En el verano de 2021, el analista Gartner publicó su Guía de mercado para la formación informatizada de concienciación sobre la seguridad. Informó que el elemento humano (85 %) continúa siendo un catalizador principal para las filtraciones de datos, y el phishing representa el 36 % de las filtraciones.
Un ataque reciente que ocupó los titulares ocurrió en Intuit Mailchimp, el proveedor de la plataforma de automatización de marketing, en enero de 2023.
Hablando de los desafíos en la capacitación y protección de los usuarios, el director de tecnología (CTO) de la compañía, Eric Muntz, dice: “Es realmente difícil proteger a las personas contra los ataques de ingeniería social. Animaría a otros líderes a que, ante todo, hablen al respecto y lo hagan parte de la incorporación y la capacitación”.
Mailchimp realiza demostraciones durante la “hora del café”, donde se invita a los oradores a que demuestren estilos de ataque. “Se trata de educación”, dice Muntz.
El crecimiento de las prácticas de trabajo remoto posteriores a la pandemia ha exacerbado los riesgos de que las organizaciones se vean comprometidas por ataques de ingeniería social.
A pesar de brindar una multitud de beneficios, incluida una mayor motivación y una mayor flexibilidad, casi una quinta parte de los profesionales de TI dicen que los trabajadores no están seguros cuando trabajan de forma remota. Las personas tienden a trabajar de forma aislada y, si bien pueden usar herramientas de colaboración para comunicarse con colegas, el correo electrónico también se usa para comunicaciones internas. Los datos de Statista muestran que la cantidad de mensajes de correo electrónico aumentará a 376 mil millones en todo el mundo para 2025.
El elemento de formación en una estrategia de ciberseguridad
Por lo tanto, es importante comprender los riesgos de seguridad actuales que enfrentan los trabajadores remotos y cómo las organizaciones pueden educar al personal para reducirlos.
El experto en seguridad de TI Jamal Bihya, autor del último informe de GigaOm Concienciación y formación en seguridad. informe, cree que los líderes empresariales deben evaluar cuánta seguridad se requiere en su “cortafuegos humano”.
“La idea es que la seguridad justifique la capacitación, que se dirige al empleado general”, dice.
Guillermo Candrick, Gartner
Si bien es muy poco probable que las organizaciones puedan brindar suficiente capacitación para eliminar el 100 % de esos vectores de ataque dirigidos a los usuarios, Bihya cree que las organizaciones deben tratar de hacer que la conciencia sobre la seguridad de TI entre su personal sea una “acción refleja”.
Pero según William Candrick, analista director de Gartner, el desafío de la capacitación tradicional es que intenta abordar problemas perennes, como el phishing por correo electrónico y los ataques de ingeniería social.
La investigación de Gartner muestra que, si bien el 82 % de las filtraciones de datos involucran errores humanos, el 69 % de los empleados eluden las pautas de seguridad cibernética. Además, el 93 % de ellos sabe que sus acciones crean un riesgo cibernético.
Candrick argumenta que sus acciones no son maliciosas, con un 29% citando la velocidad y la conveniencia como la razón para sortear las medidas de seguridad cibernética que sus organizaciones tienen implementadas. La investigación de Gartner muestra que el 18 % de estas personas cree que los objetivos comerciales superan el impacto en la seguridad cibernética.
“El lema es hacer de la manera fácil la manera segura y usar la seguridad por diseño para integrar los principios de seguridad en los flujos de trabajo existentes”, dice Candrick.
La investigación de Gartner se refleja en una encuesta de HornetSecurity, que encontró que el 74 % del personal remoto tiene acceso a datos críticos cuando trabaja de forma remota. Además de esto, el trabajo ya no se limita a un dispositivo, con sistemas en la nube que permiten a los empleados iniciar sesión en cuentas de trabajo en computadoras personales, tabletas y teléfonos inteligentes. Según HornetSecurity, el 15% de los empleados utilizan sus propios dispositivos para realizar tareas relacionadas con el trabajo.
Daniel Hofmann, CEO de HornetSecurity, advierte que esta confusión entre el trabajo y la vida personal facilita que los documentos confidenciales se guarden y compartan en redes desprotegidas. Como ejemplo, dice: “El año pasado, Suella Braverman renunció a su cargo de ministra del Interior después de admitir haber enviado un documento oficial a un compañero diputado desde su dirección de correo electrónico personal”.
Hofmann señala que los servicios de chat privado como WhatsApp a menudo se usan para comunicaciones comerciales, y los documentos confidenciales se comparten con frecuencia a través de dichas aplicaciones.
Según la experiencia de Hofmann, el intercambio de archivos se ha convertido rápidamente en una fuente común de incidentes de ciberseguridad. “Representa un riesgo único para las organizaciones, ya que normalmente no tienen ningún control sobre la seguridad de las redes personales o externas”, dice.
La educación tiene un papel importante en la creación de un ecosistema de seguridad cibernética robusto y resistente. Hofmann cree que al implementar un nivel más completo e inclusivo de capacitación en seguridad cibernética, los empleados remotos estarán más conscientes del panorama actual de amenazas y cómo sus acciones pueden poner a la organización en riesgo de una violación.
