Home > Blog > Cómo formar eficazmente a los empleados en temas relacionados con la seguridad de la información

Cómo formar eficazmente a los empleados en temas relacionados con la seguridad de la información

21.09.2023

Volver

Sergio Luis Bertoni, analista jefe de SearchInform

 

Aproximadamente el 66% de los incidentes relacionados con la seguridad de la información resultan ser infracciones involuntarias cometidas por los empleados. En el 14% de los casos se convierten en el "punto de entrada" de intrusos externos. Los programas informáticos específicos ayudan a hacer frente a este problema; sin embargo, es imposible proteger eficazmente la organización si los empleados no son competentes en cuestiones relacionadas con la seguridad de la información. Muy a menudo, la tarea de organizar los cursos de formación se delega en los empleados. A pesar de que, a menudo no entienden cómo abordar la tarea. Entonces, ¿qué se puede hacer para que los cursos de formación sean realmente útiles? 

Los expertos de SearchInform forman anualmente a varios miles de personas. Entre los formados hay empleados de organismos estatales y grandes empresas que operan en numerosos ámbitos empresariales. Trabajan con datos personales de clientes y ciudadanos. La concienciación y la vigilancia de estas personas frenan las intenciones de los intrusos. En este artículo, compartiré mis observaciones, basadas en la experiencia práctica en el ámbito del desarrollo de cursos educativos.

Qué enseñar a los usuarios

Los métodos de ingeniería social han sido objeto de atención en los últimos años. Así, los responsables de la seguridad de la información se han centrado excesivamente en esta cuestión. Sin embargo, hay que tener en cuenta que los métodos utilizados para realizar ataques no se limitan al phishing y otras técnicas de ingeniería social. ¿Qué más tenemos? Bueno, por ejemplo, el pirateo de contraseñas débiles, el uso de contraseñas corporativas para la protección de cuentas privadas, la falta de implementación de la autenticación de dos factores. Y lo que es más, la gente tiende a olvidarse de su propia responsabilidad por la exposición accidental o deliberada de datos.

A continuación encontrará la lista de aspectos que recomiendo abordar durante las sesiones de formación:

  • Qué técnicas de ingeniería social utilizan los estafadores: esta lista varía desde manipulaciones a través del correo electrónico hasta el uso de deepfakes.
  • Normas de seguridad de la información cuando se trabaja a distancia y en viajes de negocios - SSL, VPN, etc. Organización de la comunicación, celebración de reuniones, intercambio de datos cuando se trabaja a distancia.
  • Normas para la política de contraseñas y la autenticación de dos factores: es importante explicar a los alumnos qué tipos de contraseñas son fiables; dónde está permitido guardar la contraseña; si es posible recordar las contraseñas; por qué es mucho más fácil adivinar la contraseña de un usuario de lo que parece.
  • Higiene digital - cómo comportarse en las redes sociales, cómo utilizar los servicios públicos y otros recursos.
  • Normas para trabajar con información corporativa - explicar qué es el secreto comercial; a quién pertenecen los datos corporativos; hablar de la responsabilidad por la exposición de datos, etc.

Cómo organizar el proceso de formación

Hay muchas opciones para formar a los empleados en temas relacionados con la seguridad de la información. Estos métodos incluyen, entre otros: conferencias, juegos, cursos de formación. Gracias a los nuevos servicios y plataformas, las formaciones pueden realizarse tanto offline como a distancia. Existen plataformas actualizadas que permiten a los usuarios desarrollar sus propios cursos de forma totalmente gratuita. Además, también existen plantillas ya preparadas.

Aprendizaje a través de juegos: crea tu propio juego de seguridad de la información; prepara la lista de preguntas, refiriéndote a ella; haz una búsqueda de seguridad de la información; utiliza juegos de proveedores.

Entrenamiento de combate: GoPhish.

Educación en línea: Moodle y análogos, Google Forms.

Sin embargo, en la vida real, la práctica más extendida es el briefing fútil. En el caso de un ámbito tan abstracto como la seguridad de la información es absolutamente inútil.

La gente tiende a subestimar la importancia de la protección de datos y no se preocupa de que un incidente les afecte también a ellos mismos. Por eso, sea cual sea el formato educativo que elijas, debe complementarse con elementos de gamificación y formación.

Basándome en mi experiencia, puedo decir que las siguientes actividades suelen ser las que más impresionan a la gente:

  • Demostración de cómo se puede descifrar una contraseña en pocos minutos.
  • Obtención de datos sobre los empleados, presentes en el auditorio en el modo de la vida real. La existencia de métodos OSINT resulta ser una revelación para muchos usuarios.
  • Realización de una llamada telefónica desde un número de teléfono falso (demostración de Caller ID spoofing).
  • Copia rápida de la voz o el rostro de un ser humano (demostración de deepfake).

Cómo hacer más eficaz el proceso educativo

Incluso en el caso de que el curso de formación esté bien desarrollado y se cubran todos los aspectos cruciales de la alfabetización digital, pero no se eviten algunas deficiencias, la educación puede quedar en nada. A continuación encontrará una lista de los errores más peligrosos.

1. El principio básico del proceso de formación no es la comprensión de los principios de los ataques, sino el aprendizaje de memoria.

Un error común es que no se forma a los usuarios para que comprendan los principios de ejecución de un ciberataque. En su lugar, se les entrena para detectar algunos atributos específicos de un ciberataque. Por ejemplo, si hay un candado verde en la barra de direcciones, seguro que todo va bien. Otra creencia errónea es que si la dirección del remitente es correcta, todo va bien. Según el Informe sobre Delitos en Internet 2021 del FBI, los ataques BEC/AEC provocaron pérdidas por valor de 2.395.953.296 dólares. Por lo tanto, los ataques BEC resultan ser una de las técnicas más eficaces para llevar a cabo un ataque. Es importante tener en cuenta que los ataques BEC se basan en la confianza de los usuarios. Por eso es tan importante asegurarse de que los empleados entienden realmente cómo se realiza el ataque.

