra el phishing.
Se incorporan elementos de juego como sistemas de puntos, clasificaciones e insignias para mantener la motivación por aprender. Los ejercicios estilo CTF (Capture The Flag) por equipos también son eficaces.
Se distribuye contenido breve de cinco minutos o menos aproximadamente una vez por semana para afianzar el conocimiento. Se ha demostrado que logra tasas de retención más altas que una única formación intensiva anual.
Desafíos éticos de la simulación de phishing
La simulación de phishing es un método eficaz, pero requiere cuidado en su ejecución. Reprender públicamente a los empleados que caen, o vincularlo directamente a las evaluaciones de desempeño, socava la seguridad psicológica y resulta contraproducente. Es importante cultivar una cultura que «valore a quienes informan» y posicionar los errores como oportunidades de aprendizaje. Además, como unos correos de entrenamiento demasiado sofisticados pueden erosionar la confianza de los empleados, la dificultad debe aumentarse de forma gradual.
El programa de campeones de seguridad
Es un programa que nombra a los miembros con mayor interés en la seguridad de cada departamento como «campeones de seguridad» y hace que asuman el papel de promotores de la seguridad dentro de su departamento. Como el equipo de seguridad por sí solo no puede vigilar a todos los empleados, los campeones, situados cerca de la primera línea, actúan como puentes. A los campeones se les ofrece formación adicional y adquieren conocimientos de técnicas de ataque avanzadas como el pretexting y el fraude del correo electrónico empresarial.
Métricas para medir la eficacia
La eficacia de un programa de concienciación sobre seguridad debe medirse de forma continua mediante métricas cuantitativas.
| Métrica | Método de medición | Objetivo orientativo |
|---|---|---|
| Tasa de clics en phishing | Tasa de clics en enlaces de correos de simulación | 5% o menos |
| Tasa de notificación de correos sospechosos | Porcentaje que notificó los correos de entrenamiento al departamento de TI | 70% o más |
| Número de incidentes | Número de incidentes de seguridad causados por factores humanos | Disminución interanual |
| Tasa de finalización de la formación | Porcentaje que completó la formación obligatoria | 95% o más |
Centrarse solo en la tasa de clics es peligroso. Lo que realmente importa es la «tasa de notificación». Que haya arraigado o no una cultura de detectar y notificar los correos sospechosos es el verdadero indicador de la madurez de seguridad de una organización. En cuanto a la alineación con la política de contraseñas de toda la organización, el artículo sobre el diseño de una política de contraseñas corporativa también resulta útil.libros prácticos sobre formación en seguridad (Amazon) pueden ayudarte a profundizar tu conocimiento de forma sistemática.
Conceptos erróneos comunes
El exceso de confianza en la idea de que «nuestros empleados tienen una alta alfabetización en TI, así que estamos a salvo» está prohibido. Como también se menciona en el artículo sobre la defensa contra la ingeniería social, los ataques dirigidos sofisticados pueden engañar incluso a personas del departamento de TI. La percepción de que «la seguridad es trabajo del departamento de TI» también es peligrosa. Los ataques aprovechan las brechas de los procesos de negocio, como el fraude de facturas dirigido al departamento de contabilidad o el malware en currículums dirigido al departamento de RR. HH. Es imprescindible que todos los departamentos tengan sentido de responsabilidad.
¿Te resultó útil este artículo?