CIBERSEGURIDAD: FORTALECIENDO AL ESLABÓN MÁS DÉBIL

Todo General que se precie de ser un gran líder y estratega, busca que su eslabón mas débil se convierta en su mayor fortaleza ó al menos que se convierta en un elemento de valor, para así no tener flaquezas. Es un poco el juego del alquimista que busca convertir en oro todo metal que se cruce en su camino, pero en materia de Ciberseguridad no se trata de alquimia, aunque si se busca transformar un objeto, aquello que me hace débil que me dé fortaleza. Resulta ser que ese eslabón no es otro más que el individuo, pero como dijimos acá no se trata de alquimia, esto es algo más simple,  y por ello su solución es capacitar, entrenar y concientizar al individuo.

                      

El mundo de la Cibserseguridad y la Ciberdefensa se enfrenta a múltiples desafíos, la tecnología se está desarrollando a un ritmo muy rápido y a veces suele surgir la pregunta de si podremos seguir ese ritmo, y esto por cierto que no ayuda a la hora de hacer frente a los ataques cibernéticos o de entrenar al personal para que obtenga aunque sea habilidades básicas de TI. Lo único cierto y constante, como refieren algunos investigadores es que el futuro es el cambio, las cosas no permanecen iguales en el tiempo y ante ello lo que queda es la aptitud y pensamiento que adoptemos, es decir en qué punto de la ciber-cadena alimenticia queremos estar. Las tendencias mas recientes sugieren que se puede tratar de transformar a nuestro personal, vale decir que pasen de ser el eslabón más débil de la cadena a ser una de nuestras armas secretas. 

La gran mayoría de las empresas y Organismos de Gobierno, tienden a realizar grandes inversiones económicas en la adquisición de software, hardware y servicios para ayudar a prevenir y combatir ataques cibernéticos, pero de igual forma tienden a olvidarse de la formación del usuario final. Acá es donde cobra plena vigencia eso que una organización es tan fuerte como el eslabón mas débil de la cadena. Hoy día los atacantes buscan de obtener acceso a partir de aquellas tecnologías que están vinculadas o requieren al usuario final, eso es mucho más fácil que tratar de encontrar brechas en la misma tecnología.

El usuario final

El usuario final suele ser el eslabón más débil cuando se trata de ciberseguridad y con eso es con lo que los atacantes cuentan. Esta es la razón por la que el phishing es una técnica tan popular para difundir ransomware Los atacantes tratan de superar el hardware, el software y los conocimientos técnicos de personal no-técnico con la esperanza que sean lo suficientemente crédulos como para morder el anzuelo. Si su personal no está debidamente capacitado para reconocer los riesgos, entonces toda la info y data que maneje están en peligro.

Un buen programa de entrenamiento de seguridad de usuario final es una manera económica y bien pensada de mejorar la seguridad en su organización, pero debe hacerse correctamente. La información debe ser dada en un idioma y en un nivel técnico que todos puedan entender. Los cursos deben proporcionar información a los usuarios finales a un ritmo y en un marco de tiempo que le sea digerible. Si el curso es demasiado largo y la información es demasiado técnica y demasiado seca, el personal perderá interés. También es importante tratar de hacer la presentación un poco divertida e interactiva para mantener a la gente comprometida.

Algunas organizaciones desestiman la importancia de capacitar y entrenar al usuario final, porque sienten que se necesita demasiado tiempo, que los usuarios finales no se preocupan o entienden el contenido o que sus usuarios finales no son lo suficientemente inteligentes como para digerir la información. Cada una de estas suposiciones es falsa. Existen varias maneras de dar capacitación al usuario final. Los usuarios finales pueden y deberían ser parte de la estrategia de ciberseguridad si se les explica por qué es importante para ellos y la organización. Si la información se da en el nivel correcto y se evita el uso de jerga, los usuarios finales entenderán la información.

Las empresas y Organismo de Gobierno necesitan empoderar a sus empleados, para que se sientan orgullosos de la organización y asuman la responsabilidad de mantenerla segura.

¿Debería cada Empresa Privada y Organismo de Gobierno entrenar a sus empleados en Ciberseguridad?

En la actualidad las Organizaciones modernas y por sobre todo los Organismos de Gobiernos (Fuerzas de Seguridad, Inteligencia, Infraestructura Crítica, Transporte, Educación, etc.) dependen de datos e información confidencial completamente y estos datos casi siempre son manejados por personas. Así que si su personal no está al tanto de los últimos tipos de ciberataques y las reglas básicas de seguridad de la información, su Empresa / Organismo de Gobierno es prácticamente impotente y extremadamente vulnerable a las violaciones de datos.

Según una investigación llevada a cabo por Kaspersky Lab, más del 60% de las Empresas de todo el mundo ya invierten en diferentes programas de formación y entrenamiento para su personal. Pese a ello, el cibercrimen y las pérdidas de datos aumentan enormemente y se espera que les cueste a las empresas $ 8 billones de dólares en los próximos cinco años. Este es un indicador que ningún negocio es inmune a los hackers. Por lo que este es un buen momento para que Empresas y Organismos de Gobierno comiencen a capacitar a su personal.

