Implementar un programa de sensibilización sobre la seguridad parece ser bastante fácil, hasta que realmente empezamos a ponerlo en marcha, tomando en cuenta temas como los recursos y las personas (usuarios) que serán entrenados. Llegado ese punto, puede parecer algo complicado, costoso, e innecesario. Sin embargo, el proceso no tiene que ser una pesadilla logÃstica ni costosa, y, sin duda, vale la pena en el largo plazo.
Organizaciones grandes y pequeñas han puesto en marcha programas de sensibilización por casi nada, y aunque no son perfectos, muchos de ellos pueden mostrar resultados mensurables. La clave del éxito, sin embargo, se basa en la comprensión de qué es lo que la organización está tratando de lograr en realidad.
Mientras hacÃa la investigación para esta historia, la revista americana CSO descubrió un pensamiento común entre los expertos y ejecutivos que fueron consultados, entre ellos, algunos de los que hablaron durante dos conferencias regionales de seguridad realizadas recientemente (B-Sides Detroit y CircleCityCon).
A menudo, los ejecutivos consideran la seguridad y el negocio como dos elementos separados, y si bien este punto de vista está cambiando, se necesita un esfuerzo para conseguir que algunos de ellos se comprometan con la seguridad, y que hagan de ésta parte de la empresa en general.
Al mismo tiempo, también se está produciendo una reorganización, gracias a un flujo aparentemente interminable de violaciones de los datos durante este año, varias empresas grandes han aparecido en los titulares. El resultado de esta reorganización es el miedo, y el miedo a veces tiene una manera de generar el presupuesto necesario para fortalecer la seguridad. En algunos cÃrculos, estos fondos adicionales abren la puerta al desarrollo de programas de sensibilización de seguridad.
¿Es realmente necesaria la formación de la conciencia?
Generar conciencia acerca de la seguridad es algo que puede causar un gran debate entre los expertos. Algunos están de acuerdo en que se necesita; otros lo llaman una pérdida de tiempo y recursos.
David Aitel, en una columna para las OSC, expresó la opinión de que este tipo de formación no era necesaria:
“En lugar de gastar tiempo, dinero y recursos humanos en tratar de enseñar a los empleados a ser conscientes, las empresas deberÃan centrarse en dar seguridad al entorno y segmentar la red. Es una filosofÃa corporativa de TI mucho mejor que los empleados puedan ser capaces de hacer clic en cualquier enlace y abrir cualquier archivo adjunto, sin riesgo de dañar a la organizaciónâ€.
“Porque van a hacerlo de todos modos, asà que puede hacer un plan para ello. Es el trabajo del CSO, CISO, o del gerente de seguridad, asegurarse de que las amenazas se detengan antes de llegar a un empleado. Y si estas medidas fallan, asegurarse de que la red esté segmentada correctamente para limitar la propagación de la infecciónâ€.
Sin embargo, la otra cara de este argumento proviene de Ira Winkler:
“La pregunta que debemos hacernos es si las pérdidas evitadas por desarrollar la conciencia son mayores que el costo del programa de sensibilización. AsÃ, por ejemplo, si todos los ataques de phishing exitosos tienen un costo asociado con el mismo, si reduce los ataques de phishing a un 50%, estará mitigando el 50% de las pérdidas potencialesâ€.
“La opinión original también dice que un programa sofisticado de conciencia de seguridad puede evitar entre el 90-95% de los ataques. Una reducción del 90% a más de la pérdida siempre será un buen retorno de la inversión en seguridad, especialmente cuando el costo de los programas tÃpicos de concienciación de seguridad es mÃnimoâ€.
Los programas de sensibilización no son un reemplazo de la infraestructura y las polÃticas de seguridad sólidas. Tampoco son un sustituto para la respuesta y gestión de los incidentes. No lo pueden ser. Lo único que hacen es aumentar la posibilidad de recuperación y aumentar los tiempos de respuesta cuando ocurra un incidente.
Mientras que entrenar a los empleados para actuar como monitores de ataques de phishing o correos electrónicos con archivos adjuntos maliciosos es útil, eso no quiere decir que este tipo de campañas no tendrán éxito. Sin embargo, esto significa que el equipo de seguridad puede saber sobre el problema cuanto antes, y esta podrÃa ser la diferencia entre prevenir o sufrir un desastre.
