Por qué su CEO representa un riesgo para la seguridad
por Rohyt Belani
No subestime a su ciberatacante. Es paciente y meticuloso, experto en atacar el eslabón más débil de la seguridad de la red: los empleados de su organización. Analiza sus objetivos con gran detalle y probablemente conozca a sus empleados mejor que usted. Los estudia en las redes sociales para entender qué es lo que les importa, a qué responden, cómo se comportan, dónde fueron a la escuela, quiénes son sus amigos, dónde viven y cuáles son sus aficiones.
Los hackers han demostrado ser astutos «ingenieros sociales», para usar el espeluznante eufemismo actual en el mundo de la seguridad de los datos. Entienden que si pueden crear algún tipo de desencadenante emocional y entregarlo en forma de mensaje de correo electrónico, la gente lo activará.
«Ha habido un error en su W2», podría decir un mensaje. Haga clic. «Vamos a migrar nuestro sistema de nóminas, siga este enlace». Haga clic. Se aprovechan del interés eterno de la gente por cualquier cosa que parezca prometer una recompensa o que pueda costarles dinero, y tienen práctica en usar un tono autoritario que parece insistir en el cumplimiento.
Y, por supuesto, cuando alguien hace clic o abre el archivo adjunto al correo electrónico, entra el hacker. Estos enlaces y archivos parecen inocuos, pero suelen estar repletos de malware que pone en peligro sus ordenadores y proporciona a los piratas informáticos un punto de apoyo crucial en la red de su organización.
He descubierto que en las simulaciones de este tipo de ataques, de media, el 58% de las personas hacen clic en un hipervínculo de correo electrónico que podría haber provocado una infección de malware. Por lo general, se trata de personas que llevan años siguiendo programas convencionales de concienciación sobre la seguridad, que incluyen campañas de pósters, formación obligatoria anual por ordenador y sesiones informales sobre temas como la elección de una contraseña segura.
Las pésimas cifras sobre la ingenuidad de los usuarios han llevado a muchos profesionales de la seguridad a renunciar al factor humano y centrarse, en cambio, en crear sistemas de detección cada vez más sofisticados. Pero el factor humano sigue siendo fundamental para detener los ataques. UN informe publicado recientemente por la empresa de seguridad Trend Micro indica que el 91% de los ciberataques comienzan con un correo electrónico de suplantación de identidad dirigido.
Proporcionar a los usuarios más y mejor información sobre los riesgos es una forma obvia de abordar el problema, pero gran parte de esa información se desperdicia. En una empresa de inversiones que conozco, el equipo de seguridad envía un boletín mensual sobre varios temas de seguridad, pero una empleada se hartó tanto de los mensajes que creó una regla automática para enviarlos a su carpeta de correo no deseado. Ella pensaba: Este es un problema de TI, ¿por qué tendría que leer todo eso?
Se puede enseñar a las personas a volar aviones de combate y a realizar cirugías cerebrales. Seguro que se les puede enseñar a reconocer y denunciar correos electrónicos sospechosos. Pero, ¿cómo puede una empresa superar la mentalidad de que no es mi problema?
Hay mucho que aprender de los educadores y el personal de marketing. La formación debe ser del tamaño de un bocado, centrarse en los temas más relevantes y basarse en la inmersión en las experiencias. Los métodos tradicionales, como los boletines y las presentaciones en PowerPoint, son demasiado pasivos. En el mundo actual, en el que la mayoría de nosotros padecemos algún grado de ADD sin saberlo, la formación tiene que ser más atractiva. Un enfoque que ha funcionado muy bien es simular los ataques contra los empleados y, justo en el momento en que «caen presas», presentar un breve módulo de formación. Otras sugerencias: No insista en el mal comportamiento de la gente. En cambio, entretenga, asegúrese de que su mensaje sea percibido como relevante para la audiencia y refuerce las conductas positivas. Utilice estudios de casos y anécdotas para hablar sobre los allanamientos y analizar lo que se podría haber hecho para evitarlos. Y, por supuesto, mida los resultados.
