¿Son las personas el problema de InfoSec?
Probablemente lo hayas escuchado a lo largo de los años: los humanos somos el eslabón más débil de la cadena de seguridad. Montones de artículos culpan a los humanos por hacer clic en cosas en una época en la que hacemos clic en todo. Ahora tenemos esta herramienta a nuestra disposición donde todo el sistema se construye haciendo clic en enlaces. Incluso es parte del léxico cotidiano de la oficina: "...hagamos doble clic en eso por un momento". Por supuesto, los humanos a menudo cometen tonterías en materia de seguridad de la información, como dejar sus computadoras portátiles en automóviles sin llave, anotar sus contraseñas en notas adhesivas en la computadora o caer presa de un correo electrónico cargado de emociones que solicita asistencia.
Errar es humano y todos cometemos errores y tropiezos. Pero culpar a quien podría ser su vínculo más fuerte y una parte importante de la defensa de una organización también es un error.
Los empleados a menudo se sienten frustrados con las políticas de seguridad corporativa y, en general, los trabajos principales de la mayoría de las personas no están relacionados con la seguridad. Puede que no comprendan las implicaciones más amplias de sus acciones. Las políticas complejas que son difíciles de cumplir sólo conducen a soluciones riesgosas en nombre de la productividad. Es importante diseñar políticas de seguridad que funcionen a favor de los empleados, y no en su contra.
Según Gurucul , que encuestó a más de 650 profesionales de TI en la Conferencia RSA de 2019, casi el 75 % se sentía vulnerable a las amenazas internas. Dentro de estos, el error del usuario encabezó las preocupaciones con un 39%, seguido por información interna maliciosa (35%) y el compromiso de cuenta (26%). Además, solo el 34% de los encuestados consideró que era capaz de detectar amenazas en tiempo real. Y el 33% se centra en detectar las amenazas internas después del incidente en lugar de predecirlas antes de que ocurran. Finalmente, el 40% no podrá saber en absoluto si los datos han salido del edificio.
Critical Infrastructure Technology informa que la mayoría de los incidentes de ciberseguridad (tanto intencionales como accidentales) son el resultado de alguna acción interna. A lo largo de los años hemos visto muchos incidentes en los que las personas son engañadas para hacer clic en un archivo adjunto o en un enlace fraudulento. El phishing es especialmente frecuente estos días y, como señala F5 Labs, ha demostrado ser tan exitoso que ahora es el principal vector de ataque. De hecho, el Grupo de Trabajo Anti-Phishing informa que el phishing ha aumentado un 5,753% en los últimos 12 años. Y F5 Labs descubrió que el phishing era la causa principal del 48% de los casos de violación de datos que investigaron.
¿QUÉ PUEDE HACER?
Bueno, ciertamente existen tecnologías que pueden ayudar a reducir el potencial de amenaza. El Informe sobre phishing y fraude de F5 Labs de 2018 recomienda varias defensas, incluido el etiquetado de correo electrónico desde fuentes externas para que los empleados estén alertados y procedan con precaución. Tecnologías como antivirus, filtrado web y protección contra el fraude, inicio de sesión único, autenticación multifactor, bloqueo de bots e incluso el uso de honey tokens (cuentas de usuario y direcciones de correo electrónico ficticias que pueden monitorearse para detectar cuándo los atacantes envían correos electrónicos de phishing generalizados). También es fundamental descifrar e inspeccionar el tráfico entrante y saliente para detectar posibles amenazas cifradas; el 68 % del malware recibe sus instrucciones de un servidor de comando y control cifrado.
Todo esto puede reducir la superficie de amenaza, pero no elimina la posibilidad de que alguien pueda infiltrarse. Las tácticas de ingeniería social han existido desde hace mucho tiempo, mucho antes de Internet.
Y aquí es donde entra en juego el entrenamiento.
Los humanos somos criaturas emocionales que nos sentimos cómodos con las rutinas. Si están acostumbrados a hacer clic en todo, necesitarán ayuda para reconocer qué es seguro y qué es peligroso. Por lo tanto, la formación en materia de concienciación sobre seguridad es fundamental. Al menos serán conscientes de las consecuencias de hacer clic excesivo y estarán preparados para la astucia de los ataques. También se debe instar a los usuarios a que informen sobre cualquier correo electrónico sospechoso y verifiquen con TI o Seguridad antes de ejecutar software externo o proporcionar sus credenciales de inició de sesión.
El informe sobre phishing y fraude de F5 Labs de 2018 señala que las pruebas de Webroot han demostrado que cuanto más capacitación sobre concientización sobre seguridad se realiza, mejores son los empleados para detectar y evitar riesgos. Aquellos que realizaron de 1 a 5 campañas de capacitación vieron una caída del 33% en la tasa de clics de phishing; aquellos que realizaron de 6 a 10 campañas redujeron la tasa de clics al 28%; y aquellos que realizaron 11 o más campañas de capacitación redujeron la tasa al 13%. Además, se descubrió que las simulaciones y campañas de phishing eran más efectivas cuando el contenido era actual y relevante. Esto significa que las empresas que no realizan capacitaciones sobre concientización sobre seguridad pueden esperar razonablemente que los usuarios hagan clic en al menos 1 de cada 3 intentos de phishing. Una formación siempre es más barata que una infracción.
En términos de capacitación, F5 Labs sugiere que debe ser breve, relevante, personal y solucionable. Trate la seguridad como un problema manejable, pero sólo con la participación activa e informada de todos los involucrados. La capacitación sobre concientización sobre seguridad es la mejor oportunidad para hablar directamente con todos los usuarios y alentarlos a participar en una causa compartida.
Aquí tienes una idea divertida que puedes probar con tus amigos. Diga: 'Soy un experto en ciberseguridad y si me dice su contraseña, puedo decirle si es segura'. ¡Mira cuántos te dan una respuesta!