La sensibilización es fundamental en ciberseguridad

Centroamérica.-

ESET advierte sobre aquellas señales de alerta para cuidar los datos personales y cuentas bancarias

En el mes de la Concienciación sobre la Ciberseguridad (CSAM) se destaca que a medida que el  trabajo remoto es cada vez más común, las líneas entre ser un usuario hogareño y uno corporativo se hacen difusas y los riesgos de compromiso nunca han sido tan agudos. Según Verizon, tres cuartas partes (74%) de todas las violaciones de acceso globales del año pasado incluyen el «elemento humano», que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social.

“El conocimiento es un arma poderosa que puede convertir a los colaboradores de una organización en la primera línea de defensa contra las amenazas. Para construir un entorno corporativo más ciberseguro, los equipos responsables de TI deberían incorporar a sus programas de concienciación sobre seguridad para asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado”, comparte Camilo Gutiérrez Amaya, jefe del laboratorio de Investigación de ESET Latinoamérica.

Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. ESET asegura que no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo, sino que se trata de cambiar los comportamientos de los usuarios a largo plazo.

“La recomendación es ejecutar programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores y trabajadoras temporales, contratistas y el equipo de ejecutivo; cualquiera puede ser un objetivo, y basta un solo error para abrir la puerta de una organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta”, agrega el experto de ESET.

Las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.

ESET aconsejan incluir en los programas los siguientes temas:

1) BEC y phishing: El fraude por correo electrónico comercial(BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador. Existen varios métodos utilizados, como hacerse pasar por un directivo general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing.

Para 2024, desde ESET recomiendan considerar incluir contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

2) Seguridad en el trabajo remoto e híbrido: Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponer a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Ahí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router.

3) Protección de datos: Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

Según ESET, la formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. «Personas, procesos y tecnología» es el mantra que ayudará a construir una cultura corporativa más cibersegura”, concluye Gutiérrez Amaya, de ESET Latinoamérica.


Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-corporativa/fortalecer-eslabon-debil-seguridad-empleados/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Deja un comentario

%d