Supongamos que llegamos a una organización sin herramientas tecnológicas de protección. Comenzamos pues con la instalación de herramientas Antivirus, Antispam, Firewall, IDS/IPS, DLP, etc. Luego de un año de ardua dedicación, implementando, configurando y manteniendo las herramientas, llegamos al nivel de seguridad deseado. Y abandonamos todo. No realizamos más mantenimiento a ninguna herramienta, suspendemos las actualizaciones, dejamos de pagar las licencias de software, e incluso reducimos los equipos. Nos olvidamos de su existencia.
¿Suena inteligente?
Igual de buena es la idea de ejecutar un programa de concienciación, llevar el nivel de riesgo de la organización a un punto aceptable, aportar valor a las personas de nuestra organización, y luego de un año, dar por finalizada la gestión.
Veamos por qué:
Gestión de riesgos
Mediante la concienciación se gestiona uno de los principales riesgos de ciberseguridad que enfrentan las organizaciones: la ingeniería social.
Prácticamente todos los informes de la última década mencionan al Phishing como la puerta de entrada de más del 90% de los ciberataques. No importa la región a la que haga referencia el informe, tampoco la organización que lo desarrolle, ni el año que analice. El Phishing es el problema principal.
Si las herramientas tecnológicas son cada día más eficientes, sus técnicas más elaboradas (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection), e incluso hacen uso de Machine Learning, ¿por qué el problema se mantiene o crece año a año?
Los ciberdelincuentes van directo a las personas, y saltan de esta manera las medidas de protección tecnológicas. Este riesgo existe, está sucediendo y es peligroso. Los costos tecnológicos y de negocio que las organizaciones pueden sufrir por un ataque de ingeniería social son suficientes como para interrumpir su funcionamiento y hasta provocar su quiebra.
¿Y cómo gestionamos un riesgo así?
Como gestionamos todos los riesgos. Hay que medir el nivel de exposición actual y realizar acciones para llevarlo a un nivel deseado. Una vez allí, debemos seguir midiendo y manteniendo en ese punto deseado de manera continua. Para esto sirve exactamente un programa de concienciación.
Si lo llevas a cabo un tiempo y luego lo dejas, ¿cómo sabes cuál es el nivel de exposición actual de tu organización frente a un ataque de ingeniería social? ¿Cómo lo mantienes bajo? ¿Qué acciones puedes tomar respecto a las personas con scoring de riesgo elevado? ¿Dónde queda la inversión realizada en el período donde sí concienciaste?
Cultura segura
Cuando concienciamos, uno de los objetivos estratégicos principales del programa es desarrollar una cultura segura dentro de la organización.
¿Qué significa esto?
Una cultura segura es aquella donde los usuarios encuentran en la seguridad un valor agregado para su vida personal y corporativa. El área de ciberseguridad aporta información útil y el usuario la reconoce como tal, teniendo en cuenta los aspectos de seguridad en su día a día (tanto dentro como fuera de la organización). La persona demuestra hábitos seguros en sus pequeños accionares diarios, como reportar correos sospechosos, no descargar archivos inesperados, utilizar contraseñas fuertes o doble factor de autenticación, bloquear la pantalla antes de levantarse del escritorio, y un largo etcétera.
¿Cómo se logra?
Transmitiendo contenidos de calidad a través de diferentes medios (Videos, Videojuegos, Módulos Interactivos,etc.), actualizados, centrados en el refuerzo positivo y en el aporte de valor a la persona.
¿Cómo se mide?
De manera objetiva, a través de la evaluación de los comportamientos de los usuarios (mediante herramientas de simulación) y de sus conocimientos y opiniones (exámenes y encuestas).
Para lograr un cambio de cultura es necesario construir sobre el cambio, establecer procesos de mejora continua, y anclar los cambios en la cultura organizacional.
¿Cuánto se tarda?
No debemos ver a la cultura segura como un proyecto a lograr en cierto período de tiempo. Una cultura segura se desarrolla y se mantiene todos los días. Y esto en gran medida tiene que ver con el hecho de que estamos trabajando con personas:
- Los miembros del equipo van cambiando, hay rotación, y nuevos empleados también requieren ser concienciados.
- Las personas olvidan conceptos aprendidos y pierden hábitos si no se le refuerzan
- Sin estímulos, las personas no permanecen atentas a los riesgos
Entonces, al igual que un riesgo se debe gestionar de manera continua, una cultura segura se debe mantener día a día.
Actualización
Volviendo a pensar en el ejemplo inicial: ¿Por qué actualizamos las soluciones tecnológicas de la organización? Porque el Malware evoluciona, las técnicas de evasión mejoran, se descubren nuevas vulnerabilidades, etc.
¿Por qué entonces no mantener siempre actualizada a la capa humana?
Es la capa más atacada por los ciberdelincuentes. ¿No debería ser acaso la capa más fuerte? Depende de nosotros.
Los ciberdelincuentes son originales, inteligentes y realmente creativos. Además, están altamente motivados porque ven resultados muy lucrativos. Los usuarios deben estar al tanto de todas las novedades sobre ellos, para detectar engaños y prevenir problemas de seguridad.
Regulaciones y Normativas
Actualmente múltiples normativas exigen concientizar a los usuarios, y no por única vez. Además, las mismas normativas se actualizan y modifican con el tiempo, y es necesario adaptarse para seguir dando cumplimiento.
Imagen del área de seguridad
La concienciación tiene el poder de mejorar la imagen que los usuarios tienen del área de ciberseguridad de la organización. Los usuarios dejan de percibir a los controles como trabas en su trabajo diario y encuentran un aliado en la imagen del CISO y su área, tanto para su vida personal y laboral.
Si luego de un período de concienciación las acciones cesan bruscamente, la imagen del área va a decaer, ya que hizo algo apreciado por las personas y luego se abandonó. Habrá personas esperando una frecuencia en la comunicación y con el tiempo se olvidarán de la ayuda que encontraron en el área.
Ideas finales
Los riesgos existen porque los factores que los provocan están fuera de nuestro control directo y tienen cierta probabilidad de ocurrir.
La decisión de actuar sobre uno de los riesgos más relevantes en la ciberseguridad mediante un proceso de Hardening de Usuarios es, hoy más que nunca, un punto infaltable en nuestra estrategia de seguridad.
Pero no perdamos de vista el problema que estamos enfrentando. Si concienciamos un año, dos, o tres, y luego abandonamos el proceso, los factores de riesgo van a seguir ahí, y la probabilidad de afectar a nuestra organización va a aumentar a medida que las acciones que realizamos se vayan diluyendo con el tiempo.
¿Has concienciado un año y dado por finalizado el problema? ¡Felicitaciones! Ya no gestionas el principal riesgo de ciberseguridad y pronto tu organización será víctima de Phishing (o quizás ya lo es).
Deja una respuesta