Los empleados son los activos más valiosos de una empresa, ya que hacen aumentar los ingresos, establecen relaciones con los clientes y, evidentemente, ejecutan un papel determinante en el perímetro de seguridad de una compañía.
Sin embargo, es más probable que los ciberdelincuentes consideren a los empleados como una vía menos resistente para acceder a la organización. Por ejemplo, en Norteamérica dos casos muy importantes de brechas se han debido a la desinformación o al descuido de los empleados y al phishing o a otro tipo de ingeniería social. Los ciberdelincuentes lo saben y lo utilizan para su propio beneficio.
Con un programa de educación en seguridad, tu empresa puede proteger su información más sensible, asegurándose de que los ciberdelincuentes no puedan atravesar el cortafuegos de tus empleados.
Recibimos muchas preguntas sobre cuáles son las mejores prácticas de ciberseguridad en el trabajo, por lo que decidimos tener una charla con Barton Jokinen, encargado en Kaspersky Lab de la supervisión de la seguridad de la información y del cumplimiento de esta en América, para que respondiera a algunas de las preguntas más frecuentes.
Esposito: ¿Qué es la ciberseguridad?
Jokinen: La ciberseguridad se puede definir de muchas formas, además, es un término muy amplio. Podríamos decir que es la práctica de defender sistemas y datos contra ataques maliciosos, por lo que incluye la seguridad física, la formación y concientización a los empleados.
Esposito: ¿Cuál es el mejor programa de concientización en ciberseguridad?
Jokinen: Los programas de concientización en ciberseguridad no son universales. Las organizaciones tienen diferentes necesidades según los objetivos de su estrategia empresarial, su evaluación de riesgos e, incluso, la propensión al riesgo. Por ello, conviene preguntarse: “¿En qué ayuda la ciberseguridad a la actividad principal de la organización?”.
Esposito: Desde la perspectiva de la ciberseguridad, ¿en qué deberían pensar las empresas cuando protejan el lugar de trabajo?
Jokinen: Las organizaciones suelen ignorar tres áreas cuando piensan en la ciberseguridad.
Protección y seguridad física. El bienestar de los empleados debería liderar la estrategia de ciberseguridad de todas las empresas. Puede no parecer intuitivo si se piensa en la ciberseguridad, o puede que la mayoría lo considere muy cibernético. Pero la creciente prevalencia de los dispositivos del Internet de las Cosas (IdC) ha difuminado la línea entre la seguridad física y la ciberseguridad. Como las cámaras de seguridad inalámbricas que se gestionan a través de una interfaz web o una cerradura inteligente que se abre a través del smartphone de un empleado, ¿cuándo dejan las cosas de ser físicas y pasan a ser cibernéticas?
Muchas empresas cuentan con controles ambientales y de seguridad físicos tradicionales, pero estos grupos están desconectados de los que son realmente capaces de resolver problemas reales. En la era del IdC, los equipos informáticos y la ciberseguridad son los responsables de las medidas de rehabilitación. En el trabajo, estos sistemas suelen compartir la misma red de recursos que el resto de las empresas. Conectar los dispositivos IdC a la red principal es arriesgado porque proporciona un punto de entrada para que posibles atacantes accedan a los recursos de la red corporativa.
Los sistemas vulnerables también pueden utilizarse para acceder a sistemas de control industrial (ICS, por sus siglas en inglés) con una seguridad muy pobre. Las organizaciones que ejecutan infraestructura crítica o fabricación en ICS, deben realizar una búsqueda profunda de todos los sistemas involucrados. Estas redes también deberían intentar mejorar la ciberseguridad.
Conocimiento de la situación de los activos y datos. La mayoría de las infraestructuras de ciberseguridad deben conocer los activos (incluidos los datos) que tiene una organización: los sistemas y aplicaciones que procesan los datos, quién tiene acceso y dónde se encuentra. Un análisis de los riesgos de ciberseguridad basado en activos conocidos permitirá determinar de forma más rigurosa las posibles amenazas. De esta forma, la organización puede centrarse en los aspectos más importantes de sus recursos de ciberseguridad.
Concientización y formación en ciberseguridad
La concientización va más allá de la detección y catalogación de activos. Debería consistir en una formación continua a los empleados sobre las políticas, las amenazas actuales y cómo enfrentarse a ellas. Debería prestarse especial atención a la ingeniería social, que sigue siendo el vector de ataque más común y exitoso.
Las organizaciones no deberían ofrecer formaciones genéricas, sino que deberían orientarlas según el puesto de trabajo y realizar sesiones personales y entretenidas. Contar historias y exponer juegos educativos que apoyen los conceptos de la concientización. En resumen, no debería de ser un simple examen.