“Abordar la brecha de conocimiento sobre seguridad cibernética entre los empleados es esencial para la creación de un sistema de seguridad sólido”, dice. “Sin embargo, una mayor educación no es suficiente. Es necesario respaldar una mejor conciencia con una solución de seguridad que incluya una sólida funcionalidad de seguridad de correo electrónico para la prevención, así como capacidades de respaldo para la recuperación”.
Otro informe, Forrester Wave: Soluciones de capacitación y concientización sobre seguridad, primer trimestre de 2022, también informó de un cambio en el enfoque de los proveedores de formación sobre la formación y la concienciación sobre la seguridad de TI. Con empleados que operan de forma remota o física, la conciencia de seguridad ahora no tiene fronteras. La firma de analistas recomendó que los líderes de seguridad de TI inculquen una cultura de “seguridad en todas partes” en toda su organización.
El informe de Forrester encontró que muchos proveedores de capacitación en seguridad de TI aceptaron el desafío y crearon lo que sus autores describen como “soluciones que ya no funcionan únicamente para capacitar a las personas por el simple hecho de hacerlo”. Según el informe, el cambio de comportamiento y cultura se hizo realidad en el mercado de capacitación en seguridad de TI. Esto, señaló, está muy lejos del mercado de 2020, que estaba lleno de proveedores heredados que estaban desactualizados y fuera de contacto con los usuarios.
Mientras preparaba el informe, Forrester descubrió que las conversaciones que sus analistas tenían con los proveedores de capacitación estaban “llenas de proveedores que hablaban de boquilla sobre la concientización, el comportamiento y el cambio cultural”. Los analistas informaron que muchos tenían una visión limitada de cómo cambiar el comportamiento o inculcar una cultura, y rápidamente volvieron a describir su contenido y cuestionarios como formas de medir el compromiso y el comportamiento de los empleados.
Para lograr una mejora en la concienciación, el comportamiento y el cambio cultural, Forrester insta a los directores de seguridad de la información (CISO) a que hagan de la reducción del riesgo humano su objetivo. “Busque proveedores que ofrezcan cuantificación del riesgo humano y calcule el riesgo en función del comportamiento real del usuario, no de puntajes de cuestionarios y simulaciones”, señaló el informe.
Forrester advirtió que las métricas tradicionales como las tasas de finalización de la capacitación, el rendimiento de los cuestionarios y las métricas de participación son fundamentalmente defectuosas: “En el mejor de los casos, estas métricas de entrada solo le dicen cómo mejorar la capacitación, ignorando cómo puede mejorar el comportamiento, inculcar cultura o reforzar su postura de seguridad cibernética. .”
Elija proveedores que puedan ayudar a medir la puntuación de riesgo humano de sus empleados. Una vez que conoce el perfil de riesgo de una persona o departamento, puede ajustar su capacitación y obtener información valiosa sobre dónde mejorar su programa de seguridad.
Crear conciencia sobre la seguridad
Al analizar la mejor manera de mejorar la capacitación y la educación en seguridad cibernética, los autores del estudio de Gartner Guía de mercado para la formación informatizada de concienciación sobre la seguridad instó a los CISO a evitar limitar la conciencia de seguridad a la simulación de phishing y la capacitación basada en computadora. El informe encontró que las principales plataformas de capacitación aumentan la ejecución de un enfoque multicanal, específico del contexto y centrado en el empleado para educar a los empleados y cambiar los comportamientos.
Según Gartner, el éxito de los programas de concientización sobre seguridad depende de tener objetivos claramente definidos, patrocinio ejecutivo sostenido y participación colectiva de toda la organización. La investigación de Gartner encontró que los proveedores de capacitación en seguridad de TI utilizan cada vez más metodologías de calificación con la intención de ayudar a las organizaciones a cuantificar el elemento de riesgo humano y brindar contenido de programas de concientización sobre seguridad más personalizado.
También hay un interés creciente en los proveedores de servicios gestionados de capacitación en concientización sobre seguridad, que ayudan a las organizaciones a orquestar muchos elementos de capacitación en ausencia de empleados dedicados a programas de concientización en seguridad.
Finalmente, al observar algunas de las nuevas tecnologías que aparecen en las plataformas de capacitación en seguridad cibernética, Candrick de Gartner dice que la ciencia del comportamiento es un área emergente de capacitación. Esto inicia el entrenamiento desde una perspectiva psicológica y académica en lugar de comenzar con la seguridad. Utiliza técnicas como la “teoría del empujón” y la economía del comportamiento para mejorar la conciencia de seguridad cibernética de los empleados.
Candrick dice que la automatización se puede combinar con herramientas de monitoreo para capacitar a los usuarios de manera dinámica cuando intentan hacer algo que viola la política de seguridad corporativa. Lo que queda claro de la investigación, y de los expertos con los que habló Computer Weekly, es que existe una brecha en la capacitación en seguridad cibernética existente que ignora los cambios en las prácticas laborales que se han producido en los últimos años.
La teoría del empujón puede parecer novedosa, y el estilo de integración de seguridad cibernética que describe Candrick de Gartner podría considerarse demasiado intrusivo. Sin embargo, estos pueden ofrecer a los CISO un camino a seguir en la capacitación en seguridad cibernética para equipar a los empleados con el mejor conjunto de habilidades de seguridad para patrones de trabajo híbridos.