Cómo empezar
Uno de los principales pasos para la construcción de un buen programa de concientización sobre la seguridad es separarlo del entrenamiento de seguridad. La conciencia de seguridad no es lo mismo que la formación en seguridad cuando se trata de los empleados.
El entrenamiento acerca de la seguridad sirve para ofrecer un conjunto estructurado de normas, que es lo que la mayorÃa de los auditores buscarán al evaluar el cumplimiento. Concientizar sobre la seguridad, por otra parte, tiene como objetivo modificar el comportamiento. Si se hace bien, los empleados de la compañÃa se convertirán en una extensión del programa de seguridad existente. Sin embargo, mientras que el entrenamiento de seguridad puede hacerse anualmente, los programas de sensibilización son un proceso continuo.
Una prueba de concepto viviente
Amanda Berlin trabaja en la seguridad de una organización de salud de mediano tamaño en el Medio Oeste. En los últimos meses, ha creado un programa efectivo de conciencia casi de la nada.
Su organización no tenÃa los recursos para pagar por el desarrollo y entrenamiento de la toma de conciencia externa, pero se necesitaba, por lo que tuvieron que hacerlo solos. Ha tomado algún tiempo, pero sus esfuerzos se han traducido en un programa que beneficia a la empresa, mantiene al personal dedicado a temas relacionados con la seguridad, y tiene poco o ningún impacto en el balance final.
“Asà que sabÃamos que el elemento más débil de nuestra seguridad eran las personasâ€, señala Berlin en una entrevista con CSO.
“Esa es probablemente la parte más débil de cualquier organización. Puede tener IDS / IPS, filtrado de correo electrónico masivo, pero las cosas todavÃa van a suceder y los criminales todavÃa seguirán teniendo pretextos para atacarâ€.
Como se mencionó, la educación del usuario puede recorrer un largo camino para mantener a los extraños fuera de la red, pero no es una bala de plata.
En el pasado, antes de la implementación del programa de sensibilización, la organización de Berlin tuvo que hacer frente a varios ataques basados en lo social. Sin embargo, se trató mayormente de llamadas telefónicas aleatorias y faxes (facturas de renovación de dominio falsas, por ejemplo), por lo que la necesidad de un programa de sensibilización a escala no se hizo evidente hasta que la compañÃa llevó a cabo una prueba de penetración.
“Tuvimos una prueba de penetración, que incluyó algo de phishing, y eso fue lo que les dio acceso de administrador de dominio. Enseguida, a los quince minutos, alguien hizo clic y dio sus credenciales, y ellos, el equipo de red, pudieron ingresar desde fueraâ€.
Fue una experiencia reveladora. Además del esperado entrenamiento en seguridad, en relación con HIPAA y otros requisitos normativos, nadie en su organización habÃa pensado en la implementación del entrenamiento en sensibilización de los usuarios contra ataques de phishing o similares.
Sin embargo, la principal revelación de esa prueba inicial de penetración fue que si el elemento humano se habÃa fortalecido, o al menos estaba mejor preparado, entonces las otras defensas de la red tendrÃan una mejor oportunidad de mantener fuera a los atacantes.
Capacitar a partir de la inteligencia pública
Para Amanda Berlin, el proceso de construcción de un programa de sensibilización de la nada comenzó con una serie de conversaciones con su jefe y el departamento de educación de la organización.
La idea era desarrollar materiales que beneficiaran a cualquier usuario. Sin embargo, tuvieron que mantener los materiales de base, de modo que la información se entendiera fácilmente y que los aspectos técnicos fueran obtenibles por cualquier persona, independientemente de sus habilidades personales.
“Utilizamos elementos que serÃan muy útiles para cualquier usuario final, como emails del tipo ‘no haga clic en’. No llegamos demasiado lejos con ello, pero lo usamos y lo pusimos ahÃâ€, explicó Berlin.
Después de que el material fue compartido durante las reuniones formales e informales del personal, era el momento para poner a prueba a los empleados y ver lo que habÃan aprendido.
