Su programa de educación no está completo hasta que ponga a prueba a sus usuarios con correos falsos de phishing.
Imagine este supuesto escenario: un estudiante, con el sueño de convertirse en cirujano, asiste a horas de cursos de medicina. Nunca se pierde una clase, siempre escucha y toma apuntes de todo. Finalmente, después de recibir los años de formación necesarios, el estudiante recibe su título en medicina sin nunca haber hecho unas prácticas. ¿Dejaría que este cirujano le operara?
¡Espero que no! Las prácticas son una parte crucial de cualquier forma de educación, tanto para profesores como para estudiantes.
Por este motivo, creo que un programa de phishing no estará completo hasta que no lo ponga a prueba en su propia compañía. Con esto me refiero a enviar falsos (pero realistas) correos de phising a todos sus usuarios para ver si caen en ellos. Hay un montón de herramientas y servicios que pueden hacer esto por usted. Para mí, esta es la prueba real de su phishing y la formación de sensibilización y concienciación en seguridad de su empresa.
Una adecuada formación
Doy por hecho que los que están leyendo esto ya tienen un programa de formación en seguridad que incluye un plan de phishing. Algunos expertos en seguridad de la información no creen que educar al usuario funcione. No soy uno de ellos. Hay una evidencia significativa de que la educación adecuada funciona. De hecho, para el phishing específicamente, Ponemon Institute encontró que la educación del usuario tenía un asombroso 50x retorno de la inversión. Si es uno de los que ya no está formando a sus usuarios a través de la capacitación, ese número por sí solo debe convencerle para empezar a hacerlo. Por tanto, hablemos de cómo puede mejorar su programa general de formación en seguridad, y por qué lanzar phishing a sus usuarios es una pieza tan valiosa del rompecabezas.
- Las pruebas prácticas son la mejor medida de comprensión. La mayoría de las formaciones en materia de concienciación en seguridad que he visto terminan con una prueba básica de opción múltiple. Estas pruebas son solo una medida parcial de si el alumno puede poner ese conocimiento para utilizar en el mundo real. Tomemos como ejemplo un examen de conducción. Por supuesto, hay una prueba escrita, pero no permitiría que un adolescente cogiese el coche hasta después de que aprobase el test práctico.
- La evaluación práctica puede revelar los problemas de formación. Al enviar correos falsos de phishing, es posible conocer cuáles son aquellos en los que sus usuarios “picaron” con más frecuencia. ¿Había un cierto tipo de correo electrónico que contenía un determinado «señuelo» que engañó a sus empleados? Tal vez esa podría ser la pieza que falta y que puede incorporar a su próxima formación sobre phishing, o un concepto que no han cubierto con suficiente detalle en sesiones anteriores.
- Ayuda a los empleados a reconocer su propio nivel de conocimiento sobre el asunto. Los correos electrónicos falsos de phishing deben informar inmediatamente al usuario cuando hacen clic en un enlace incorrecto. El objetivo no es poner en evidencia al usuario – eso es perjudicial para la formación. Más bien, el objetivo es dejar que el usuario sepa que se perdió algo, por lo que se da cuenta de que hay cierto desconocimiento en su comprensión práctica, y no sobreestime su preparación.
- Proporciona otra oportunidad de capacitación. El mejor entrenamiento implica repetición. Además de informar de que se ha cometido un error, el phishing le permite compartir inmediatamente la formación con el usuario que aborda específicamente el error que acaba de cometer. Por ejemplo, digamos que un usuario hizo clic en un enlace que, obviamente, le llevó a un dominio que no tiene nada que ver con el correo electrónico. Después de informar al usuario de su error, su enlace de phishing podría enviar al usuario a una página de formación específica diciéndole qué buscar en las URL. De hecho, estos falsos ejercicios de phishing proporcionan una manera fácil de reintroducir regularmente materiales de capacitación para sus usuarios (al menos los que cometen errores), sin tener que repetir un curso sobre el mismo tema.
- Las pruebas prácticas son más propensas a cambiar los comportamientos. El verdadero referente del éxito de su formación en seguridad es si sus receptores cambian sus malos comportamientos. Una razón por la que algunos expertos en seguridad se quejan de que la formación es ineficaz se debe a que un cierto tipo de usuario, aunque conoce el comportamiento correcto, sigue haciéndolo mal cuando es más fácil. Fallar estas pruebas internas de phishing con regularidad debe eventualmente conseguir que incluso los usuarios más obstinados cambien su comportamiento, simplemente porque saben que su jefe podría estar viéndoles.
- Le ayudan a medir el valor real de su formación. Creo que la formación en seguridad es efectiva, pero no todos los casos son iguales. Hacer phishing en su propia compañía mide la eficacia de su entrenamiento. Primero, envíe correos falsos de phishing antes de la formación y registre los resultados. A continuación, envíe emails similares después del training y compare los resultados. Dé a su organización por lo menos dos ciclos de formación para entender realmente las tendencias a largo plazo. (La formación lleva su tiempo). Sin embargo, si ve que no hay un cambio en el comportamiento, entonces tal vez debería cancelar ese curso de formación en particular e identificar uno que funcione mejor. En cualquier caso, no va a ser capaz de calcular esta ecuación de riesgo vs eficacia vs coste a menos que realmente mida lo bien que sus usuarios hacen frente a estos correos electrónicos de phishing – y la única manera de hacerlo es poniéndolo en práctica en su empresa.
Corey Nachreiner
CTO de WatchGuard Technologies
