El elemento humano: la mejor defensa contra los ciberataques

La mejor defensa contra los ciberataques no son las soluciones tecnológicas de ciberseguridad, sino el fortalecimiento del elemento humano, según afirmó Perry Carpenter, veterano de la ciberseguridad, autor y director evangelista de seguridad de KnowBe4.

El elemento humano: la mejor defensa contra los ciberataques - Seguridad | Imagen 1 Newsmatic

El Informe de Investigaciones de Violaciones de Datos Empresariales 2022 de Verizon reveló que el elemento humano continúa siendo responsable del 82% de todos los ataques. Y los ataques se están volviendo más agresivos, con un aumento del 13% en el ransomware en 24 meses, una cifra superior a la suma de los últimos cinco años combinados.

“A medida que avanzamos hacia un mundo cada vez más digitalizado, soluciones tecnológicas efectivas, sólidos marcos de seguridad y un mayor enfoque en la educación desempeñarán un papel clave en garantizar que las empresas permanezcan seguras y los clientes protegidos”, afirmó Hans Vestberg, CEO y presidente de Verizon.

El informe de Verizon muestra el costo de la influencia humana. “Las personas siguen siendo, con mucho, el eslabón más débil en las defensas de ciberseguridad de una organización”, afirma la compañía.

KnowBe4, una plataforma de capacitación en conciencia de seguridad y phishing simulado, ha lanzado recientemente un kit de recursos diseñado para ayudar a los profesionales de TI y seguridad de la información a mejorar el elemento humano de la seguridad. La organización ha afirmado que los profesionales de TI aún enfrentan desafíos cuando se trata de crear un programa de concienciación de seguridad.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Carpenter, en contacto con Newsmatic, compartió las lecciones de seguridad humana que ha aprendido en los últimos años. Advierte que, aunque las estadísticas crecientes de ciberseguridad son motivo de preocupación, las compañías deberían ir más allá de ellas.

“Desafortunadamente, conocer las amenazas de ciberseguridad es solo la mitad de la batalla. Hacer algo al respecto y, lo que es más importante, hacer algo para prevenirlas, es donde realmente debería estar invirtiendo su tiempo”, afirmó Carpenter. Explicó que incluso aquellos involucrados en los esfuerzos de concienciación en seguridad sufren una falla fatal: la brecha entre el conocimiento, la intención y el comportamiento.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

Índice de Contenido
  1. La brecha entre el conocimiento, la intención y el comportamiento
  2. Trabajando con la naturaleza humana
  3. Comunicación, comportamiento y gestión de la cultura
    1. Lecciones de comunicación
    2. Lecciones de comportamiento
    3. Lecciones de gestión de la cultura
  4. Mensajes de phishing y simulaciones de phishing

La brecha entre el conocimiento, la intención y el comportamiento

“Solo porque los miembros de su equipo estén al tanto de algo no significa que les importe”, afirmó Carpenter. La brecha entre el conocimiento, la intención y el comportamiento explica por qué los ataques continúan aumentando a pesar de las inversiones que las empresas realizan en la construcción de programas sólidos de concienciación en ciberseguridad para todos los trabajadores.

Según Carpenter, los trabajadores pueden estar conscientes de las amenazas y los riesgos, de cómo funcionan y de lo que deben hacer para evitarlos, pero aún así no toman las acciones necesarias para mantener segura a la empresa.

Para revertir esta situación, las empresas deben cerrar las brechas entre el conocimiento y la intención para fomentar comportamientos correctos entre sus fuerzas laborales. Esto requiere un enfoque con el que la industria altamente técnica de la ciberseguridad lucha: trabajar con la naturaleza humana.

Cómo proteger tu computadora de los virus: métodos y consejos

Trabajando con la naturaleza humana

Los programas de ciberseguridad efectivos trabajan con la naturaleza humana, porque las organizaciones de ciberdelincuentes se han convertido en expertos en manipularla. Los líderes pueden estar preguntándose por qué, si sus trabajadores están informados, están cayendo en todo tipo de estafas y campañas de phishing.

La respuesta, según Carpenter, no tiene nada que ver con la inteligencia de los empleados. Las técnicas más exitosas para violar un sistema no dependen de malware sofisticado, sino de cómo manipulan las emociones humanas. Los atacantes aprovechan la curiosidad natural, el impulsivismo, la ambición y la empatía.

Otro método es la antigua técnica de marketing de ofrecer cosas gratis. Las campañas de publicidad a granel con clickbait pueden ser increíblemente efectivas y, para los ciberdelincuentes, son puertas de entrada para descargar malware y ransomware. Prometen dinero en efectivo, oportunidades de inversión o simplemente un lavado de autos gratis, sabiendo que es muy difícil para los humanos resistirse a una oferta aparentemente inofensiva y atractiva.