En el primer mes de ejecución del programa, los grupos objetivo fueron seleccionados por medio de la inteligencia pública. Dirigiendo a las direcciones de correo electrónico de la compañÃa que ya estaban a disposición del público, BerlÃn comenzó con el mismo grupo de vÃctimas potenciales que un criminal pudiera tener, lo que ayudó a establecer el tono para el desarrollo del programa.
Usando el Social Engineer Toolkit o SET, creó una campaña inicial que consistÃa en un correo electrónico, obviamente sospechoso, y un enlace simple hacia una página web que creó para obtener credenciales.
“Fue solo correo electrónico en HTML simple de dos o tres lÃneas. QuerÃa tratar de hacer lo más claramente evidente que no se trataba de una fuente legÃtima. QuerÃa ver qué tan bueno era su filtro de personalâ€, explicó Berlin, recordando el primer correo electrónico que se envió a los usuarios.
La primera serie de correos electrónicos fueron enviados desde una cuenta de Gmail creada para el ejercicio. Éstos no contenÃan información de identificación, y usaron un enlace HTML básico hacia una IP local como trampa. Fuera de la carrera inicial de unos pocos cientos de correos electrónicos, BerlÃn, dijo que se las arregló para conseguir que casi el 60% de los objetivos introduzcan sus credenciales.
Los resultados fueron la prueba de que habÃa que hacer algo acerca de la brecha que habÃa en la seguridad, pero el programa tenÃa que ser afinado, y tenÃa que haber una manera de monitorear los resultados. El proceso duró unos meses, pero al final, Berlin estaba lista para lanzar su programa oficial.
Recompensar a los que ayudan
Mientras que la prueba inicial demostró que era necesario un programa de sensibilización, el tema acerca de quién deberÃa hacer la capacitación fue el primer obstáculo. De hecho, la investigación puso de manifiesto que habÃa muchos proveedores disponibles para ejecutar un programa de sensibilización. Sin embargo, el costo de contratar a alguien de afuera era elevado y pondrÃa presión adicional sobre un presupuesto ya gravado.
En cambio, BerlÃn explicó, la empresa optó por manejar las cosas internamente. Por otra parte, una parte del dinero que habrÃa ido a una empresa de formación externa, se destinó para establecer un sistema de incentivos para los empleados.
“Asà que cada vez que alguien reportaba un correo electrónico de phishing, ya sea que fuera mÃo o externo, era necesario que lo remitieran a la mesa de ayuda o llamaran para hacérnoslo saber, para que podamos realmente ver el correo electrónico. Si es legÃtimo, pasaremos por los pasos para bloquearlo; de otras forma les haremos saber que habÃan caÃdo en las estadÃsticasâ€.
El programa permite a los empleados reportar correos electrónicos de phishing legÃtimos, asà como mensajes de correo electrónico que se envÃan como parte de la formación de la conciencia en curso. Además, otra actividad electrónica sospechosa también puede contar, por ejemplo, los mensajes de correo electrónico con archivos adjuntos que el empleado no esperaba, pero eso se determina basándose en caso por caso.
Otro aspecto interesante del programa es el estÃmulo para reportar personas que están tratando de tener acceso al sistema de los empleados, que no han sido autorizadas para ello.
El plan de incentivos en sà es sencillo y está orientado a los intereses personales de los funcionarios. Hay un sorteo mensual para una tarjeta de regalo de 20 dólares, seguido de un sorteo trimestral para una tarjeta de regalo de 50 dólares para Bass Pro Shops o Red Lobster. También hay un gran premio anual por el valor de 400 dólares que viene en forma de una tarjeta de regalo de Amazon.
La motivación financiera ha ayudado tremendamente, señala Berlin, mientras que el número de informes centrado en ataques de phishing legÃtimos se ha “disparado”. Aún mejor, el estigma asociado con la presentación de informes de un posible problema, o admitir que el ataque fue un éxito, ha quedado reducido a nada.
