Cuando se escriba la historia de la década actual, los últimos meses bien pueden marcar un punto de inflexión. Exactamente con lo que queda por ver… Pero una cosa ha quedado muy clara: la forma en que las organizaciones trabajan puede que nunca vuelva a ser la misma. Esto es muy importante para los CISO. Si antes estaban preocupados las amenazas internas, los mismos riesgos podrían ser muchas veces mayores entre una fuerza laboral recién distribuida.
Aquí es donde entra en juego la capacitación para la concienciación de los usuarios. Pero simplemente poner en marcha un plan general puede no funcionar. Una nueva investigación de Trend Micro revela que algunos empleados no rompen las reglas por ignorancia, sino por la superioridad percibida sobre otros, por ejemplo. Es hora de que las organizaciones adopten un enfoque más matizado en la formación en seguridad de los empleados.
Romper las reglas
Para este estudio global se ha encuestado a 13.200 trabajadores remotos de 27 países para comprender mejor sus actitudes respecto a las políticas de seguridad bajo el confinamiento. Lamentablemente, encontramos que aunque la concienciación de los riesgos relacionados con lo ciber es alta, muchos empleados deciden no conformarse de todos modos. La mayoría (85%) dice que se toma en serio las instrucciones de su equipo de TI, está de acuerdo en que la ciberseguridad es en parte su responsabilidad (81%) e incluso afirma que se ha vuelto más consciente de las políticas de seguridad desde el confinamiento. La mayoría (64%) también reconoce que el uso de aplicaciones que no son de trabajo en un dispositivo corporativo es un riesgo de seguridad.
Sin embargo, más de la mitad admite que ha utilizado y cargado datos corporativos en apps no laborales en dispositivos de la compañía. Otros encuestados admitieron utilizar dispositivos de trabajo para la navegación web personal, acceder a datos corporativos desde un dispositivo personal e incluso acceder a contenido para adultos y sitios de la dark web en dispositivos de trabajo.
Amenazas del confinamiento
Es fácil entender por qué los empleados hacen lo que hacen. Los jefes de seguridad siempre han tenido problemas para convencer a la empresa de que la productividad y la protección no son mutuamente excluyentes, que los usuarios pueden hacer su trabajo con la misma eficacia siguiendo las políticas, aceptando los controles de seguridad y utilizando apps y dispositivos preautorizados. Sin embargo, especialmente durante el confinamiento, el cambio a la productividad a toda costa ha amenazado con perturbar este delicado equilibrio.
Se produce cuando los ciberdelincuentes buscan sacar provecho de los trabajadores domésticos distraídos, de endpoints, de las redes privadas virtuales (VPN) desbordadas y de los equipos de seguridad distribuidos que pueden verse obligados a centrarse en tareas de TI operativas más urgentes. Google bloquea hasta 18 millones de emails maliciosos y de phishing con temática de COVID cada día. Solo se necesita que pase uno y convenza a un trabajador remoto de que haga clic, y la organización puede verse enfrentada a la posibilidad de una interrupción por ransomware que la debilite, a pérdidas financieras relacionadas con BEC o a brechas de datos muy perjudiciales.
Con muchas organizaciones luchando en términos financieros a raíz de los cierres obligatorios ordenados por el gobierno, pocas podrán asumir los costes asociados a un incidente de seguridad grave.
Cuatro perfiles de personas
Las mejores prácticas de ciberseguridad requieren una combinación de personas, procesos y tecnología. Sin embargo, la parte de las personas ha sido históricamente descuidada, lo que es una de las razones por las cuales los ataques de phishing son hoy en día el vector de amenaza de cibercrimen más popular. Con demasiada frecuencia, los programas de capacitación son asuntos aislados y puntuales que pueden sensibilizar a la población durante un breve período de tiempo, pero que poco contribuyen a modificar realmente los comportamientos a largo plazo.
Parte de la razón de este fracaso es que asumen que todos los miembros del personal son básicamente iguales. Por supuesto, no lo son. Para saber más, encargamos a la académica de ciberpsicología de la Universidad Edge Hill, la Dra. Linda Kaye, que ayudara a crear perfiles para cuatro personas clave de los empleados en función de sus comportamientos de ciberseguridad.
Los resultados fueron muy esclarecedores. Los empleados «temerosos» están nerviosos por las malas acciones que podrían exponer a su organización a un riesgo cibernético. Son muy responsables de su propio comportamiento, incluso si no saben cuáles son los riesgos reales y cómo gestionarlos. Los «concienzados» son probablemente el sueño del CISO: entienden el ciberriesgo y actúan según los consejos, no solo evitando el riesgo, sino tomando medidas para gestionarlo de manera proactiva.
Por otra parte, los usuarios «ignorantes» constituyen un riesgo importante porque combinan la falta de conciencia cibernética con una responsabilidad personal mínima por sus propios actos. Su comportamiento arriesgado, sin embargo, tiene sus raíces en su falta de comprensión. Más peligrosos aún son los empleados «temerarios» que infringen las normas no por su ignorancia, sino por su superioridad percibida. Otros deberían ser responsables pero no ellos, según creen.
Un enfoque matizado
Entonces, ¿qué pueden hacer los CISO con esta información? Es cierto que diferentes estrategias pueden funcionar mejor con diferentes tipos de caracteres. Los miembros del personal temerosos pueden reaccionar bien a los ejercicios de simulación del mundo real que les permiten intentar y experimentar cosas que no harían normalmente. También pueden beneficiarse de ser guiados por los perfiles de las personas concienzadas, que pueden ser utilizadas como perfiles sobresalientes de la seguridad en la organización.
Los usuarios ignorantes necesitan capacitación y asesoramiento práctico sobre cómo mitigar los riesgos. Para mantenerlos comprometidos, tal vez sea necesario utilizar técnicas de gamificación o, de nuevo, esos ejercicios de simulación de phishing, que pueden actualizarse cada vez para reflejar las últimas estafas. También es importante reconocer que estas personas pueden necesitar una intervención adicional para ayudarles a comprender las consecuencias de un comportamiento arriesgado. Los temerarios son quizás los más desafiantes ya que no responden bien a la autoridad. Sin embargo, incluso en este caso los CISO pueden lograr resultados prometedores, tal vez mediante el uso de esquemas de recompensa para cambiar el comportamiento.
En última instancia, no hay dos organizaciones iguales. Los CISO tendrán que abordar esta tarea de acuerdo con su apetito por el riesgo y el tipo de trabajo que realiza el personal remoto. Lo más importante que hay que tener en cuenta en la formación de los usuarios es que las lecciones sean breves y regulares, y actuar de acuerdo con los comentarios que reciben para mejorar continuamente los cursos. Esto nunca debe ser una tarea para los empleados. Con un enfoque más considerado y personalizado, los CISO pueden cambiar el comportamiento de los usuarios y construir tanto una primera línea de defensa eficaz contra las amenazas como una cultura corporativa consciente de la seguridad.
José de la Cruz
Director técnico de Trend Micro Iberia