TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

HAGA PHISHING A SUS EMPLEADOS Y GENERE CONSCIENCIA EN SEGURIDAD

Escrito por Miguel Torres on 29/03/17 12:12

phishing-empleados.jpgSu empresa debe contar con un programa de concienciación de usuarios en temas de ciber seguridad y manejo seguro de la información. Si ya cuenta con uno debe incluir intentos de phishing con correos falsos pero a la vez muy realistas con el fin de medir el riesgo en este rubro dentro de su organización.

Imagine este escenario de ficción: un estudiante, con la esperanza de convertirse en un cirujano, asiste varias horas a tomar cursos de medicina. Nunca pierde una clase, siempre escucha, y toma constantemente notas. Finalmente, después de recibir los años de entrenamiento necesarios, el estudiante recibe su grado médico pero nunca ha operado a nadie. ¿Dejaría que este cirujano lo operara? Espero que no, la prueba práctica es una parte crucial de cualquier forma de educación, tanto para profesores como para estudiantes.

Dado lo anterior un programa de concienciación de usuarios en temas de ciberseguridad no está completo hasta realizar pruebas de phishing dentro de su propia compañía. Nos referimos a enviar correos falsos (pero realistas) de phishing a todos los usarios para verificar quienes son victimas potenciales y tomar acciones preventivas. Existen varias herramientas y servicios para realizar estos envíos.

Algunos expertos en seguridad de la información no creen que la educación del usuario funcione pero hay evidencia significativa de que el tipo correcto de la misma funciona. De hecho, para phishing específicamente, el Ponemon Institute encontró que la educación del usuario tenía un asombroso 50x retorno de la inversión. Si no está educando a sus usuarios ni cuenta con un programa de concienciación, ese número por sí solo lo debe convencer para empezar. Por lo tanto hablaremos de cómo puede mejorar su programa de educación de seguridad de la información y por qué el phishing de sus usuarios es una pieza invaluable del rompecabezas.

LA PRÁCTICA HACE AL MAESTRO

Las pruebas prácticas son la mejor medida de comprensión. La mayoría de los entrenamientos de conciencia en seguridad de la información termina con una prueba básica de opción múltiple. Estas pruebas son sólo una medida parcial de si o no el usuario puede usar ese conocimiento en el mundo real.  

La evaluación práctica puede revelar deficiencias de formación y al enviar correos falsos de phishing, puede saber cuáles de sus usuarios cayeron con más frecuencia. Ayudan a los empleados a reconocer su propio nivel de comprensión. Al realizar estos envíos se debe informar inmediatamente al usuario cuando hacen clic en un enlace incorrecto. El objetivo no es avergonzar al usuario - eso es perjudicial para la educación- el objetivo es que el usuario sepa que algo no tomo en cuenta, identificar lo atractivo que hizo darle click y generar nuevas sesiones de capacitación.

EL MEJOR ENTRENAMIENTO REQUIERE REPETICIÓN

Además de informar a un usuario que ha cometido un error, los falsos correos electrónicos de phishing le permiten compartir inmediatamente el entrenamiento que aborda específicamente el error que acaba de hacer. Por ejemplo, digamos que un usuario hizo clic en un enlace que, obviamente, fue a un dominio que no tiene nada que ver con el correo electrónico. Después de informar al usuario de su error, su enlace de phishing podría enviar al usuario a una página de formación específicamente diciéndoles qué buscar en las direcciones web para identificar las maliciosas. De hecho, estos falsos ejercicios de phishing proporcionan una manera fácil de reintroducir regularmente materiales de capacitación para sus usuarios (al menos los que cometen errores), sin tener que repetir el curso completo.

RESULTADOS MEDIBLES

Las pruebas prácticas tienen más probabilidades de cambiar los comportamientos. La verdadera medida de la educación en seguridad es si sus receptores cambian sus malos comportamientos. Ellos le ayudan a medir el valor real de su entrenamiento. El entrenamiento en seguridad es efectivo, pero no todos los entrenamientos son iguales. Realizar pruebas de phishing en su propio "tanque" mide la eficacia de su entrenamiento, podría por ejemplo enviar correos falsos phishing antes y después de sus capacitaciones y registrar los resultados. Dé a su organización por lo menos dos ciclos de formación para entender realmente las tendencias a largo plazo. Sin embargo, si el cambio de comportamiento no se hace presente, entonces tal vez debería cancelar ese curso de formación en particular e identificar uno que funcione mejor. En cualquier caso, no va a ser capaz de calcular esta ecuación de riesgo vs eficacia vs costo a menos que pueda medir lo bien que sus usuarios hacen frente a correos electrónicos de phishing y la única manera de hacerlo es realizar pruebas en su organización.

APRENDE EN NUESTRO WEBINAR COMO EL FACTOR HUMANO INFLUYE EN UN ATAQUE POR RANSOMWARE

  DA CLICK A LA IMAGEN Y CONFIRMA TU ASISTENCIA

Nuevo llamado a la acción

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

*Brien Posey/TechTarget/2017

Topics: cibercrimen, Comprometido por Ransomware, Concientizar a Usuarios, Daño por Ransomware, phishing, Seguridad, Seguridad Informática, mejores practicas, Ciberseguridad, panorama de amenazas, mejores practicas seguridad informatica, controles de seguridad informática, mitigacion de riesgos, respuesta a incidentes, manejo de riesgos, riesgos ciberseguridad, amenazas dia cero, zero day threats, dia cero, mejores practicas de tecnologías de información, concientizacion ransomware, capacitacion usuarios seguridad informatica, concientizacion usuarios seguridad


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
Webinar | ¿Cómo adaptarse a la nueva normalidad e incrementar la productividad?
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg

¿Cómo estás enfrentando los riesgos cibernéticos por COVID-19?