Instaurar una cultura de seguridad y romper la cadena de ataque es como conducir un coche

Ya sea a través de amenazas internas y compromisos de cuentas, o de ataques dirigidos de phishing y malware, nuestros empleados siguen desempeñando un papel enorme en los ciberataques modernos. Un solo clic erróneo o una descarga precipitada pueden exponer a nuestras organizaciones a la pérdida de datos, daños a su reputación e interrupción del servicio.

Para proteger a nuestros empleados y defender nuestros datos, debemos intentar romper la cadena de ataque lo antes posible, antes de que los ciberdelincuentes franqueen nuestros perímetros. Dentro de este blog, se estudiará la importancia de la cultura de seguridad para lograr este objetivo y el papel fundamental que desempeñan los usuarios en este proceso.

El factor humano en la cadena de ataque

Acuñado inicialmente por Lockheed Martin, el término “Cadena de Ataque” o “Cadena Letal” se refiere a las diferentes etapas de una ciberamenaza. La idea es examinar en detalle cómo se ponen en contacto los actores de las amenazas, cómo se distribuyen y ejecutan los payloads maliciosas, cómo se filtran los datos, etc.

Una vez desglosado un ataque en fases, los equipos de seguridad pueden evaluar sus mecanismos de detección, controles de protección y planes de respuesta en cada etapa, en lugar de abordar una ciberamenaza como un gran ataque amorfo que hay que tratar de prevenir.

Los ataques contra las personas no son ninguna novedad. Los ciberdelincuentes crean un perfil para establecer quién es susceptible de ener acceso a los datos o credenciales que buscan. Una vez conseguidos los objetivos, los ciberdelincuentes buscarán la mejor manera de comprometer a esas personas, ya sea directamente a través del correo electrónico o las redes sociales o utilizando como arma a un tercero de confianza.

En la mayoría de los casos, el método de entrega es el correo electrónico por la sencilla razón de que es fácil, accesible, barato y pueden desplegarse a gran escala. Es la herramienta perfecta para los ciberdelincuentes. La información disponible en redes sociales suele utilizarse en esta fase para personalizar el mensaje a los intereses del objetivo, para aprovechar aún más el factor humano. Con todas estas técnicas de ingeniería social, es muy fácil que el usuario acabe mordiendo el anzuelo.

Con una cuenta comprometida, un atacante se desplazará lateralmente dentro de las redes, apuntando a más individuos para escalar sus privilegios de administrador. Pero ahora, el ciberdelincuente dispondrá de una cuenta interna legítima que otros usuarios no sospecharán que está comprometida.

La defensa empieza por la concienciación

Los ciberataques centrados en las personas requieren una defensa centrada en las personas. Y el primer paso para lograr esa defensa es la concienciación. Los usuarios deben comprender los riesgos a los que se enfrentan y cómo se espera que se comporten cuando se enfrentan a ellos. Es la base.

Del mismo modo que debemos comprender los conceptos básicos de las normas de circulación y las señales de tráfico antes de poder conducir, sus empleados deben comprender los conceptos básicos de seguridad antes de poder defender sus datos.

Siguiendo con la analogía de la conducción, que sepa que hay un límite de velocidad de 50 km/h no significa que sepa exactamente cuándo es aplicable ni que vaya a respetarlo. Por eso existen las señales de tráfico, los radares fijos y la policía de tráfico. Sus equivalentes en ciberseguridad incluyen contenidos de concienciación, pruebas de competencia y simulaciones de phishing para determinar si nuestros empleados están actuando como deberían.

Pero, ¿qué ocurre cuando nadie nos vigila? ¿cómo reducimos el riesgo de que nuestros empleados incumplan las normas cuando es improbable que los vigilen? ¿por qué muchos conductores respetan los límites de velocidad cuando nadie les observa? La respuesta suele ser la costumbre y las expectativas sociales, o la cultura. Adoptemos este enfoque en ciberseguridad.

La columna vertical de la cultura de seguridad

Un punto de partida sencillo para crear una cultura de la seguridad en su organización es recordar a sus empleados las “normas” y sus responsabilidades.

Cuanto más ve una señal de 30 km/h, más consciente es de que debe conducir a 30 km/h. Lo mismo ocurre con la formación periódica y los recursos visibles en torno a las mejores prácticas de seguridad. Esta formación y concienciación en seguridad garantiza que sus empleados sepan lo que deben hacer.

Lo siguiente es centrarse en por qué es importante. Los debates sobre la diferencia de mortalidad entre 30 km/h y 50 km/h, las explicaciones sobre los cruces escolares cercanos o las tasas de accidentes anteriores en un punto conflictivo del tráfico hablan de las posibles consecuencias de conducir demasiado rápido. Distribuya este mensaje entre sus usuarios y comprenderán que tener un comportamiento adecuado es absolutamente fundamental.

Por último, queremos que estas normas se respeten de manera generalizada y que la sociedad acepte a quienes decidan cumplirlas y presione a quienes no lo hagan. Esa presión puede ser sutil pero eficaz. Un usuario no quiere ser el único que se salte un stop cuando todos los demás se paran.

La analogía no es perfecta, pocas lo son. Pero al instaurar una cultura, ya sea de la seguridad o de la conducción, podemos aumentar las posibilidades de que la gente tome las decisiones correctas, incluso si no están siendo vigilados por el CISO. En el momento en que sus empleados se comportan de este modo, todos los miembros de la organización se convierten en defensores de la seguridad. Todo el mundo se preocupa por tomar las decisiones correctas con la mayor frecuencia posible, lo que le proporciona una base sólida para luchar contra las amenazas de ciberseguridad.

¿Requieres de más información para capacitar a tu organización en temas de ciberseguridad? Contáctanos.

Fuente: Proofpoint