Implementar un programa de sensibilización sobre la seguridad parece ser bastante fácil, hasta que realmente empezamos a ponerlo en marcha, tomando en cuenta temas como los recursos y las personas (usuarios) que serán entrenados. Llegado ese punto, puede parecer algo complicado, costoso, e innecesario. Sin embargo, el proceso no tiene que ser una pesadilla logística ni costosa, y, sin duda, vale la pena en el largo plazo.
Organizaciones grandes y pequeñas han puesto en marcha programas de sensibilización por casi nada, y aunque no son perfectos, muchos de ellos pueden mostrar resultados mensurables. La clave del éxito, sin embargo, se basa en la comprensión de qué es lo que la organización está tratando de lograr en realidad.
Mientras hacía la investigación para esta historia, la revista americana CSO descubrió un pensamiento común entre los expertos y ejecutivos que fueron consultados, entre ellos, algunos de los que hablaron durante dos conferencias regionales de seguridad realizadas recientemente (B-Sides Detroit y CircleCityCon).
A menudo, los ejecutivos consideran la seguridad y el negocio como dos elementos separados, y si bien este punto de vista está cambiando, se necesita un esfuerzo para conseguir que algunos de ellos se comprometan con la seguridad, y que hagan de ésta parte de la empresa en general.
Al mismo tiempo, también se está produciendo una reorganización, gracias a un flujo aparentemente interminable de violaciones de los datos durante este año, varias empresas grandes han aparecido en los titulares. El resultado de esta reorganización es el miedo, y el miedo a veces tiene una manera de generar el presupuesto necesario para fortalecer la seguridad. En algunos círculos, estos fondos adicionales abren la puerta al desarrollo de programas de sensibilización de seguridad.
¿Es realmente necesaria la formación de la conciencia?
Generar conciencia acerca de la seguridad es algo que puede causar un gran debate entre los expertos. Algunos están de acuerdo en que se necesita; otros lo llaman una pérdida de tiempo y recursos.
David Aitel, en una columna para las OSC, expresó la opinión de que este tipo de formación no era necesaria:
“En lugar de gastar tiempo, dinero y recursos humanos en tratar de enseñar a los empleados a ser conscientes, las empresas deberían centrarse en dar seguridad al entorno y segmentar la red. Es una filosofía corporativa de TI mucho mejor que los empleados puedan ser capaces de hacer clic en cualquier enlace y abrir cualquier archivo adjunto, sin riesgo de dañar a la organización”.
“Porque van a hacerlo de todos modos, así que puede hacer un plan para ello. Es el trabajo del CSO, CISO, o del gerente de seguridad, asegurarse de que las amenazas se detengan antes de llegar a un empleado. Y si estas medidas fallan, asegurarse de que la red esté segmentada correctamente para limitar la propagación de la infección”.
Sin embargo, la otra cara de este argumento proviene de Ira Winkler:
“La pregunta que debemos hacernos es si las pérdidas evitadas por desarrollar la conciencia son mayores que el costo del programa de sensibilización. Así, por ejemplo, si todos los ataques de phishing exitosos tienen un costo asociado con el mismo, si reduce los ataques de phishing a un 50%, estará mitigando el 50% de las pérdidas potenciales”.
“La opinión original también dice que un programa sofisticado de conciencia de seguridad puede evitar entre el 90-95% de los ataques. Una reducción del 90% a más de la pérdida siempre será un buen retorno de la inversión en seguridad, especialmente cuando el costo de los programas típicos de concienciación de seguridad es mínimo”.
Los programas de sensibilización no son un reemplazo de la infraestructura y las políticas de seguridad sólidas. Tampoco son un sustituto para la respuesta y gestión de los incidentes. No lo pueden ser. Lo único que hacen es aumentar la posibilidad de recuperación y aumentar los tiempos de respuesta cuando ocurra un incidente.
