Por qué su CEO representa un riesgo para la seguridad
por Rohyt Belani
No subestime a su ciberatacante. Es paciente y meticuloso, experto en atacar el eslabón más débil de la seguridad de la red: los empleados de su organización. Analiza sus objetivos con gran detalle y probablemente conozca a sus empleados mejor que usted. Los estudia en las redes sociales para entender qué es lo que les importa, a qué responden, cómo se comportan, dónde fueron a la escuela, quiénes son sus amigos, dónde viven y cuáles son sus aficiones.
Los hackers han demostrado ser astutos «ingenieros sociales», para usar el espeluznante eufemismo actual en el mundo de la seguridad de los datos. Entienden que si pueden crear algún tipo de desencadenante emocional y entregarlo en forma de mensaje de correo electrónico, la gente lo activará.
«Ha habido un error en su W2», podría decir un mensaje. Haga clic. «Vamos a migrar nuestro sistema de nóminas, siga este enlace». Haga clic. Se aprovechan del interés eterno de la gente por cualquier cosa que parezca prometer una recompensa o que pueda costarles dinero, y tienen práctica en usar un tono autoritario que parece insistir en el cumplimiento.
Y, por supuesto, cuando alguien hace clic o abre el archivo adjunto al correo electrónico, entra el hacker. Estos enlaces y archivos parecen inocuos, pero suelen estar repletos de malware que pone en peligro sus ordenadores y proporciona a los piratas informáticos un punto de apoyo crucial en la red de su organización.
He descubierto que en las simulaciones de este tipo de ataques, de media, el 58% de las personas hacen clic en un hipervínculo de correo electrónico que podría haber provocado una infección de malware. Por lo general, se trata de personas que llevan años siguiendo programas convencionales de concienciación sobre la seguridad, que incluyen campañas de pósters, formación obligatoria anual por ordenador y sesiones informales sobre temas como la elección de una contraseña segura.
Las pésimas cifras sobre la ingenuidad de los usuarios han llevado a muchos profesionales de la seguridad a renunciar al factor humano y centrarse, en cambio, en crear sistemas de detección cada vez más sofisticados. Pero el factor humano sigue siendo fundamental para detener los ataques. UN informe publicado recientemente por la empresa de seguridad Trend Micro indica que el 91% de los ciberataques comienzan con un correo electrónico de suplantación de identidad dirigido.
Proporcionar a los usuarios más y mejor información sobre los riesgos es una forma obvia de abordar el problema, pero gran parte de esa información se desperdicia. En una empresa de inversiones que conozco, el equipo de seguridad envía un boletín mensual sobre varios temas de seguridad, pero una empleada se hartó tanto de los mensajes que creó una regla automática para enviarlos a su carpeta de correo no deseado. Ella pensaba: Este es un problema de TI, ¿por qué tendría que leer todo eso?
Se puede enseñar a las personas a volar aviones de combate y a realizar cirugías cerebrales. Seguro que se les puede enseñar a reconocer y denunciar correos electrónicos sospechosos. Pero, ¿cómo puede una empresa superar la mentalidad de que no es mi problema?
Hay mucho que aprender de los educadores y el personal de marketing. La formación debe ser del tamaño de un bocado, centrarse en los temas más relevantes y basarse en la inmersión en las experiencias. Los métodos tradicionales, como los boletines y las presentaciones en PowerPoint, son demasiado pasivos. En el mundo actual, en el que la mayoría de nosotros padecemos algún grado de ADD sin saberlo, la formación tiene que ser más atractiva. Un enfoque que ha funcionado muy bien es simular los ataques contra los empleados y, justo en el momento en que «caen presas», presentar un breve módulo de formación. Otras sugerencias: No insista en el mal comportamiento de la gente. En cambio, entretenga, asegúrese de que su mensaje sea percibido como relevante para la audiencia y refuerce las conductas positivas. Utilice estudios de casos y anécdotas para hablar sobre los allanamientos y analizar lo que se podría haber hecho para evitarlos. Y, por supuesto, mida los resultados.
Enseñar a los ejecutivos puede resultar particularmente difícil. A menudo se da por sentado que no tienen tiempo para participar en el entrenamiento de seguridad. Una técnica que funciona es decir a los ejecutivos que quiere que vean lo que las bases van a experimentar en la formación. Muéstreles lo que ocurre cuando hacen clic en un enlace de un correo electrónico de suplantación de identidad y, a continuación, analice las consecuencias.
La formación es especialmente importante para los ejecutivos, porque representan una vulnerabilidad en las defensas de la empresa. Por un lado, sus puestos destacados facilitan a los piratas informáticos la búsqueda de mucha información sobre sus actividades e intereses, y esos datos se pueden utilizar para crear mensajes falsos. Por otro lado, siempre se apresuran a revisar sus bandejas de entrada si ven un mensaje que contiene un desencadenante emocional, como «La empresa XYZ presenta una demanda contra su empresa. Adjunte los detalles», harán clic. Por otro lado, dado que tan a menudo se excluyen de la formación en seguridad, puede que no tengan un conocimiento básico de las amenazas.
Con una formación inmersiva, las empresas pueden reducir la susceptibilidad media de los empleados a los ataques dirigidos por debajo del 10%. Los empleados formados no solo son mejores para evitar las trampas de la suplantación de identidad, sino que también pueden ser sus ojos y oídos, ya que alertan a los miembros pertinentes de los equipos de seguridad de la organización sobre los intentos de allanamiento.
Aun así, siempre tiene que pensar en el horario de cualquier formación: ¿cuánto tiempo pasarán los nuevos empleados en la plantilla antes de que se les enseñe para evitar hacer clic en los enlaces incorrectos y abrir archivos adjuntos potencialmente peligrosos?
Y tiene que estar al tanto de los cambios en las amenazas. En el horizonte cercano hay ataques que emplean la «suplantación de identidad conversacional», en la que una conversación que suena muy real pero generada por ordenador le hace pensar que está interactuando con alguien que conoce. Recibirá un correo electrónico de una dirección que reconozca y que diga simplemente: «Fue un placer hablar con usted». Unas horas más tarde, recibirá otro que dirá algo igual de inocuo. Muy pronto tendrá uno con un enlace.
Haga clic.
Datos bajo asedio
Un HBR Insight Center
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.