Este mes, nuestro experto invitado es Perry Carpenter, Chief Evangelist y Strategy Officer de KnowBe4, una de las plataformas más populares en concienciación en ciberseguridad y simulación de phishing. Previamente, Carpenter fue analista principal de seguridad y gestión de riesgo en Gartner, donde asesoraba a empresas del Fortune 500 sobre programas de concienciación en ciberseguridad. El experto en el lado humano de la ciberseguridad responde:

¿Cuál es tu visión general sobre el estado de la ciberseguridad empresarial en 2017?

Lo que ha sido más alentador para mí este año es ver el trabajo en equipo que se ha hecho alrededor del mundo. Las amenazas, los vectores de ataque, los cibercrímenes con motivaciones financieras y las filtraciones masivas como la de Equifax no dejarán de incrementarse. Sin embargo, lo que ha resultado sorprendente es ver nacer una fuerte comunidad internacional que se reúne y comparte investigaciones en tiempo real para superar los obstáculos. En años anteriores hemos visto cómo algunas organizaciones se guardaban esa información y no la compartían, con el objetivo de monetizarla: construyendo parches, vendiendo las correcciones a proveedores de seguridad para que tuvieran acceso exclusivo a la solución… Este año, y creo que es algo novedoso, se comparte mucha inteligencia abiertamente entre los investigadores de seguridad y ha sido maravilloso verlo suceder.

¿Crees que los empleados son el eslabón débil en la ciberseguridad empresarial?

En general, los usuarios suelen ser el punto débil. Todos somos humanos, vulnerables en la medida en que nuestros cerebros están ensamblados. Los atacantes encuentran formas de manipularnos y hacernos llevar a cabo acciones dudosas, como clicar en un enlace, descargar un adjunto o infringir una política de la empresa. La buena noticia es que, como todo en la vida, los buenos patrones de comportamiento pueden también convertirse en hábitos. Los usuarios pueden ser puntos débiles, pero también podrían ser la última línea de defensa si condicionamos su comportamiento. Podemos hacer que nuestros empleados se conviertan en un escudo cuando los firewalls o sistemas de detección no perciben el problema mediante la generación de patrones de comportamiento y hábitos psicológicos que resulten en una “memoria muscular” lista para actuar basada en el conocimiento.

Perry Carpenter

¿Ante brechas de seguridad, tenéis algún proceso establecido o protocolo de empleados que se deba seguir?

Tenemos varios procesos, especialmente en el ámbito de la ingeniería social. Presentamos situaciones simuladas de phishing, preferiblemente sin ningún tipo de advertencia a los usuarios, y analizamos cómo reaccionan a ellas y los capacitamos para que puedan detectarlas en el futuro. Cuando expones frecuentemente a las personas a este tipo de amenaza, les enseñas las mejores prácticas y les permites equivocarse de forma segura las primeras veces, luego pueden reaccionar adecuadamente con la “memoria muscular” y patrones psicológicos que desearíamos que tuviesen. La clave es entrenar frecuentemente, hacerlo un hábito, como haríamos con cualquier otro aspecto vital o incluso como en el ejercicio físico: condicionar el músculo y no dejar que se atrofie.

¿Cómo podemos superar la denominada “fatiga de seguridad” y hacer que nuestros empleados prioricen la ciberseguridad?

BJ Fogg, un investigador del comportamiento humano de la universidad de Stanford, dice que los seres humanos coinciden en tres aspectos fundamentales: somos perezosos, somos seres sociales y somos criaturas de hábitos. En el ejemplo de la fatiga de seguridad para las contraseñas abarcamos los tres aspectos. Somos perezosos: queremos escoger la contraseña más fácil de recordar. Somos sociales: probablemente tengamos los mismos hábitos que la gente de nuestro alrededor; queremos que nos acepten y ser parte de un grupo. También, como somos criaturas de hábitos, escogemos una contraseña base y la cambiamos poniéndole un numero detrás. De “mono1” a “mono2”, y así sucesivamente. Para cambiar esto, tenemos que reforzar el porqué de nuestras políticas de seguridad, no solo decir que la ciberseguridad es importante. Debemos hacer lo que podamos para facilitar el cambio que queremos ver. Por ejemplo, puedes enseñar cómo una contraseña segura no tiene por qué ser difícil de recordar  basándote en la última recomendación del NIST. El objetivo final debe ser crear hábitos de ciberseguridad.

¿Cuáles son las principales conclusiones que debería extraer un empleado tras un entrenamiento en ciberseguridad?

La más importante: pensar antes de actuar. Nuestros reflejos automáticos podrían estar equivocados. Alguien podría estar manipulándonos basándose en emociones o un sentido de urgencia. Sin embargo, si nos detenemos un segundo y pensamos de forma lógica, podríamos obtener el resultado que nuestra empresa desea desde una perspectiva de seguridad.

Segundo, crear contraseñas seguras y tenerlo todo en orden en este aspecto. Es una de las cosas que podemos solucionar inmediatamente y, a pesar de que los gestores de contraseñas tengan una mala reputación, funcionan mejor que nuestro sistema mental. Productos como LastPass o KeePass son herramientas a tener en cuenta.

Por último, la información de nuestros clientes o empresa debe importarnos tanto como nuestros datos personales.

¿Qué consejo le darías a una empresa que desea mantenerse segura en el nuevo ecosistema de ciberseguridad?

Le diría que la seguridad es relativa. Vivimos en la era de la inseguridad. Todo el mundo y todos los sistemas están en peligro. Así que, en términos de seguridad, la clave está en determinar cómo manejamos estos peligros cuando nos enteramos de ellos y qué medidas tomamos para que no vuelvan a suceder. Mi consejo para las empresas que quieran enfrentarse al lado humano de la seguridad: no temáis los ataques simulados. Son la única forma de saber cómo actuarán vuestros empleados cuando el peligro real se acerque. Al simular ataques podemos condicionarlos para que sepan reaccionar con el comportamiento adecuado. Tenemos que quitarnos la venda de los ojos, intentar analizar la situación y actuar conforme a ella; no dejar que el peligro se nos adelante.