El transporte figura entre los 10 sectores que más sufren la fuga de datos. Como puedes imaginar, esto es motivo de gran preocupación y atención en Werner Enterprises, una de las mayores empresas de transporte y logística de Norteamérica. En Werner EDGE, la rama de innovación que dirijo, nuestra responsabilidad es mantener las mercancías en movimiento mediante redes sofisticadas y seguras, incluido un enfoque de la ciberseguridad que debe ir más allá de la protección de nuestra extensa plantilla.
Para ello, no debemos perder de vista nuestro enfoque del phishing, la causa principal de la mayoría de las fugas. De hecho, el "elemento humano" sigue siendo un factor en 3 de cada 4 fugas, a pesar de que las empresas aumentan la formación en ciberseguridad. Con un solo clic en un enlace malicioso, un empleado podría poner en peligro a toda una empresa: el FBI afirma (por ejemplo) que el coste de los ataques al correo electrónico corporativo asciende a más de 50 000 millones de dólares hasta la fecha. Los ciberdelincuentes utilizan métodos cada vez más sofisticados para infiltrarse en las empresas, y la IA les está ayudando a acelerar la velocidad y el alcance de sus ataques.
En otras palabras: el problema del phishing no va a desaparecer. Por muy eficaces que sean la arquitectura y la seguridad de tu red, siempre habrá un eslabón débil, y a menudo se trata de una sola persona. Un fallo momentáneo puede suponer un desastre para toda la organización. Por lo tanto, cada vez es más evidente que tenemos que ajustar colectivamente nuestra formación en materia de seguridad para apuntalar esa línea de defensa (humana).
A nivel personal, la ciberseguridad consiste en adoptar algunos hábitos sencillos. Leer detenidamente un correo electrónico y comprobar las direcciones de correo electrónico antes de responder o hacer clic en un enlace debe ser algo tan natural como mirar a ambos lados antes de cruzar la calle. En Werner, solemos organizar siete u ocho sesiones de formación en seguridad al año, incluida una sesión de formación anual obligatoria de entre 45 y 60 minutos. Esto es relativamente simple, sencillo y aborda los aspectos más básicos. También organizamos cursos de repaso trimestrales y formación ad hoc de 5-7 minutos para mantener a todos los usuarios al día, especialmente cuando surgen nuevas amenazas. También son obligatorios.
La formación en seguridad durante todo el año es una buena práctica por varias razones:
Desde el punto de vista del cumplimiento, las aseguradoras exigen formación continua.
El panorama de las amenazas cambia constantemente. Los ciberdelincuentes encuentran constantemente nuevas formas de eludir incluso a los usuarios que están más alerta, y el personal debe conocer las últimas tácticas a tener en cuenta.
Es propio de la naturaleza humana que con el tiempo tendemos a bajar la guardia. La formación sirve de recordatorio para tomarse en serio el phishing y otras amenazas.
Aunque hemos incorporado muchas de las mejores prácticas a nuestra formación, también hemos identificado cosas que fallan.
La estrategia menos eficaz fue la formación en acciones correctivas. Cuando un empleado hace clic en un enlace de phishing que conocemos, podemos bloquear las comunicaciones de salida e identificar quién respondió al contenido infractor. A continuación, repasamos brevemente con la persona que ha sido víctima de la estafa qué es lo que no debe hacer.
Sin embargo, hemos observado que en cuestión de semanas la misma persona era víctima de otro intento de phishing. Calculo que casi el 70 % de los que recibieron formación en acciones correctivas aun así no superaron posteriormente las pruebas de simulación de phishing.
Las conversaciones con los reincidentes me aportaron una nueva perspectiva: algunos sentían que se les castigaba con la formación adicional; a otros, la formación les ponía más nerviosos a la hora de realizar las tareas básicas necesarias para su trabajo, como leer correos electrónicos o incluso abrir documentos de Word.
Mientras que la formación continua en materia de concienciación es fundamental para anticiparse a los estafadores, también he llegado a la conclusión de que las medidas punitivas no tienen tanto éxito. Cualquiera que esté a cargo de la ciberseguridad debe encontrar formas atractivas de incentivar a los empleados para que presten atención a sus acciones, respetando al mismo tiempo su tiempo.
Necesitas una zanahoria, no un palo, para lograr la mejor respuesta.