Mientras que las recompensas son importantes, para la organización de Berlin, el seguimiento y la medición del progreso es la principal preocupación. Después de un corto tiempo de operación, las estadÃsticas de su programa son impresionantes. El número de ataques con éxito en el programa de formación ha seguido cayendo en forma sostenida desde el inicio del programa oficial.
En enero: 985 correos electrónicos fueron enviados a los empleados, y de ellos, el 53% de los objetivos realmente hicieron clic en el enlace de phishing. De los que hicieron clic en el vÃnculo, el 36% introdujo sus credenciales y el 11% de todos los objetivos reportaron el ataque.
En febrero: 893 correos electrónicos fueron enviados, los cuales resultaron en una tasa de clics de un 47%. Una vez más, de los que hicieron clic, el 11% entregó sus credenciales y el 11% informó sobre el ataque.
La prueba de marzo no fue tan buena. Hubo 1.095 correos electrónicos enviados, pero solo el 3% de los blancos hizo clic en el enlace. De los que hicieron clic, ninguno ingresó sus credenciales. De hecho, todo el que hizo clic en el enlace en marzo, también informó sobre la dirección de correo electrónico.
“En marzo, creo que la razón por la que tuve una tasa de participación tan baja en general se debió al tema del phishâ€, sostuvo Berlin, cuando se le preguntó sobre las estadÃsticas.
“Tuvimos un buen empuje por la March of Dimes ese mes y se parece a cualquier otro correo electrónico que trataba sobre una oportunidad de donación, o venta de tortas de algún tipo. Creemos que la mayorÃa de ellos simplemente fueron borrados junto con el resto de ellos, o filtrados como ruidoâ€.
Abril fue otro mes interesante. No hubo oportunidad de introducir las credenciales en esta ocasión, ya que el objetivo era apuntar a los clics. Cualquier persona que hacÃa clic en el correo electrónico fue dirigida hacia un mensaje que decÃa “¡Usted ha sido hackeado!”.
Durante esta prueba, el 2% de los 1.111 correos electrónicos enviados se tradujo en un clic, y el 25% de los que recibieron el mensaje lo reportó.
Aunque el programa de concientización de Berlin claramente ha cambiado el comportamiento del usuario, asà como la mejora de la postura acerca de la seguridad global en su organización, eso no quiere decir que sea infalible. Hay mucho espacio para crecer, y el programa en sà está en un constante estado de afinación.
Por ejemplo, hay planes para mejorar el seguimiento y hacer el proceso más fácil de manejar. En la actualidad, el proceso de seguimiento es manual, por lo que el objetivo es tenerlo completamente automatizado. También hay planes para aumentar el programa e incluir dispositivos móviles directamente, ya que muchos de los proveedores dentro de la organización utilizan tabletas en su rutina del dÃa a dÃa.
La conciencia es solo una parte de la batalla
Los programas de concientización de seguridad son solo una pieza de un rompecabezas de la seguridad más grande. En el momento en que un correo electrónico de phishing llega a un usuario, las partes de la cadena de seguridad han fallado (anti-spam) y el eslabón más débil de la cadena ahora tiene un papel activo en la defensa.
Si los usuarios están capacitados, o para usar un término más fuerte, están acondicionados para detectar anomalÃas al azar, hay una mayor posibilidad de que un ataque de phishing pasivo falle. Pero nadie es perfecto, y los ataques de phishing dirigidos tendrán éxito finalmente.
Este es el por qué los usuarios deben ser alentados a informar no solo el intento, sino también cualquier fallo, sin tener temor al castigo. Este compromiso ayudará a reducir el tiempo que toma para hacer frente al incidente y, en algunos casos, en realidad, podrÃa prevenir que un incidente explosione en un desastre monumental.
Los usuarios a menudo se rÃen de vender sus contraseñas “por caramelo†durante los experimentos de ingenierÃa social. Sin embargo, esta voluntad de hacer una tarea que necesita poco esfuerzo a cambio de algo de valor, funciona en ambas direcciones.
El usuario que vaya a negociar el acceso “por un dulce†es también alguien que puede ser entrenado para detectar ataques con tarjetas de regalo; eso es económico, si se compara con el costo mitigar la violación de datos.
-Steve Ragan, CSO (EE.UU.)