Mientras que entrenar a los empleados para actuar como monitores de ataques de phishing o correos electrónicos con archivos adjuntos maliciosos es útil, eso no quiere decir que este tipo de campañas no tendrán éxito. Sin embargo, esto significa que el equipo de seguridad puede saber sobre el problema cuanto antes, y esta podría ser la diferencia entre prevenir o sufrir un desastre.
Cómo empezar
Uno de los principales pasos para la construcción de un buen programa de concientización sobre la seguridad es separarlo del entrenamiento de seguridad. La conciencia de seguridad no es lo mismo que la formación en seguridad cuando se trata de los empleados.
El entrenamiento acerca de la seguridad sirve para ofrecer un conjunto estructurado de normas, que es lo que la mayoría de los auditores buscarán al evaluar el cumplimiento. Concientizar sobre la seguridad, por otra parte, tiene como objetivo modificar el comportamiento. Si se hace bien, los empleados de la compañía se convertirán en una extensión del programa de seguridad existente. Sin embargo, mientras que el entrenamiento de seguridad puede hacerse anualmente, los programas de sensibilización son un proceso continuo.
Una prueba de concepto viviente
Amanda Berlin trabaja en la seguridad de una organización de salud de mediano tamaño en el Medio Oeste. En los últimos meses, ha creado un programa efectivo de conciencia casi de la nada.
Su organización no tenía los recursos para pagar por el desarrollo y entrenamiento de la toma de conciencia externa, pero se necesitaba, por lo que tuvieron que hacerlo solos. Ha tomado algún tiempo, pero sus esfuerzos se han traducido en un programa que beneficia a la empresa, mantiene al personal dedicado a temas relacionados con la seguridad, y tiene poco o ningún impacto en el balance final.
“Así que sabíamos que el elemento más débil de nuestra seguridad eran las personas”, señala Berlin en una entrevista con CSO.
“Esa es probablemente la parte más débil de cualquier organización. Puede tener IDS / IPS, filtrado de correo electrónico masivo, pero las cosas todavía van a suceder y los criminales todavía seguirán teniendo pretextos para atacar”.
Como se mencionó, la educación del usuario puede recorrer un largo camino para mantener a los extraños fuera de la red, pero no es una bala de plata.
En el pasado, antes de la implementación del programa de sensibilización, la organización de Berlin tuvo que hacer frente a varios ataques basados en lo social. Sin embargo, se trató mayormente de llamadas telefónicas aleatorias y faxes (facturas de renovación de dominio falsas, por ejemplo), por lo que la necesidad de un programa de sensibilización a escala no se hizo evidente hasta que la compañía llevó a cabo una prueba de penetración.
“Tuvimos una prueba de penetración, que incluyó algo de phishing, y eso fue lo que les dio acceso de administrador de dominio. Enseguida, a los quince minutos, alguien hizo clic y dio sus credenciales, y ellos, el equipo de red, pudieron ingresar desde fuera”.
Fue una experiencia reveladora. Además del esperado entrenamiento en seguridad, en relación con HIPAA y otros requisitos normativos, nadie en su organización había pensado en la implementación del entrenamiento en sensibilización de los usuarios contra ataques de phishing o similares.
Sin embargo, la principal revelación de esa prueba inicial de penetración fue que si el elemento humano se había fortalecido, o al menos estaba mejor preparado, entonces las otras defensas de la red tendrían una mejor oportunidad de mantener fuera a los atacantes.
Capacitar a partir de la inteligencia pública
Para Amanda Berlin, el proceso de construcción de un programa de sensibilización de la nada comenzó con una serie de conversaciones con su jefe y el departamento de educación de la organización.
La idea era desarrollar materiales que beneficiaran a cualquier usuario. Sin embargo, tuvieron que mantener los materiales de base, de modo que la información se entendiera fácilmente y que los aspectos técnicos fueran obtenibles por cualquier persona, independientemente de sus habilidades personales.
“Utilizamos elementos que serían muy útiles para cualquier usuario final, como emails del tipo ‘no haga clic en’. No llegamos demasiado lejos con ello, pero lo usamos y lo pusimos ahí”, explicó Berlin.