Un buen programa es una mezcla de módulos presenciales/impartidos por instructores, online/autodidactas. Recopila siempre métricas para mostrar los puntos fuertes y débiles de los programas de concientización en seguridad.
Esposito: Nuestro equipo informático está al tanto de las novedades en ciberseguridad. ¿Por qué deberían someterse a formaciones?
Jokinen: La formación en higiene de ciberseguridad debe de ser una práctica común en las organizaciones. Los empleados suelen considerarse como el “vínculo más débil”, son el vector de ataque más común, por lo que deberían tratarse como cualquier otro vector de ataque de una organización.
Esposito: Hemos tenido varios programas de formación, pero ninguno ha resultado efectivo. ¿Qué deberíamos hacer?
Jokinen: No es ningún secreto que los programas de formación tradicionales no suelen conseguir los cambios y motivaciones de comportamiento deseados. Para desarrollar un programa de formación efectivo, tiene que haber un entendimiento sobre lo que hay detrás de cualquier proceso educativo o de aprendizaje. La clave del éxito está en crear una cultura de ciberseguridad, que motive a los empleados a continuar con las prácticas seguras en su día a día más allá de los perímetros de la oficina. Después de todo, el objetivo de la formación en concientización no es solo aportar conocimientos, sino también cambiar los hábitos y la forma de los nuevos patrones de comportamiento.
Con los productos de Kaspersky Security Awareness podrás comenzar o rellenar los vacíos de un programa ya existente. Los hemos creado para todos los niveles de la estructura organizacional. Los productos de formación en ordenadores recurren a técnicas modernas: gamificación, aprendizaje práctico y refuerzo repetido ayudan a desarrollar una fuerte retención de habilidades y previenen la erradicación; y la emulación del comportamiento y los puestos de trabajo de los empleados atrae la atención de los usuarios a los intereses prácticos. Estos factores motivacionales garantizan la aplicación de las habilidades.
Esposito: ¿Con qué frecuencia deben informar los empleados de actividad sospechosa?
Jokinen: Los equipos de ciberseguridad preferirían tener informes de los empleados con falsos positivos que esperar hasta que algo “sospechoso” se manifestara en forma de una gran amenaza. Pero antes de que los empleados puedan informar de actividad sospechosa, necesitan ser capaces de identificar lo que se considera sospechoso.
Una formación en ciberseguridad y sus materiales deberían definir los incidentes sospechosos mediante ejemplos, además de mostrar cómo y cuándo realizar un informe. Los incidentes se pueden informar de distinta forma según la organización: mediante el servicio de asistencia informática, a través de una dirección de correo electrónico que genera una solicitud para los equipos de seguridad o informando directamente a los directores.
Una vez que los empleados son capaces de identificar e informar sobre actividad sospechosa, lo próximo es establecer una política de respuesta a incidentes, que debería resumir los procedimientos y responsabilidades de los empleados cuando se enfrenten a un incidente.
Recuerda que es mejor informar sobre todo lo que ves, ya que es más fácil frenar algo en sus inicios, que gestionar una crisis en plena efervescencia.
Esposito: ¿Cuál es tu opinión sobre la política BYOD?
Jokinen: Bring your own device (BYOD, del inglés “trae tu propio dispositivo”) se ha convertido una política empresarial muy popular. Los empleados gozan de una gran flexibilidad a la hora de escoger cuándo trabajar y qué dispositivo utilizar. Sin embargo, esto pone en alto riesgo los datos de la empresa, ya que, cuando se permite que los empleados utilicen sus propios dispositivos para trabajar, estos quedan fuera del alcance de los controles de seguridad tradicional.
Esposito: ¿Parece que estás en contra del BYOD?
Jokinen: Las empresas no tienen por qué acabar con las políticas BYOD, pero es vital que establezcan políticas y procedimientos de seguridad. Por ejemplo, necesitan segregar el trabajo y el ocio. Los datos de la empresa deberían procesarse solo por aplicaciones que estén aprobadas y protegidas por la organización. Y esto puede ser un auténtico desafío si los empleados utilizan su propio dispositivo. Para eso está la herramienta de gestión de dispositivos móviles (MDM, por sus siglas en inglés, “mobile device management”). Las herramientas MDM pueden segregar y proteger los datos de una empresa, revisar y aprobar aplicaciones y rastrear y eliminar a distancia toda información relacionada con la organización que haya en los dispositivos.
Fuente: Kaspersky Lab