A medida que los ciberdelincuentes se vuelven cada vez más sofisticados, profesionales e ingeniosos, las organizaciones deben extender sus líneas de defensa más allá de los controles técnicos y los planes de respuesta ante una crisis para su gente.
Desafortunadamente, el componente persona no siempre es considerado; la seguridad puede verse simplemente como un problema tecnológico y, a menudo, hay una inversión sustancial en la educación de los empleados sobre su papel en la seguridad de la organización.
El nivel de ingenio que muestran los grupos de delincuentes cibernéticos debe ser igualado por las organizaciones en su respuesta a los ataques cibernéticos. Asegurarse de que los empleados entiendan completamente y demuestren los comportamientos de seguridad correctos es clave para reducir la eficacia de un posible ataque cibernético.
Los atacantes cibernéticos consideran todas las vulnerabilidades posibles cuando intentan obtener acceso a una organización y, a menudo, ven a las personas como un eslabón débil. Tomando como ejemplo el ransomware operado por humanos (el cual consiste en un ransomware que, a diferencia de los anteriores que se propagan de forma automática, es operado por delincuentes hábiles y adaptables que pueden pasar meses identificando y superando las defensas para maximizar el impacto de los ataques), hay puntos clave en la ruta de ataque típica que pueden depender de errores humanos o vulnerabilidades para que el ransomware se implemente con éxito. Por eso es importante que los empleados demuestren ciertos comportamientos de seguridad para ayudar a contrarrestar la amenaza del ransomware y otros ataques cibernéticos.
Una cultura de seguridad efectiva es más amplia que sólo actividades de marcar casillas, pero las actividades existentes para administrar el componente humano de la seguridad a menudo no son efectivas para respaldar este tipo de reducción del riesgo cibernético, y es necesario contar con personal especializado interno o externo que apoye en el fortalecimiento de estos aspectos.
En primer lugar, el ataque a menudo se basa en el reconocimiento exitoso por parte de los delincuentes para robar información de los perfiles abiertos de las redes sociales u otros sitios web que pueden usarse en ataques de ingeniería social o phishing. Luego se lleva a cabo el phishing de los empleados que usan esta información para implementar malware en las estaciones de trabajo.
Se aprovechan las vulnerabilidades en los servicios orientados a Internet, que a menudo se pueden atribuir al uso de los llamados Shadow IT o TI oculto en referencia a los dispositivos, softwares y servicios que están fuera del control del departamento de TI y no cuentan con una aprobación explícita de la organización. Luego, las cuentas privilegiadas se ven comprometidas por la explotación de problemas comunes de higiene de TI y Active Directory (AD), incluido el comportamiento inadecuado de las contraseñas. El movimiento lateral o técnicas de propagación a través de una red, la exfiltración de datos o fuga de información y la implementación de ransomware lo más ampliamente posible tienen más probabilidades de tener éxito si los empleados no son conscientes de cómo puede ser un comportamiento sospechoso o si no corrigen los procesos de informes.
Ayude a su gente a estar más segura y no publicar en exceso en las redes sociales. Además de la capacitación y la concientización, organice sesiones en las que el personal pueda obtener consejos prácticos y sugerencias.
Asegúrese de apoyar a su gente para identificar y denunciar el phishing. No intente simplemente atraparlos con simulaciones y culparlos por una alta tasa de clics.
Hemos visto un aumento en esto con el trabajo remoto. A menudo, hay razones por las que las personas usan dispositivos, softwares y servicios que están fuera del control del departamento de TI, como una solución alternativa para ayudarlos a hacer su trabajo más rápido, así que hable con su gente, identifique por qué están haciendo esto y ayúdelos a encontrar alternativas seguras.
Las personas a menudo tienen demasiadas contraseñas para recordar. Reduzca la cantidad de contraseñas cuando sea posible fomentando el uso de Passphrases o frases de contraseña (contraseñas tan largas como frases), administradores de contraseñas seguras y habilitando la autenticación multifactor (MFA) en cuentas clave.
A menudo, las personas no están seguras de qué informar o cómo. Ayúdelos a entender qué buscar y facilíteles consultar e informar.
Muchas cosas influyen en el comportamiento y se debe hacer hincapié en comprender qué está impulsando el comportamiento actual de sus empleados. Utilice esta información para diseñar actividades e intervenciones que marcarán la diferencia en lugar de hacer suposiciones falsas.
Las intervenciones que pueden mejorar la conciencia de las amenazas cibernéticas y fomentar los comportamientos correctos ayudarán a construir una cultura de seguridad efectiva y crear una organización más fuerte y resiliente.
Bobbie Ramsden-Knowles
Crisis and Resilience Partner, PwC United Kingdom
Tel: +44 (0)7483 422701
Richard Jones
Cyber Security Culture, Senior Manager, PwC United Kingdom
Tel: +44 (0)7561 789217