Después de que el material fue compartido durante las reuniones formales e informales del personal, era el momento para poner a prueba a los empleados y ver lo que habían aprendido.
En el primer mes de ejecución del programa, los grupos objetivo fueron seleccionados por medio de la inteligencia pública. Dirigiendo a las direcciones de correo electrónico de la compañía que ya estaban a disposición del público, Berlín comenzó con el mismo grupo de víctimas potenciales que un criminal pudiera tener, lo que ayudó a establecer el tono para el desarrollo del programa.
Usando el Social Engineer Toolkit o SET, creó una campaña inicial que consistía en un correo electrónico, obviamente sospechoso, y un enlace simple hacia una página web que creó para obtener credenciales.
“Fue solo correo electrónico en HTML simple de dos o tres líneas. Quería tratar de hacer lo más claramente evidente que no se trataba de una fuente legítima. Quería ver qué tan bueno era su filtro de personal”, explicó Berlin, recordando el primer correo electrónico que se envió a los usuarios.
La primera serie de correos electrónicos fueron enviados desde una cuenta de Gmail creada para el ejercicio. Éstos no contenían información de identificación, y usaron un enlace HTML básico hacia una IP local como trampa. Fuera de la carrera inicial de unos pocos cientos de correos electrónicos, Berlín, dijo que se las arregló para conseguir que casi el 60% de los objetivos introduzcan sus credenciales.
Los resultados fueron la prueba de que había que hacer algo acerca de la brecha que había en la seguridad, pero el programa tenía que ser afinado, y tenía que haber una manera de monitorear los resultados. El proceso duró unos meses, pero al final, Berlin estaba lista para lanzar su programa oficial.
Recompensar a los que ayudan
Mientras que la prueba inicial demostró que era necesario un programa de sensibilización, el tema acerca de quién debería hacer la capacitación fue el primer obstáculo. De hecho, la investigación puso de manifiesto que había muchos proveedores disponibles para ejecutar un programa de sensibilización. Sin embargo, el costo de contratar a alguien de afuera era elevado y pondría presión adicional sobre un presupuesto ya gravado.
En cambio, Berlín explicó, la empresa optó por manejar las cosas internamente. Por otra parte, una parte del dinero que habría ido a una empresa de formación externa, se destinó para establecer un sistema de incentivos para los empleados.
“Así que cada vez que alguien reportaba un correo electrónico de phishing, ya sea que fuera mío o externo, era necesario que lo remitieran a la mesa de ayuda o llamaran para hacérnoslo saber, para que podamos realmente ver el correo electrónico. Si es legítimo, pasaremos por los pasos para bloquearlo; de otras forma les haremos saber que habían caído en las estadísticas”.
El programa permite a los empleados reportar correos electrónicos de phishing legítimos, así como mensajes de correo electrónico que se envían como parte de la formación de la conciencia en curso. Además, otra actividad electrónica sospechosa también puede contar, por ejemplo, los mensajes de correo electrónico con archivos adjuntos que el empleado no esperaba, pero eso se determina basándose en caso por caso.
Otro aspecto interesante del programa es el estímulo para reportar personas que están tratando de tener acceso al sistema de los empleados, que no han sido autorizadas para ello.
El plan de incentivos en sí es sencillo y está orientado a los intereses personales de los funcionarios. Hay un sorteo mensual para una tarjeta de regalo de 20 dólares, seguido de un sorteo trimestral para una tarjeta de regalo de 50 dólares para Bass Pro Shops o Red Lobster. También hay un gran premio anual por el valor de 400 dólares que viene en forma de una tarjeta de regalo de Amazon.
La motivación financiera ha ayudado tremendamente, señala Berlin, mientras que el número de informes centrado en ataques de phishing legítimos se ha “disparado”. Aún mejor, el estigma asociado con la presentación de informes de un posible problema, o admitir que el ataque fue un éxito, ha quedado reducido a nada.
Mientras que las recompensas son importantes, para la organización de Berlin, el seguimiento y la medición del progreso es la principal preocupación. Después de un corto tiempo de operación, las estadísticas de su programa son impresionantes. El número de ataques con éxito en el programa de formación ha seguido cayendo en forma sostenida desde el inicio del programa oficial.