Enseñar a los ejecutivos puede resultar particularmente difícil. A menudo se da por sentado que no tienen tiempo para participar en el entrenamiento de seguridad. Una técnica que funciona es decir a los ejecutivos que quiere que vean lo que las bases van a experimentar en la formación. Muéstreles lo que ocurre cuando hacen clic en un enlace de un correo electrónico de suplantación de identidad y, a continuación, analice las consecuencias.
La formación es especialmente importante para los ejecutivos, porque representan una vulnerabilidad en las defensas de la empresa. Por un lado, sus puestos destacados facilitan a los piratas informáticos la búsqueda de mucha información sobre sus actividades e intereses, y esos datos se pueden utilizar para crear mensajes falsos. Por otro lado, siempre se apresuran a revisar sus bandejas de entrada si ven un mensaje que contiene un desencadenante emocional, como «La empresa XYZ presenta una demanda contra su empresa. Adjunte los detalles», harán clic. Por otro lado, dado que tan a menudo se excluyen de la formación en seguridad, puede que no tengan un conocimiento básico de las amenazas.
Con una formación inmersiva, las empresas pueden reducir la susceptibilidad media de los empleados a los ataques dirigidos por debajo del 10%. Los empleados formados no solo son mejores para evitar las trampas de la suplantación de identidad, sino que también pueden ser sus ojos y oídos, ya que alertan a los miembros pertinentes de los equipos de seguridad de la organización sobre los intentos de allanamiento.
Aun así, siempre tiene que pensar en el horario de cualquier formación: ¿cuánto tiempo pasarán los nuevos empleados en la plantilla antes de que se les enseñe para evitar hacer clic en los enlaces incorrectos y abrir archivos adjuntos potencialmente peligrosos?
Y tiene que estar al tanto de los cambios en las amenazas. En el horizonte cercano hay ataques que emplean la «suplantación de identidad conversacional», en la que una conversación que suena muy real pero generada por ordenador le hace pensar que está interactuando con alguien que conoce. Recibirá un correo electrónico de una dirección que reconozca y que diga simplemente: «Fue un placer hablar con usted». Unas horas más tarde, recibirá otro que dirá algo igual de inocuo. Muy pronto tendrá uno con un enlace.
Haga clic.
Datos bajo asedio
Un HBR Insight Center
Artículos Relacionados
Investigación: La IA generativa hace que la gente sea más productiva y esté menos motivada
Arreglar los chatbots requiere psicología, no tecnología
Los chatbots dotados de IA se están convirtiendo en el nuevo estándar para la gestión de consultas, reclamaciones y devoluciones de productos, pero los clientes se alejan de las interacciones con los chatbots sintiéndose decepcionados. La mayoría de las empresas intentan solucionar este problema diseñando mejores modelos de IA en sus chatbots, pensando que si los modelos suenan lo suficientemente humanos, el problema acabará desapareciendo. Pero esta suposición es errónea. Esto se debe a que el problema de fondo no es tecnológico. Es psicológico: Hay que engatusar a la gente para que vea a los chatbots como un medio positivo de interacción. Los autores han analizado recientemente las últimas investigaciones sobre chatbots e interacciones IA-humanos, y en este artículo presentan seis acciones probadas que puede llevar a cabo al desplegar su chatbot de IA para impulsar la satisfacción, la percepción positiva de la marca y las ventas.
Investigación: ¿Está penalizando a sus mejores empleados por desconectar?
Para combatir el creciente desgaste del personal, muchas empresas han defendido programas de bienestar y han fomentado un enfoque renovado en el equilibrio entre la vida laboral y personal. Pero un nuevo estudio descubrió que incluso cuando los líderes reconocían que desvincularse del trabajo aumenta el bienestar de los empleados y mejora su rendimiento laboral, los directivos seguían penalizando a los empleados que adoptaban estos comportamientos cuando optaban a un ascenso o estaban siendo considerados para un nuevo puesto. Basándose en sus conclusiones, los investigadores ofrecen sugerencias para ayudar a las empresas a crear políticas y construir una cultura que proteja los límites de los trabajadores, evite el agotamiento y recompense el trabajo fuerte.