Responsabilidades del CISO: cuál es la importancia de la concienciación para combatir la Ingeniería Social y los Ataques de Phishing
En el actual escenario de ciberseguridad, las empresas enfrentan una amenaza creciente de ataques cibernéticos, especialmente por medio de ingeniería social y particularmente de phishing. Según el informe de la empresa ESET, que abarca el primer semestre de 2022, el 44% de las empresas ya han sufrido ataques de phishing y estos han aumentado un 226% en comparación con el último semestre de 2021.
Identificar, evaluar y mitigar riesgos de seguridad son tareas cruciales del CISO (Chief Information Security Officer), un ejecutivo de alto escalafón responsable por establecer y mantener la estrategia de seguridad de la información de una organización. Esto implica analizar vulnerabilidades y amenazas, brindar entrenamiento adecuado a los colaboradores para fortalecer la resiliencia contra esos ataques e implementar medidas de protección adecuadas, como firewalls, antivirus y detección de intrusiones.
Cualquier colaborador de cualquier empresa puede ser víctima de un ataque cibernético. Un informe llamado "State of the CISO", conducido a pedido de Salt por Global Surveyz, arrojó que el 89% de los CISO entrevistados consideran que el rápido crecimiento de la economía digital introdujo riesgos de seguridad imprevistos en sus organizaciones. La transformación digital trajo aparejadas nuevas amenazas y preocupaciones que las empresas deben tener en cuenta para mantener la seguridad de sus negocios.
Combatiendo la ingeniería social y el phishing con concienciación
Es importante contar con excelentes soluciones de seguridad, pero también cuidar la capacidad de los colaboradores de evitar ataques exitosos. El CISO cumple un papel fundamental en la concienciación y entrenamiento de los empleados con respecto a la ingeniería social y a los ataques de phishing. Estos tipos de ataques sacan provecho de la naturaleza humana y engañan a los usuarios para obtener acceso no autorizado a sistemas e información confidenciales.
Considera este ejemplo: el atacante elige un blanco, que puede ser una persona específica o una organización. Después, recoge información sobre el blanco, como direcciones de e-mail y nombres de colaboradores, para volver el ataque más convincente. El atacante crea un e-mail que simula ser una comunicación legítima proveniente de una fuente confiable. Por ejemplo, se puede hacer pasar por el líder del área financiera de la empresa y solicitar a los colaboradores que le envíen un informe que supuestamente se debe entregar con urgencia y de acuerdo a un modelo adjunto. El remitente del e-mail, en vez de ser "maria.sillas@...", por ejemplo, es "maria.slllas@...". Casos como este, que apelan a un sentido de urgencia y jerarquía, pueden engañar a un colaborador servicial, que posiblemente no note el cambio de letras. Las consecuencias de un ataque de phishing exitoso pueden incluir pérdidas financieras, comprometimiento de información personal o daños a la reputación de la empresa. Además, la información recogida se puede vender en la dark web o usar para otros ataques.
La mejor manera de protegerse contra esos ataques es estar atento a señales de alerta, como errores de ortografía o gramática en el e-mail, URL sospechosas, pedidos urgentes o información personal solicitada de forma inadecuada.
Ante ese escenario, una estrategia de protección adecuada requiere un entrenamiento continuo de los colaboradores en seguridad cibernética con el propósito de crear una conciencia colectiva de protección de datos para mitigar los riesgos.
Solo entrenar al personal no basta: es necesario promover la retención de la información
La concienciación y la educación son esenciales para crear una cultura de seguridad. En ese sentido, un programa de entrenamiento gamificado y continuo se muestra altamente eficaz en comparación con un programa de entrenamiento estándar e intermitente. Al adoptar abordajes lúdicos y envolventes, el entrenamiento gamificado capta la atención de los participantes de forma más eficaz, estimulando el interés y la participación activa. Con elementos propios de los juegos, como competición, desafíos y recompensas, el programa gamificado motiva a los colaboradores a involucrarse y a profundizar sus conocimientos sobre la ingeniería social, ataques de phishing, la correcta aplicación de la normativa de la Ley General de Protección de Datos Personales de Brasil (LGPD), entre otros temas. Esto resulta en una mejor retención de información y fortalece las habilidades prácticas de los participantes”, explica Vinicius Perallis, fundador de Hacker Rangers Security Awareness, una plataforma que promueve la cultura de ciberseguridad empresarial por medio de la gamificación.
En un mundo cada vez más conectado, con ataques cada vez más sofisticados, invertir en entrenamiento y concienciación es una estrategia crucial para proteger activos e información confidencial de las empresas. Un programa de entrenamiento gamificado y continuo ofrece una educación más eficaz y sostenible, contribuyendo a una cultura de seguridad más fuerte y resiliente dentro de la organización.
Beneficios del Entrenamiento Hacker Rangers para Empresas
Concienciación de los Colaboradores: la ingeniería social y los ataques de phishing se basan en la manipulación psicológica de los colaboradores. El entrenamiento ayuda a aumentar la concienciación sobre las tácticas utilizadas por los invasores, capacitando a los colaboradores a identificar y relatar posibles amenazas.
Identificación de Indicadores de Ataques: el entrenamiento abarca información sobre las señales de alerta asociadas a la ingeniería social y a los ataques de phishing. Esto permite que los colaboradores identifiquen mensajes sospechosos, enlaces maliciosos, pedidos de información confidencial y otros intentos de manipulación.
Mejora de la Higiene Digital: además de identificar amenazas, el entrenamiento aborda buenas prácticas de seguridad cibernética, como el uso de contraseñas fuertes, la autenticación multifactor, la actualización de software y la navegación segura en la web. Estas medidas ayudan a reducir el riesgo de éxito de los ataques.
Simulaciones de Phishing: un abordaje eficaz comprende simulaciones de phishing, que implican el envío de e-mails falsos a los colaboradores para el monitoreo posterior de sus respuestas. Esto permite identificar áreas vulnerables y ofrecer entrenamiento adicional a los individuos más susceptibles.
Adecuación a la LGPD: en Brasil, la Ley General de Protección de Datos Personales (LGPD) exige que las empresas protejan la información personal de los individuos. Con Hacker Rangers, tu organización atiende a los requisitos de la LGPD al demostrar acciones tendientes a educar a los colaboradores sobre la importancia de la protección de datos y las mejores prácticas para evitar violaciones de seguridad. Mantente en conformidad con la ley y combate el crimen cibernético con tu activo más valioso: tus colaboradores.
¡Entra a hackerrangers.com e infórmate más!