PHISHING, LAS PERSONAS EN EL ESLABÓN MÁS DÉBIL, ¿HASTA CUÁNDO?
PHISHING, LAS PERSONAS EN EL ESLABÓN MÁS DÉBIL, ¿HASTA CUÁNDO?
Todos los años nos llegan encuestas o previsiones sobre los principales riesgos en el ámbito de la seguridad de la información y ciberseguridad, donde, de manera recurrente se viene repitiendo la capacidad humana para meter la pata y comprometer a nuestras organizaciones. El llamado “error humano”, ya sea por estrés, malas configuraciones, etc. o por falta de formación y concienciación.
Lo cierto es que, como empleados, somos objeto de ingeniería social, de intentos de suplantación de identidad e intentos de robos de información por distintos medios y de las formas más vario pintas, siendo además los empleados, una de las superficies de exposición más grandes (e imprevisibles) para las organizaciones y los responsables de seguridad de la información.
Pese a que nunca estaremos exentos del error humano, igual que tampoco lo estamos de los errores de los fabricantes de elementos de seguridad, hay ciertas acciones que debemos tomar mucho más en serio y dotar con los recursos necesarios para, como buenos gestores de riesgos, poder disminuir la probabilidad de ocurrencia y así, mitigar el riesgo.
Nunca ha sido (ni es) la seguridad de la información uno de los principales destinos de la inversión de las compañías, y el hincapié siempre se puso en los elementos que conforman la red, un primer nivel de firewall, luego otra línea más, firewall en alta disponibilidad, firewall de última generación, anti-spam, antivirus, EDR, SIEM, y un largo etcétera de herramientas cada vez más sofisticadas, todas ellas muy necesarias, sin duda, pero lejos, muchas veces, del usuario final, del usuario corriente, del usuario que puede equivocarse.
Del mismo modo que asistimos, en su momento, a un cambio de paradigma en la gestión de los recursos humanos donde recuperamos nuestra categoría de Personas y dejamos de ser Recursos, en la ciberseguridad estamos asistiendo, y debemos asistir, al mismo cambio donde se ponga a las personas en el centro de todo, y se comience nuestra ciberseguridad desde ellas hacia los demás componentes tanto físicos como lógicos que dan forma a todas nuestras medidas de seguridad.
Más allá del expertise necesario y de la concienciación de los expertos en ciberseguridad sobre las amenazas que nos rodean, se debe acercar las mismas a todos los usuarios de la empresa, sin distinción de rangos, posiciones o áreas, y hacerlo mediante concienciación continua y no como acciones puntuales que al poco tiempo caigan en saco roto.
Por ello, y de cara a que poco a poco dejemos de figurar como ese eslabón más débil, o al menos que, como usuarios, salgamos mejor retratados, es fundamental establecer planes de concienciación (y formación) sobre ciberseguridad y sus amenazas en las compañías, de modo que se ejecuten de modo regular, sean medibles, de amplia participación (incluyendo al board), y permitan llevar una gestión eficaz y eficiente de este ámbito más humano de la ciberseguridad.
Una de las posibilidades existentes, y que permite cubrir uno de los vectores de entrada utilizados más comúnmente por los ciberdelincuentes, tanto en nuestra esfera profesional como personal, son las campañas de phishing simulado o phishing ético, mediante las cuales nos entrenamos para estar cada vez más preparados en distinguir esos correos que nos llegan ya sea solicitando información, pidiéndonos que hagamos acciones inmediatas o haciéndonos conocedores de que somos los afortunados ganadores de un viaje o, mejor aún, un buen jamón.
El lanzamiento de este modelo de concienciación responde a las fases siguientes:
- Lanzamiento Inicial: mediante el cual, se realice una primera campaña relativamente genérica y cuyo grado de dificultad a la hora de detectar, por parte del usuario, el phishing simulado sea medio, de modo que permita obtener el punto de partida de la organización con respecto a su nivel de concienciación/formación ante este tipo de riesgo.
- Formación: donde una vez obtenido ese baseline dado por el punto anterior, se capacite a los usuarios de la organización ante estos riesgos.
- Campaña: lanzando una campaña de phishing ético más elaborada, con mayores detalles internos y más difícil de detectar para los usuarios, buscando el aumento progresivo de su concienciación.
- Formación Específica por Grupos: pudiendo obtener resultados distintos según áreas, perfiles, usuarios, etc. es necesario aplicar mejoras concretas y realizar formaciones más específicas y adecuadas al nivel de conocimientos del público objetivo, de cara a conseguir seguir mejorando su concienciación y capacidad para evitar “ser pescado” en un phishing.
- Campañas Específicas: siendo del mismo modo que la formación, un tipo de campaña dirigida y segmentada, pudiendo aplicar distintos niveles de dificultad, teniendo siempre presente, que lo más importante es que mejoremos tanto el nivel de concienciación sobre los riesgos a los que, como usuarios, estamos expuestos, en este caso, ante el uso del email, como nuestra capacidad para detectarlas.
Estas campañas son sólo un ejemplo de solución de concienciación continua que podemos llevar a cabo en las organizaciones y cuyos resultados son visibles a corto plazo, siempre siendo acompañados por la adecuada formación en la finalización de cada una de ellas, haciendo todo lo posible para evitar que “nos pesquen”.
Webinar "La concienciación continua, pieza clave de la ciberseguridad