Gamificar la formación en seguridad es una manera de crear un refuerzo positivo y de recompensar a los usuarios su buen comportamiento, como el de informar acerca de las comunicaciones sospechosas. Por ejemplo, incentivos como tablas de clasificación, recompensas en metálico, tarjetas regalo o regalos de empresa pueden ofrecer razones tangibles para que los colegas ocupados quieran mejorar su formación y saber más sobre la evolución de las amenazas de phishing.
Mejorar la formación es solo una cara de la moneda. En algún momento alguien bajará la guardia y las organizaciones tienen que estar preparadas para reforzar continuamente su postura de ciberseguridad.
El error humano y la falta de atención son dos de las mayores amenazas para la seguridad de una empresa. Es imposible eliminar estas amenazas por completo, pero se puede aprovechar la tecnología como red de seguridad para minimizar las que llegan.
Empezando con un enfoque Zero Trust, las empresas también pueden utilizar herramientas preventivas como la identificación multifactor (MFA) y la seguridad preventiva del correo electrónico (que podría incluir el reconocimiento óptico de caracteres para escanear imágenes) como medida para reducir la carga de los equipos informáticos y de seguridad.
También es importante disponer de herramientas de seguridad en los puntos finales para automatizar el aislamiento y la eliminación de un dispositivo de tu red que esté en riesgo. Al igual que los estafadores aprovechan la IA para sus ataques, la comunidad empresarial debe responder aplicando la IA para identificar y responder a las fugas de seguridad mucho más rápido. Cualquier empresa que pueda aprovechar estas tecnologías mejora sus probabilidades de evitar una brecha.
El objetivo de la ciberseguridad es abordar todos los casos posibles. Werner realiza pruebas de penetración periódicamente, incluida una prueba de equipo rojo, en la que contratamos a hackers éticos para que intenten atacar la red desde el exterior. Esta práctica ayuda a localizar vulnerabilidades.
Nuestros equipos rojos también comprueban la seguridad física. Recorren los aparcamientos y comprueban si hay coches abiertos con ordenadores portátiles, mochilas o documentos en el asiento trasero. Entran en los edificios siguiendo a las personas que pasan tarjetas magnéticas o escanean tarjetas de identificación para entrar. Comprueban si hay ordenadores portátiles y teléfonos inteligentes desbloqueados y desatendidos y si es posible robar archivos de esos dispositivos. Compartir los resultados de estas pruebas puede ser una importante llamada de atención para aquellos empleados que puedan considerar que los problemas de ciberseguridad son ajenos a ellos.
Todos los responsables informáticos reconocen los costes financieros, operativos y de reputación de una fuga, y saben que no pueden escatimar en tecnología de seguridad. El desafío consiste en asegurarse de que todos los demás miembros de la organización estén igualmente alerta contra las amenazas.
Soy partidario de la acción, la rapidez y la simplicidad. Las empresas tienen que seguir el ritmo de la innovación informática para seguir siendo competitivas, pero no podemos ir tan deprisa que nos olvidemos de atender los aspectos básicos de la seguridad. Optimizar todos los aspectos de las operaciones, los sistemas y la infraestructura no solo reducirá los errores humanos, sino también los gastos operativos y de capital, lo que permitirá asignar más fondos y recursos a la ciberseguridad, que debe ser tan sólida como permita tu presupuesto.
El phishing cuesta a las empresas millones de dólares y puede perturbar la producción, interrumpir los servicios, alejar a los clientes y llevar a las empresas a la quiebra. Si una organización intenta "ahorrar dinero" en ciberseguridad, o reducir la formación de sus empleados, pone todo en peligro. En lugar de eso, haz que la seguridad forme parte integral de tus operaciones y tu cultura, proporcionando a tus usuarios y a tu empresa una oportunidad contra los ataques de los ciberdelincuentes. La solidez y la seguridad de nuestras empresas lo requieren.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Daragh Mahon - @daraghmahon
Vicepresidente ejecutivo y director de informática, Werner Enterprises
Después de leer este artículo podrás entender:
Las operaciones y la cultura son parte integral de la seguridad.
Cómo lograr el equilibrio entre la formación, las pruebas de penetración y las soluciones para anticiparte a los ataques.
Promover la ciberresiliencia: el rol del liderazgo para definir la cultura organizativa
Utilizar inteligencia artificial en las defensas cibernéticas