Otra tendencia en aumento manipula la empatía humana. En 2020, el FBI advirtió sobre esquemas de fraude emergentes relacionados con COVID-19, y en mayo de 2022, el Centro de Quejas de Delitos en Internet del FBI (IC3) alertó que los estafadores se estaban haciendo pasar por entidades ucranianas solicitando donaciones. Los criminales no se detendrán ante nada y utilizarán crisis humanitarias o eventos posteriores a desastres naturales para fabricar ataques de ingeniería social.

Los ciberdelincuentes también están creando ataques altamente personalizados utilizando la información de los empleados que obtienen a través de las redes sociales y sitios en línea. Además, sabiendo que un empleador responde a un gerente, al departamento de recursos humanos o a un CEO de la empresa, aprovecharán esa relación y se harán pasar por personas de autoridad dentro de la organización. “Envían mensajes falsos desde la cuenta del CEO con instrucciones para transferir fondos a una cuenta de proveedor falsa o engañan a los empleados en otros esquemas de compromiso comercial fraudulentos (BEC)”, dijo Carpenter.

VER: Brecha de contraseñas: por qué la cultura popular y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Comunicación, comportamiento y gestión de la cultura

Carpenter explicó que las empresas deberían proporcionar capacitación continua en seguridad para sus empleados en tres áreas:

  • Comunicación
  • Comportamiento
  • Gestión de la cultura

Compartió con Newsmatic puntos clave que los líderes pueden utilizar para construir lecciones para cada sección.

Lecciones de comunicación

  • Comprender a su audiencia y lo que valoran.
  • Captar la atención de las personas y conectar emocionalmente: hacer que su mensaje sea convincente. No solo comparta hechos, sino utilice historias y ejemplos para conectar.
  • Tener una clara llamada a la acción: decirle a sus equipos, específicamente, lo que deben hacer.

Lecciones de comportamiento

  • Reconocer la brecha entre el conocimiento, la intención y el comportamiento como una realidad que afecta cualquier comportamiento que se desee fomentar o desalentar. Es posible que los miembros de su equipo tengan el conocimiento que necesitan y las mejores intenciones, pero su objetivo es impactar sus comportamientos en última instancia.
  • Las personas no son racionales. Debemos ayudarles con recordatorios, herramientas y procesos que faciliten los comportamientos y los hagan sentir más naturales.
  • Colocar las herramientas y la capacitación lo más cerca posible del punto de comportamiento.

Lecciones de gestión de la cultura

  • Comprender su cultura tal como existe actualmente mediante encuestas de medición de la cultura, grupos de enfoque, observación y más.
  • Identificar posibles “portadores de la cultura” equipados y autorizados para ayudar a apoyar la mentalidad y los comportamientos que desea ver en todo su equipo.
  • Diseñar estructuras, presiones, recompensas y rituales que sean continuos y aborden las diferencias únicas entre varios grupos.

Mensajes de phishing y simulaciones de phishing

En 2021, IBM reveló que el costo promedio de un ataque en el endpoint es de $4.27 millones. Con el modelo de trabajo híbrido que se está convirtiendo en la norma y la superficie de ataque que se expande con millones de nuevos dispositivos conectados fuera de las redes corporativas, las soluciones de ciberseguridad como la Gestión de Privilegios de Endpoint (EPM, por sus siglas en inglés) y las simulaciones de phishing adquieren mayor importancia para responder a las brechas de seguridad.

Accenture destacó recientemente cómo las EPMs podrían permitir a los usuarios realizar sus trabajos de manera eficiente y segura sin correr riesgos de violaciones. Las EPMs otorgan a los endpoints un conjunto mínimo de privilegios al eliminar los derechos administrativos de los usuarios y controlar qué aplicaciones pueden ejecutarse. “Solo se permiten aplicaciones verificadas y de confianza, y lo hacen con el conjunto más bajo posible de privilegios”, explica Accenture.

Otra herramienta de seguridad que se vuelve cada vez más crítica para identificar las vulnerabilidades del elemento humano, fortalecer las brechas y educar a los usuarios son las simulaciones de phishing. Los equipos de TI simulan campañas de phishing en estas simulaciones para visualizar cómo los trabajadores responden. Esto permite probar la postura de seguridad, identificar puntos débiles y aprender de las simulaciones.

“Incluso cuando hayas logrado resultados transformacionales, tu viaje rara vez habrá terminado. Los actores maliciosos seguirán encontrando formas innovadoras de frustrar nuestros mejores esfuerzos. Su respuesta será adaptarse constantemente y comprometerse con un proceso de mejora continua”, concluyó Carpenter.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El elemento humano: la mejor defensa contra los ciberataques , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.