¿Los empleados pueden poner en riesgo la empresa? Tres aspectos clave para la formación en ciberseguridad

Durante el mes de octubre se celebra una vez más el Mes de la Concienciación sobre Ciberseguridad (CSAM), una campaña que trasciende las fronteras entre consumidores y empresas, pues en un mundo donde todos somos, a la vez, empleados y usuarios, las líneas que separan estos roles se vuelven cada vez más difusas. En la era del trabajo remoto, donde la oficina se desdibuja en el entorno doméstico, las ciberamenazas acechan con una agudeza sin precedentes. Por ello, la construcción de un mundo online más seguro debe iniciarse aquí, y la pregunta que resuena es: ¿qué deben incorporar los líderes de TI en sus programas de concienciación sobre ciberseguridad?

Según Verizon, a nivel global, el 74% de todas las brechas de ciberseguridad registradas durante el año pasado estuvieron relacionadas con el “factor humano”, que en muchos casos se tradujo en errores, negligencias o la caída de usuarios en ataques de phishing e ingeniería social. Los programas de formación y concienciación en ciberseguridad se erigen como herramientas fundamentales para mitigar estos riesgos. Sin embargo, alcanzar el éxito en esta área no es un camino rápido ni sencillo. Más que centrarse exclusivamente en la formación o en la sensibilización, ya que ambas pueden desvanecerse con el tiempo, el objetivo real es transformar a largo plazo los comportamientos de los usuarios.

“Para lograr esta transformación, es esencial ejecutar programas de manera continua con el fin de mantener los conocimientos en la mente de los usuarios en todo momento. Además, es crucial extender los aprendizajes a todas los involucrados en los procesos de trabajo, lo que incluye a trabajadores temporales, contratistas y ejecutivos de alto nivel, ya que cualquier persona podría ser un blanco potencial de las ciberamenazas y un simple error puede permitir su entrada. Como recomendación, dividir las sesiones en fragmentos breves aumentará la probabilidad de que los mensajes se arraiguen en la memoria de los participantes y, siempre que sea factible, es buena idea incorporar ejercicios de simulación o gamificación para que la capacitación sea más atractiva y efectiva”, explica Josep Albors, director de Investigación y Concienciación de ESET España.

A medida que nos aproximamos al final de 2023, es pertinente reflexionar sobre los elementos que debemos incluir en los programas de ciberseguridad del próximo año. En este sentido, es fundamental no solo adaptarse a las ciberamenazas actuales, sino también a las futuras para dejar atrás las estrategias obsoletas. ESET, compañía líder en ciberseguridad, aborda los 3 principales aspectos que se deben tener en cuenta a la hora de elaborar un plan de ciberseguridad efectivo.

• BEC y phishing

A pesar de que el phishing como tal existe desde hace décadas, sigue siendo uno de los principales vectores para el acceso inicial a las redes corporativas, más aún con el auge del teletrabajo. Además, las tácticas están cambiando y del mismo modo se tienen que actualizar los ejercicios de concienciación. Para 2024, será prioritario incluir contenido sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Una buena forma de asegurar la mejor capacitación de los empleados es asociarse con un proveedor de cursos, quien estará al día de todas las técnicas específicas y la forma de combatirlas. Una práctica novedosa y efectiva para ilustrar estos contenidos son las simulaciones en vivo.

El fraude Business Email Compromise (BEC) o “compromiso del correo electrónico corporativo”, que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia más exitosas en la actualidad. De hecho, tan solo en Estados Unidos, los casos reportados al FBI el año pasado ocasionaron pérdidas de más de 2.700 millones de dólares. En este delito, que se basa fundamentalmente en la ingeniería social, normalmente engañan a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del ciberdelincuente, haciéndose pasar, por ejemplo, por un CEO o un proveedor. En este sentido, es fundamental implementar ejercicios de concienciación sobre phishing, así como combinarlo con inversiones en ciberseguridad avanzada del correo electrónico, procesos de pago seguros y doble verificación de cualquier solicitud de pago.

• Seguridad del trabajo remoto e híbrido

Los expertos han advertido durante mucho tiempo que es más probable que los empleados ignoren las directrices/políticas de seguridad o simplemente las olviden cuando trabajan desde casa. De hecho, un estudio encontró que, por ejemplo, el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano los hace más relajados y distraídos. Esto puede ponerlos en un riesgo elevado de verse comprometidos, especialmente cuando las redes domésticas y los dispositivos pueden estar menos protegidos que sus equivalentes corporativos. Y aquí es donde los programas de capacitación deben intervenir con consejos sobre actualizaciones de seguridad para ordenadores portátiles, administración de contraseñas y el uso solo de dispositivos aprobados por la empresa.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas hoy en día, y desplazarse a la oficina o trabajar desde un lugar público acarrea ciertos riesgos. Algunos de ellos son las ciberamenazas de los puntos de acceso Wi-Fi públicos que pueden exponer a los trabajadores móviles a ataques de “adversarios en el medio” (AitM, según sus siglas en inglés), en los que los ciberdelincuentes acceden a una red y escuchan a escondidas los datos que viajan entre los dispositivos conectados y el router; y las amenazas de «gemelos malvados» en las que los ciberdelincuentes configuran un punto de acceso Wi-Fi duplicado que se hace pasar por legítimo en una ubicación específica.

• Protección de datos

Las multas derivadas del GDPR, o Reglamento General de Protección de Datos, aumentaron un 168% en 2022, superando los 2.900 millones de euros, debido a que los reguladores tomaron medidas estrictas contra su incumplimiento. Esto es un argumento lo bastante significativo como para que las organizaciones se aseguren de que su personal siga correctamente las políticas de protección de datos.

La formación periódica es una de las mejores formas de promover las mejores prácticas de gestión de datos, lo que implica formación en el uso de un cifrado fuerte, una buena gestión de contraseñas, mantener los dispositivos seguros e informar de cualquier incidente inmediatamente al contacto correspondiente.

El personal también puede beneficiarse de una actualización sobre el uso de la copia oculta (CCO), ya que es un error común que conduce a fugas involuntarias de datos de correo electrónico. Otra capacitación técnica debe ser sobre el uso de las redes sociales, prestando especial atención al grado de confidencialidad de la información.

“Los cursos de capacitación y concienciación son un componente crítico de cualquier estrategia de ciberseguridad, pero no pueden operar de manera independiente. En este sentido, las organizaciones deben respaldarlos con políticas de ciberseguridad sólidas respaldadas por controles efectivos y herramientas, como la gestión de dispositivos móviles. El lema ‘personas, procesos y tecnología’ es fundamental para la construcción de una cultura corporativa más resistente en materia de ciberseguridad”, concluye Albors.

Phil Muncaster. Accede al post en inglés aquí.