Días atrás encontré un artículo que reunía en un solo lugar los argumentos más comunes contra las simulaciones de Phishing.
Parafraseando, decía más o menos así:
“Las Simulaciones de Phishing no sirven para concientizar a los usuarios, y únicamente los pone en contra del Área de Seguridad, ya que se sienten engañados. Por este motivo, los usuarios saltean las medidas que tomamos y no reportan incidentes. Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics, y los usuarios seguro pasan 1 segundo en los momentos educativos. Mejor invertir el tiempo en configurar herramientas tecnológicas. Al fin y al cabo, con ellas se puede incluso calcular el retorno de inversión.”
Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing
Propongo desmenuzar juntos cada uno de los argumentos y revisar por qué no son válidos argumentando de manera objetiva cada punto.
Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios
Las Simulaciones de Phishing tienen diferentes propósitos, todos ellos complementarios entre sí:
- Establecer una línea base del nivel de riesgo de nuestra organización frente a un ataque de Phishing
- Medir de manera objetiva el progreso de nuestro plan continuo de concientización
- Mantener a nuestros usuarios atentos y poner en práctica los mecanismos de reporte de incidentes
- Concientizar a nuestros usuarios
Para lograr este último objetivo, se utilizan las Simulaciones de Phishing en conjunto con Momentos Educativos. Esta herramienta convierte a las simulaciones no sólo en una manera de concientizar, sino que permite detenernos a pensar en el mejor momento posible, cuando la probabilidad de aprendizaje y asimilación de un contenido por parte de los usuarios es más alta.
Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.
Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.
- Que las campañas de simulación de Phishing duren semanas
- Que los correos de Phishing sean recibidos de manera correcta en el inbox de todos los usuarios
- Que todos los usuarios posibles caigan en las trampas simuladas
Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.
Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.
Sentencia común de quien cree en la seguridad al 100%: se apoya únicamente en herramientas tecnológicas y desconfía del usuario.
El argumento se cae a pedazos leyendo cualquier informe de ciberseguridad de la última década. En todos ellos, el Phishing se menciona como la puerta de entrada de más del 90% de los ciberataques. Si las herramientas tecnológicas realmente brindasen el nivel de seguridad que algunos creen que brindan, la estadística sería otra.
Además, en el año 2021, ya debemos tener claro que la seguridad se debe implementar en capas, y que depender sólo de una de ellas, al día de hoy es una irresponsabilidad.
Por último, la capa humana es esencial frente a los ataques de ingeniería social, los cuales suceden muchas veces fuera del perímetro de nuestra organización, en dispositivos personales de nuestros usuarios, y de maneras muy creativas.
El retorno de inversión, por otro lado, puede medirse de manera objetiva y expresarse en informes claros con indicadores gerenciales, respaldados por registros de auditoría inalterables.
Ideas finales
Eventualmente se pueden encontrar argumentos en contra de las Simulaciones de Phishing, que clasifican a esta herramienta como la causa de distintos males que enfrenta el Área de Seguridad. La realidad demuestra que la causa de estos males es en realidad producto de actitudes y conductas internas al área, y del desconocimiento sobre el uso correcto de las herramientas de simulación.
Esto no es únicamente una afirmación de SMARTFENSE. La publicación de Linkedin que motivó este post, tiene decenas de comentarios de responsables de seguridad con experiencia, que indican claramente al autor que su enfoque está lejos de ser correcto.
Deja un comentario