Las convicciones y comportamientos de las personas son pilares fundamentales de la cultura. En Alemania, los peatones esperan a que una luz les indiaque que pueden cruzar la calle por razones de seguridad. En algunas zonas de Asia, hacer ruido mientras se come es signo de satisfacción, es decir, de que se está disfrutando de la comida.
Entonces, ¿qué hace su programa de concienciación sobre seguridad para impulsar comportamientos y convicciones de los usuarios que sean beneficiosos? Vamos a examinar la cuestión.
¿Son los usuarios el problema o la solución?
Esto empieza por la percepción que tienen de los usuarios los departamentos de seguridad de la información. Estos departamentos a menudo ven a los usuarios principalmente como un problema, lo que no sorprende si tenemos en cuenta que el informe de Verizon sobre investigaciones de fugas de datos 2019 (DBIR) encontró que el 94 % de las fugas de datos se producen por ataques contra las personas. Sin la intervención de los usuarios en la activación de los ataques, la carga de trabajo del departamento de seguridad de la información disminuiría considerablemente.
Y cambiar esa visión de la realidad, que lleva tiempo, es un primer paso importante en la forma de pensar de los administradores con respecto a sus usuarios y su programa. Este cambio es posible. Son muchos los clientes que nos comentan que tras formar adecuadamente a sus usuarios, han conseguido darle la vuelta por completo al guion tradicional de “los usuarios son el problema” y han convertido su comportamiento en algo positivo.
Interactuar con el correo electrónico no tiene por qué ser malo
Una de las primeras iniciativas formativas que observamos en nuestros clientes de formación para concienciar en materia de seguridad está focalizada en el correo electrónico, el vector de amenazas nº.1. El mensaje, excesivamente simplificado, es no abrir, hacer clic, descargar ni dejarse persuadir para responder a los mensajes. Incluso si piensa que es legítimo, compruebe lo que ha recibido y no haga nada.
Herramientas que usan las organizaciones en sus programas
El mensajes menos escuchado en estos programas es qué otra cosa se puede hacer con esos mensajes de correo electrónico si los usuarios piensan que son maliciosos que no sea evitarlos. En nuestro informe State of the Phish de 2020 descubrimos que solo el 15 % de las organizaciones utilizan una herramientas de denuncia de mensajes en sus programas de concienciación sobre seguridad, y que el nivel de concienciación global continúa siendo bajo entre los usuarios en cuanto a la forma de utilizar estas herramientas.
Proporcionar a los usuarios un complemento (add-in) que les permita denunciar los mensajes de correo electrónico con un solo clic tiene algunos efectos: les ofrece una salida rápida si no están seguros de lo que hay que hacer y transfiere un mensaje potencialmente peligroso al equipo adecuado para su investigación ulterior. Si bien simplifica las idas y venidas iniciales con los usuarios sobre la inclusión de información como los encabezados, también es cierto que esta herramienta crea un volumen adicional de mensajes para un equipo de respuesta a incidentes ya de por sí sobrecargado.
Cultura con Proofpoint Closed-Loop Email Analysis and Response (CLEAR)
Permitir a los usuarios denunciar los mensajes sospechosos es fantástico, pero proporcionarles información es esencial para reforzar sus comportamientos con ejemplos concretos. Una de las formas más eficaces de hacer esto es el bucle de retroalimentación disponible en nuestra solución CLEAR.
Una vez que los usuarios denuncian un mensaje, nuestra inteligencia sobre amenazas y función especializada en entorno aislado (sandboxing) de URL y adjuntos clasificará los mensajes una vez analizados. En función de la clasificación, el flujo de trabajo de CLEAR iniciará el envío de mensajes a los usuarios, informándoles del tipo de mensaje que denunciaron (spam, envío masivo, malicioso, etc.) y agradeciéndoles su contribución.
Y en un momento como el actual, en el que los equipos de TI trabajan contra reloj para proteger a las plantillas de teletrabajadores, este ahorro de tiempo es especialmente importante. Un cliente consiguió un ahorro de 345 000 dólares en personal equivalente a tiempo completo del equipo de respuesta a incidentes en un período de tres años. Puede encontrar más información al respecto en informe Forrester Total Economic Impact™.
Nuestros clientes han podido ver que este flujo de trabajo beneficia a equipos de respuesta a incidentes y a usuarios por igual:
“Es increíblemente poderosa la capacidad de convertir a todos los empleados en parte del equipo de seguridad de TI, gracias a la denuncia de phishing con un botón en Outlook y a la extracción posterior de todo el correo electrónico del empleado si es considerado malicioso”.
Ofrecer respuestas definitivas y comentarios a los usuarios sobre lo que denunciaron les permite consolidar sus convicciones y mejora su capacidad para identificar mensajes maliciosos. Además, los departamentos de TI convierten a usuarios bien formados en un valioso activo contra ataques cada vez más dirigidos y sofisticados.
Para ir un paso más allá, muchos de nuestros clientes han creado concursos y recompensas trimestrales o mensuales, que ofrecen algún tipo de trofeo a los usuarios como muestra de agradecimiento. De esta forma se refuerzan convicciones y comportamientos de forma positiva y se contribuye a instaurar una cultura de concienciación sobre el tema de la seguridad.
Comunicar el progreso del programa de concienciación en seguridad a las partes interesadas
Otro componente esencial de la cultura es la comunicación. Una vez implementado el bucle de denuncia de mensajes y corrección mencionado anteriormente, los equipos de seguridad de la información tienen otros indicadores que compartir. A menudo se habla de “tasa de clics” o de “tasa de fallos” en términos de la susceptibilidad de los usuarios a los ataques de phishing simulados. Pero los departamentos de seguridad de la información pueden comunicar un nuevo indicador clave: la tasa de denuncias del usuario.
En nuestro informe State of the Phish de 2020 encontramos que había más diferencia en la tasa de denuncias que en la tasa de clics, por lo que se trata de un mejor indicador para controlar y compartir con las partes interesadas. También descubrimos que las organizaciones con mejor rendimiento tenían una tasa de denuncias de mensajes de phishing simulado superior al 70 %, una cifra increíble que puede tener un enorme impacto en la exposición a ataques Business email compromise (BEC) y spear phishing (phishing selectivo).
Comunicar una tasa de denuncias con las partes interesadas demuestra la resiliencia y habilidad de los usuarios, sin la connotación negativa que implica una tasa de clics o de fallos. Y los departamentos de seguridad de la información pueden presumir de historias de ataques dirigidos denunciados por los usuarios que fueron neutralizados gracias a usuarios formados y conscientes de la seguridad. La comunicación con las partes interesadas y los usuarios sobre cómo protegen su organización puede hacer progresar su programa e instaurar una cultura sólida y natural de concienciación en seguridad.
¿Está listo para instaurar una cultura de concienciación sobre ciberseguridad en su organización? Más información sobre nuestra solución CLEAR.