En enero: 985 correos electrónicos fueron enviados a los empleados, y de ellos, el 53% de los objetivos realmente hicieron clic en el enlace de phishing. De los que hicieron clic en el vínculo, el 36% introdujo sus credenciales y el 11% de todos los objetivos reportaron el ataque.
En febrero: 893 correos electrónicos fueron enviados, los cuales resultaron en una tasa de clics de un 47%. Una vez más, de los que hicieron clic, el 11% entregó sus credenciales y el 11% informó sobre el ataque.
La prueba de marzo no fue tan buena. Hubo 1.095 correos electrónicos enviados, pero solo el 3% de los blancos hizo clic en el enlace. De los que hicieron clic, ninguno ingresó sus credenciales. De hecho, todo el que hizo clic en el enlace en marzo, también informó sobre la dirección de correo electrónico.
“En marzo, creo que la razón por la que tuve una tasa de participación tan baja en general se debió al tema del phish”, sostuvo Berlin, cuando se le preguntó sobre las estadísticas.
“Tuvimos un buen empuje por la March of Dimes ese mes y se parece a cualquier otro correo electrónico que trataba sobre una oportunidad de donación, o venta de tortas de algún tipo. Creemos que la mayoría de ellos simplemente fueron borrados junto con el resto de ellos, o filtrados como ruido”.
Abril fue otro mes interesante. No hubo oportunidad de introducir las credenciales en esta ocasión, ya que el objetivo era apuntar a los clics. Cualquier persona que hacía clic en el correo electrónico fue dirigida hacia un mensaje que decía “¡Usted ha sido hackeado!”.
Durante esta prueba, el 2% de los 1.111 correos electrónicos enviados se tradujo en un clic, y el 25% de los que recibieron el mensaje lo reportó.
Aunque el programa de concientización de Berlin claramente ha cambiado el comportamiento del usuario, así como la mejora de la postura acerca de la seguridad global en su organización, eso no quiere decir que sea infalible. Hay mucho espacio para crecer, y el programa en sí está en un constante estado de afinación.
Por ejemplo, hay planes para mejorar el seguimiento y hacer el proceso más fácil de manejar. En la actualidad, el proceso de seguimiento es manual, por lo que el objetivo es tenerlo completamente automatizado. También hay planes para aumentar el programa e incluir dispositivos móviles directamente, ya que muchos de los proveedores dentro de la organización utilizan tabletas en su rutina del día a día.
La conciencia es solo una parte de la batalla
Los programas de concientización de seguridad son solo una pieza de un rompecabezas de la seguridad más grande. En el momento en que un correo electrónico de phishing llega a un usuario, las partes de la cadena de seguridad han fallado (anti-spam) y el eslabón más débil de la cadena ahora tiene un papel activo en la defensa.
Si los usuarios están capacitados, o para usar un término más fuerte, están acondicionados para detectar anomalías al azar, hay una mayor posibilidad de que un ataque de phishing pasivo falle. Pero nadie es perfecto, y los ataques de phishing dirigidos tendrán éxito finalmente.
Este es el por qué los usuarios deben ser alentados a informar no solo el intento, sino también cualquier fallo, sin tener temor al castigo. Este compromiso ayudará a reducir el tiempo que toma para hacer frente al incidente y, en algunos casos, en realidad, podría prevenir que un incidente explosione en un desastre monumental.
Los usuarios a menudo se ríen de vender sus contraseñas “por caramelo” durante los experimentos de ingeniería social. Sin embargo, esta voluntad de hacer una tarea que necesita poco esfuerzo a cambio de algo de valor, funciona en ambas direcciones.
El usuario que vaya a negociar el acceso “por un dulce” es también alguien que puede ser entrenado para detectar ataques con tarjetas de regalo; eso es económico, si se compara con el costo mitigar la violación de datos.
-Steve Ragan, CSO (EE.UU.)