Para minimizar los errores descuidados de ciberseguridad y fomentar la vigilancia de los empleados, es necesario, y una buena práctica, que se hable con el personal sobre Ciberseguridad regularmente (regularmente significa al menos una vez al mes). Los asuntos de seguridad siempre deben estar en la parte superior de la mente del personal. Hay que informar al personal acerca del las últimas técnicas y métodos de penetración que utilizan los hackers. Los empleados deben saber qué impacto tiene un incumplimiento, cómo podría afectar al conjunto; también deben ser conscientes del peligro que representa la ingeniería social, el phishing, el malware, ransomware, etc. Hay que tener bien en claro que si se da una capacitación o concientización anualmente, toda la información de seguridad del entrenamientos será olvidada casi de inmediato.

Algunas actividades y buenas prácticas que se pueden llevar adelante como parte de un programa de capacitación continuo son:

Falsos ataques de phishing

Un método efectivo para entrenar a los empleados es un ataque de phishing falso. Usando este método usted puede capacitar a los empleados sobre cómo reconocer y manejar correos electrónicos que pueden contener enlaces peligrosos y archivos adjuntos. Además, los miembros del personal aprenderán a reconocer los intentos de phishing y malwareloaded. ¿Por qué es esto crítico? 30% de las brechas de datos, de acuerdo con el informe de violación de datos de 2016 de Verizon, son causadas por la negligencia de los empleados, por ejemplo la apertura correos electrónicos sospechosos.

Concientizar sobre el uso y tipo contraseñas

Sus entrenamientos de ciberseguridad deben incluir clases sobre la importancia de contraseñas seguras. Hacer olvidarse de "123qwe" como el fiable. Verizon afirma que el 63% de las fugas de datos ocurrió principalmente debido a contraseñas débiles o robadas. Las contraseñas deben ser complicadas, contener letras minúsculas y números, pero al mismo tiempo ser fáciles de recordar.

Ataques de ingeniería social

La ingeniería social es la manipulación de las personas, no máquinas, con el fin de romper los sistemas del organismo y robar datos confidenciales. Hoy es una de las principales amenazas a la seguridad, ya que se basa en la vulnerabilidad de la psicología humana. El personal debe saber que hay diferentes tipos y tácticas de ingeniería social y saber cómo prevenirlas. Para este propósito, parte de su formación debe estar dirigida a aclarar el peligro de las llamadas telefónicas y correos electrónicos de terceros que pretenden ser su compañero de trabajo con un problema urgente que requiere un acceso a información confidencial.

Involucrar a todo el personal

Incluso los más instruidos, los especialistas en seguridad informática tienden a cometer errores, por lo que todo el personal debe estar involucrados en un entrenamiento constante incluyendo profesionales de TI y SI, CEOs y CISOs. La cadena de Mando Superior (los gerentes) es especialmente vulnerable porque tienen un alto acceso a todos los datos confidenciales. Además, el personal de TI es un objetivo clave debido a su acceso administrativo a todas las redes corporativas y recursos. Los ciberdelincuentes con la intención de hackear redes corporativas a menudo saben del valor de los ejecutivos y del personal TI.

Realizar pruebas y evaluaciones periódicas

Es fundamental realizar evaluaciones y analizar las necesidades de entrenamiento. Se debe saber el nivel de conocimientos y habilidades del personal con el fin de ver las lagunas y puntos blandos. ¿Qué incluir en las pruebas? Por ejemplo, falsos ataques de phishing para ver cuántos empleados harán clic en los enlaces sospechosos y por lo tanto proporcionar información. Para los que se enamoraron de los falsos correos electrónicos de phishing realizar capacitaciones adicionales, crear varios cursos y talleres. Además, también puede ver cuántos empleados transmitirán datos confidenciales de la empresa por correo electrónico si se les solicita vía web service.

Cerrando ideas

La capacitación en seguridad de la información debe ser continua, regular y mantenerse al día con las últimas tendencias y técnicas de seguridad. Informar al personal acerca de las últimas amenazas y métodos de infiltración a medida que evolucionan diariamente y regularmente realizar demostraciones en vivo durante clases resulta ser muy útil, también lo es enviar correos electrónicos y boletines con diferentes consejos de seguridad y recordatorios así como soluciones técnicas y asesoramiento sobre cómo monitorear y mitigar los riesgos cibernéticos y pasos a seguir después de una violación de datos.

Como decía al principio el cambio es el verdadero futuro, pero en todo siempre hay una variable constante, y esa constante (en este caso) es el individuo, la persona que es un hacedor en cualquiera de sus niveles, ese es el recurso que mas debe valorar una Empresa Privada u Organismo de Estado, es donde todo pivota. Cuidar, motivar y capacitar permanentemente al personal es cuidar del Organismo.

Es vital y necesario que Empresas y Organismos de Gobierno lleven a cabo constantemente formación de sensibilización e incluyan necesariamente ejemplos prácticos de las medidas de amenazas y vulnerabilidades. Los empleados deben tener un claro entendimiento que la ignorancia, descuido y la falta de voluntad para estudiar conducirán invariablemente a constantes pérdidas de datos y ataques de hackers. Hoy hay muchas y variadas consultoras y expertos que se dedican a capacitar, concientizar y trabajar con el personal, es una de las mejores inversiones que se puede hacer.