Los estafadores sofistican sus ataques más rápido que los responsables de seguridad de la información actualizan los cursos de formación. Por eso es tan importante entender los mecanismos de los ataques y los motivos que hay detrás de ellos – entonces los usuarios prestarán atención no solo a algunos atributos específicos del fraude, que pueden no ser tan obvios. Los empleados deben comprender que es técnicamente posible no solo hacer que la dirección del remitente se parezca a la real, sino también sustituirla por completo.

Por eso es importante, por ejemplo, en el caso de los sitios web de phishing, formar a las personas para que reconozcan el fraude basándose en un conjunto de atributos:

  • ortografía incorrecta de la dirección del sitio web
  • contenido sospechoso
  • imitación de funcionalidad;
  • los pagos sólo pueden realizarse en línea
  • falta de dirección física.

2. Las sesiones de formación se celebran con demasiada frecuencia o con muy poca frecuencia

El escenario óptimo puede ser organizar formaciones de seguridad de la información a gran escala (por ejemplo, sesiones de formación) al menos una vez al año.

Las formaciones ordinarias (por ejemplo, imitaciones de ataques de phishing, conferencias sobre el tema de las técnicas de ingeniería social, consideración de los métodos y temas más novedosos) deberían realizarse más a menudo, aproximadamente una vez al trimestre.

Sin embargo, es importante entender que una formación más frecuente tiene un efecto negativo. Permítanme explicarlo con un ejemplo de contraseñas. Si se pide a los usuarios que cambien y recuerden contraseñas con demasiada frecuencia, a menudo inventarán un nuevo método que facilite esta tarea. Por ejemplo, se pueden utilizar los patrones descritos anteriormente. 

La situación es bastante similar en otros casos. Por ejemplo, los empleados entienden que el responsable de seguridad de la información volverá a simular un ataque de phishing. Es muy difícil escribir algún tipo de guión original para las formaciones, si éstas tienen lugar a menudo. Como resultado, la gente tiende a responder mecánicamente a las amenazas y la vigilancia se reduce.

3. A nadie le interesan los resultados de la formación

¿Qué hacer con los empleados que no quieren seguir las normas? Esta pregunta no es competencia de un responsable de seguridad de la información, pero personalmente recomiendo lo siguiente: antes de proceder a la planificación del proceso de formación, llegue a un acuerdo con los ejecutivos sobre los métodos de motivación para los "estudiantes diligentes", así como sobre las sanciones para aquellos que sabotean el proceso de formación y no ponen en práctica los conocimientos adquiridos. Al fin y al cabo, ¿de qué sirve estudiar bien si nada amenaza un estudio deficiente?

4. Los especialistas en seguridad de la información no adoptan su estrategia a la audiencia específica

Los especialistas en seguridad de la información no son tutores profesionales. Sin embargo, no es realmente crucial ser un profesor profesional y experimentado para formar a las personas en temas relacionados con la seguridad de la información. El proceso educativo de los adultos difiere significativamente del de los niños. A continuación encontrará una lista de los principios más importantes de la formación:

  • Los empleados deben participar en la planificación de su formación y evaluar su eficacia.
  • La formación debe basarse en experiencias prácticas de la vida real.
  • Los adultos quieren aprender aquellas cuestiones que les ayuden a hacer frente a sus obligaciones laborales o a sus objetivos personales.
  • El proceso educativo para adultos debe centrarse en la resolución de problemas, no en la adquisición de conocimientos teóricos en sí.

Es más fácil tener en cuenta todos estos aspectos si el instructor tiene un profundo conocimiento del público. Aspectos como la experiencia y las creencias se encuentran entre los más cruciales. La comprensión de estos aspectos permite al experto mencionar casos ilustrativos o consejos prácticos, fácilmente comprensibles para los alumnos.
 
No tiene mucho sentido organizar pruebas en papel para averiguar qué tipos de empleados hay en una organización y qué esperar de ellos. Nuestra solución, ProfileCenter, lo hace automáticamente.

Si es imposible revelar qué personas forman parte del grupo, entonces algunas herramientas universales ayudarán.

  • En otras palabras, la retórica o las habilidades oratorias. Se trata de un conjunto de diversas habilidades aplicadas necesarias para transmitir la idea a la audiencia en el nivel de las emociones y la lógica. 
  • Otra habilidad útil: la aplicación de métodos de atracción. En otras palabras, cómo crear su imagen de la manera que todos los empleados entiendan claramente – si el especialista en seguridad de la información nombra algún tema como realmente importante, entonces esto es seguro.

Conclusión

Sin embargo, la educación de todos los empleados no es la panacea. La alfabetización en temas relacionados con la seguridad de la información no garantiza que un empleado no vaya a abrir accidentalmente un archivo adjunto malicioso. La comprensión de la responsabilidad no es una garantía al 100% contra la filtración deliberada. No obstante, el cumplimiento de las normas de higiene digital permite reducir el número de incidentes. Si se parte de cero, es una buena idea examinar cursos ya preparados.  Sin embargo, es importante desarrollarlos, completar los programas con casos prácticos y consejos prácticos que el público pueda entender fácilmente. Pero lo más importante es generar confianza con el público. De lo contrario, hay pocas posibilidades de que la formación tenga éxito.
 

 

 


Atacante interno Factor humano Gestión de riesgos

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2024 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES