Por Roger A. Grimes, columnista, CSO
Un programa de educación exhaustivo para el usuario final es un arma necesaria en la batalla para proteger su perímetro. Estos 10 temas son la base de lo que debe incluirse en un programa de capacitación de sensibilización.
Todos los profesionales de seguridad de TI saben que un programa de educación exhaustivo para el usuario final es un arma necesaria en la batalla para proteger su perímetro. Un buen programa educativo entrena a sus humanos vulnerables para que comprendan cómo ayudar a defender su sistema de los ataques. La educación ayuda a las personas a desarrollar hábitos saludables, perfecciona su defensa contra la ingeniería social y los convierte en un aliado en la lucha, en lugar de una grieta en sus defensas.
Sabes que la educación en seguridad es esencial. ¿Qué es un buen programa de educación de seguridad? ¿Qué tan bueno es el tuyo? ¿Te has perdido algún tema importante? Aquí hay diez temas que todo programa de capacitación en seguridad informática debe tener.
Uso aceptable
La mayoría de las personas no se quedan despiertas por la noche pensando en la forma correcta e incorrecta de usar esa dulce computadora portátil que les dio su empleador. Lo usan porque lo tienen. Es por eso que necesita explicar qué es y qué no es un uso aceptable de ese dispositivo comercial.
Sentar a cada empleado e insistir en que lean y firmen una política de uso aceptable cada año es una excelente manera de educarlos. También le brinda soporte legal más adelante si ese empleado infringe las reglas. Para tener dientes, los empleados deben aceptar su política de uso aceptable antes de asignarles un dispositivo comercial.
Las declaraciones de uso aceptable comunes incluyen:
- Los dispositivos comerciales son propiedad exclusiva de la empresa. Solo el negocio puede asignar, eliminar y determinar el control sobre esos dispositivos.
- No hay expectativas de privacidad cuando se utiliza un dispositivo de propiedad empresarial. La compañía puede leer los correos electrónicos de los empleados u otras comunicaciones a su propia discreción, sin previo aviso.
- No se permiten actividades ilegales o poco éticas en dispositivos comerciales.
- La empresa puede deshabilitar o restablecer cualquier contraseña creada por el usuario sin previo aviso.
- El uso personal está permitido siempre que no sea excesivo (según lo determine la empresa) y no viole una de las pautas anteriores.
- El incumplimiento de este acuerdo de uso aceptable puede dar lugar a acciones adversas, incluida la eliminación del mismo dispositivo de la compañía y hasta la terminación.
Patch awareness
El software requiere actualizaciones frecuentes. Sin estos, cualquier máquina puede convertirse en un punto de acceso peligroso para malware y otras infracciones.
El software sin parches es una de las principales razones por las cuales las empresas se ven comprometidas. Esto es de conocimiento común entre los profesionales de seguridad. Pero para el usuario promedio, la instalación de parches es un irritante que cae rápidamente al final de una lista de tareas pendientes. Por esta razón, la educación de concienciación sobre parches es una pieza esencial de cualquier programa de capacitación. Debe aclarar la naturaleza esencial de los parches, silenciar los temores o mitos que rodean la molestia y los inconvenientes de instalarlos, y detallar lo que la compañía espera en términos de instalación de parches. ¿Quien lo hace? ¿Con qué frecuencia se hace? ¿Qué no deben hacer los usuarios? También debe detallar los sistemas que tiene instalados para asegurarse de que esta tarea necesaria no se olvide.
Sus pautas escritas de administración de parches pueden incluir detalles como este:
- Todos los parches de seguridad críticos deben aplicarse dentro de una semana después del lanzamiento.
- Es posible que se le solicite al usuario que reinicie su computadora después de aplicar el parche.
- Los parches faltantes se verifican diariamente y pueden aplicarse sin previo aviso.
- No aplique ningún parche o actualización iniciada desde una sesión del navegador.
- Si sospecha que falta un parche o que no se ha aplicado de manera oportuna, repórtelo.
- Si un parche causa problemas, repórtelo de inmediato.
Conciencia de ingeniería social
La mayoría de las violaciones de datos comienzan con un ataque exitoso de ingeniería social. Esto es cuando el pirata informático apunta a un ser humano para que haga algo que le otorgue al pirata informático el acceso a la red que está buscando. En resumen, es un juego de estafa.
Sin embargo, la ingeniería social no implica necesariamente una operación de picadura elaborada, o incluso el contacto directo con la víctima. Se puede hacer por correo electrónico, a través de un sitio web, por teléfono y por SMS. Su programa de entrenamiento debe cubrir las muchas formas en que los humanos son engañados.
La capacitación del personal para prevenir la ingeniería social debe realizarse con mayor frecuencia que una vez al año y debe incluir:
- Cómo reconocer la ingeniería social.
- Ejemplos concretos de trucos comunes de ingeniería social.
- Pruebas que simularon la ingeniería social.
- Estrategias para alentar a las víctimas de ingeniería social a denunciar de inmediato el abuso sin temor a repercusiones.
Mejores prácticas de contraseña
Si bien gran parte del mundo se está moviendo a la autenticación multifactor (MFA) lo más rápido posible, las contraseñas siguen siendo el único método de autenticación para muchos sitios web y servicios. Un sistema de solo contraseña requiere que los usuarios finales sepan cómo crear, recordar y usar contraseñas para proteger los datos detrás de ellos sin crear una violación de seguridad o frustración innecesaria.
Su entrenamiento de mejores prácticas de contraseña debe incluir:
- Utilice la autenticación de dos factores (2FA) y la autenticación de múltiples factores (MFA) siempre que sea posible.
- Las contraseñas deben tener 8 caracteres o más.
- Las contraseñas no deberían ser tan comunes que se puedan violar en un instante. Por ejemplo, no use palabras como “contraseña” o “qwerty”.
- Use contraseñas únicas para cada sitio y servicio; no compartir entre sitios
- Cree y use cuidadosamente las “preguntas de restablecimiento” de la contraseña para asegurarse de que no contengan respuestas que sean fáciles de encontrar (como el apellido de soltera de su madre).
Manejo de correo electrónico
La mayoría de la malicia digital comienza con un correo electrónico no solicitado que contiene un archivo adjunto o un enlace malicioso, pidiéndole al destinatario que haga clic o se abra. Si su equipo está bien versado sobre cómo manejar adecuadamente los peligros inevitables del correo electrónico sin exponer a la compañía al riesgo, el correo electrónico no será su ruina. Por esta razón, el coaching por correo electrónico para todos los que usan una computadora de la empresa, o sus servidores, debería ser una parte clave de cualquier plan educativo para el usuario final.
Las mejores prácticas de manejo de correo electrónico deben incluir:
- Entrene a la gente para que siempre sea un poco escéptico ante cualquier correo electrónico inesperado.
- Enseñe a todos a no hacer clic en un archivo adjunto que no esperaban. Llame al remitente primero para confirmar su origen.
- Nunca haga clic en ningún enlace de Internet inesperado sin verificar que el dominio URL sea legítimo.
- No habilite “contenido activo” en correos electrónicos de fuentes no confiables.
- Informe de correos electrónicos sospechosos a la seguridad de TI.
- Nunca haga clic en “Responder a todos” en grandes publicaciones de correo electrónico.
Uso seguro del navegador
Usar un navegador para navegar por Internet es una actividad de alto riesgo. Todos los miembros de su empresa deben aprender a navegar de forma inteligente y segura por Internet sin ejecutar archivos o contenido malicioso.
Las mejores prácticas de navegación en Internet deben incluir:
- Instrucciones para garantizar que su navegador esté completamente parcheado contra vulnerabilidades de seguridad críticas.
- Advertencias contra la instalación de complementos innecesarios sin la aprobación del administrador.
- Precauciones contra la navegación por Internet con una cuenta altamente privilegiada (por ejemplo, la del administrador).
- Advertencias de no ejecutar ejecutables inesperados presentados en un navegador.
- Capacitación sobre cómo verificar la legitimidad de los dominios URL.
- Pautas sobre qué hacer al encontrar instrucciones en línea que le indican que evite, o cómo evitar, las advertencias de seguridad.
Protección de Datos
La importancia de la protección de datos se ha enfocado con las nuevas leyes y regulaciones de privacidad y protección de datos como el GDPR de Europa y la Ley de Privacidad del Consumidor de California (CCPA). Además de asegurarse de que los datos que recopila son necesarios y se recopilan y utilizan legalmente, su capacitación en protección de datos también debe cubrir estos temas importantes:
- Una definición de qué tipo de información necesita ser protegida, con ejemplos.
- Cómo deshacerse de los datos cuando ya no se necesitan.
- La necesidad de cifrar todos los datos confidenciales cuando están en reposo y durante las comunicaciones de red.
- La necesidad de etiquetar los datos de acuerdo con su sensibilidad o criticidad (por ejemplo, alto secreto, secreto, confidencial, público, etc.)
- Protocolos y la documentación requerida para compartir datos.
- La importancia de hacer una copia de seguridad de los datos críticos, encriptados y protegidos con contraseña, en dos o más lugares.
- Aliente al personal a discutir estos problemas con su oficial de protección de datos cuando tenga alguna duda.
Bloqueo de pantalla
A menos que sean educados para ser conscientes de los riesgos, la mayoría de los usuarios de computadoras nunca pensarían en bloquear la pantalla de su computadora antes de alejarse de una computadora o dispositivo. Pero dejar una computadora a disposición de cualquiera puede dañar su identidad o compañía. En el extremo bajo de riesgo, un compañero de trabajo travieso podría enviar un correo electrónico de broma en su nombre. Pero cosas peores han sucedido. Las computadoras y dispositivos desbloqueados terminaron causando graves daños a la reputación de las compañías y usuarios inconscientes.
Todos los usuarios necesitan que se les enseñe a bloquear la pantalla de su dispositivo cuando ya no estén cerca o en el control inmediato del dispositivo.
Las mejores prácticas de bloqueo de pantalla incluyen:
- Los usuarios SIEMPRE deben bloquear su dispositivo al salir de la vecindad.
- Se debe solicitar a los usuarios que se autentiquen para desbloquear su dispositivo.
- Un dispositivo inactivo siempre debe bloquearse después de menos de 10 minutos.
- Un dispositivo bloqueado nunca debe revelar su contenido.
Entrenamiento dirigido
Los tipos específicos de usuarios necesitan capacitación precisa para contrarrestar el spear phishing específico que puedan encontrar. El departamento de contabilidad, por ejemplo, necesita comprender por qué son un objetivo potencial. El CEO y otras personas con acceso privilegiado también necesitan comprender este tipo de ingeniería social específica.
Y esto no puede ser una sesión de entrenamiento general para cubrir todo el phishing de lanza. Porque si los detalles de la situación parecen irrelevantes, es probable que tus alumnos se lo lleven. Los phishers de Spear están interesados en usar detalles personales y las tareas de proyectos en curso de una persona para calmar a una víctima para que abra correos electrónicos maliciosos y ejecute archivos adjuntos no autorizados. ¡Defiéndete de la misma manera! Use los mismos detalles que usaría un phisher de lanza para llegar a una víctima para crear su programa de entrenamiento.
La capacitación dirigida incluye:
- Fraude de transferencias financieras para empleados capaces de transferir dinero
- El escepticismo necesario frente a las solicitudes del CEO de “emergencia” para los empleados que prestan servicios al CEO
- Capacitación contra restablecimientos de contraseñas fraudulentas para empleados que pueden restablecer contraseñas
- Entrenamiento contra credenciales de reingreso inesperadas después de leer el correo electrónico
- Entrenamiento estacional para diferentes épocas del año, como W-2 o fraude fiscal cerca de la temporada de impuestos
Informar incidentes
El tiempo promedio que le toma a una empresa descubrir un evento de piratería maliciosa es de 8 meses, e incluso entonces es descubierto por alguien externo a la empresa de la víctima. Lamentablemente, muchas veces el incidente de seguridad fue notado por alguien dentro de la empresa mucho tiempo antes de que el equipo oficial de respuesta al incidente se enterara. El mantra, “Si ves algo, di algo” se aplica tanto en el mundo digital como en el mundo real.
Todos los empleados deben saber cómo reconocer e informar incidentes de seguridad. Desea crear una cultura en la que las personas no tengan miedo de informar algo que no parece correcto. Deben ser alentados a informar todos los eventos sospechosos sin temor ni repercusiones. Use más “zanahorias” y menos “palos”.
Las recomendaciones comunes de informes de incidentes incluyen:
- Algunos ejemplos memorables de incidentes de seguridad comunes.
- ¿A quién llamas si ves algo sospechoso?
- Pautas sobre cómo informar un incidente de seguridad.
- Lo que la gente debería esperar después de haber realizado un informe.
- Mucho aliento amistoso destinado a convencer a las personas para que denuncien proactivamente los incidentes de seguridad.
- Qué hacer con una computadora o dispositivo que un empleado cree que puede haber sido comprometido. (¿Apagarlo? ¿Desmantelarlo? ¿Llevarlo al departamento de TI?)