¡Fuego!, ¡Phishing! Distintas amenazas, misma estrategia

 

¡Fuego!, ¡Phishing! Distintas amenazas, misma estrategia

26/11/2014, por INCIBE

Piiiiiiii «POR FAVOR, HAY UN INCENDIO, ABANDONEN EL EDIFICIO», se escucha al fondo de la sala. Algunos corren directamente hacia el punto de encuentro, otros cogen el extintor más cercano e intentan sofocar el fuego y los encargados a tal efecto se aseguran de que nadie quede en el edificio tras avisar a los bomberos.

«¡QUE ME HAN ROBADO MI CONTRASEÑA A TRAVES DE PHISHING!», se escucha al fondo de la sala. La gran mayoría mira con estupor intentando identificar quién es el que ha gritado, otros avisan al servicio médico de que un compañero se ha vuelto loco.

Evidentemente no son situaciones o incidentes de seguridad comparables, teniendo en cuenta que el primero afecta directamente a la integridad física de las personas. Sin embargo, ambos son incidentes críticos en un entorno corporativo y ante los cuáles deberíamos reaccionar con la misma celeridad.

En el segundo caso, el trabajador había sido víctima de un phishing a través de su correo personal, en el que le habían sustraído su contraseña de acceso. El problema es que utilizaba esa contraseña para todo, es decir, que la contraseña que utilizaba para iniciar sesión en su correo personal, era la misma que para acceder al entorno corporativo de su empresa y esa mala práctica supone un riesgo de seguridad en el entorno corporativo.

Cuando un trabajador detecta que ha sido víctima de un phishing bien sea a través de su cuenta de correo personal o profesional, debe reaccionar y avisar a sus responsables. Sobre todo cuando las credenciales que han sido comprometidas a partir de éste ataque dan acceso a activos de información críticos para la estrategia del negocio o permiten el acceso a la infraestructura corporativa.

Cuando el empleado da la alerta sobre el peligro y sus compañeros y superiores no saben cómo proceder, todos los activos de información de la empresa está en jaque.

Este ejemplo refleja claramente la importancia de la implicación de las personas en el conocimiento e identificación de un riesgo (concienciación) y la gestión adecuada del mismo (formación). La concienciación y formación de los empleados en materia de ciberseguridad juega un papel fundamental en la gestión de la seguridad en las organizaciones.

A pesar de los grandes avances tecnológicos de los últimos años, y la aparición de dispositivos y entornos de seguridad más rápidos, eficientes y sofisticados, las personas seguimos siendo un pilar fundamental sobre el que se sustenta la ciberseguridad de las organizaciones. Como empleados de una organización, jugamos un papel clave en la gestión de la ciberseguridad por nuestra implicación en el cumplimiento de las políticas y normativas establecidas. El desconocimiento o desinformación de las mismas puede provocar que los empleados adoptemos actitudes de riesgo pudiendo generar un problema de ciberseguridad para la organización.

La realidad indica que por desgracia, es bastante común que los empleados veamos la ciberseguridad como un dolor de cabeza, algo que nos ralentiza y pone trabas en el desempeño de nuestras funciones. Esta visión provoca que mantengamos una actitud negativa hacia ella y deriva en una mala aplicación de las normativas definidas por los departamentos de seguridad o en la búsqueda de formas para “saltarse” las medidas de seguridad implementadas.

Para evitar este problema es necesario concienciar a todos los empleados sobre la importancia que tiene la ciberseguridad para la organización y el impacto que puede generar en la misma un incidente de ciberseguridad. Es necesario conocer el riesgo para poder gestionarlo. Haciendo alusión al ejemplo inicial, todos conocemos las consecuencias que puede tener un incendio, conocemos la amenaza, y hemos sido formados para saber cómo actuar en caso de que ocurra. En el ámbito de la ciberseguridad debemos seguir la misma estrategia.

El incremento de la conciencia en ciberseguridad de la organización ha de venir a través de la formación, el entendimiento y la percepción de los empleados sobre la misma. Con una particularidad, el rápido avance de las tecnologías y su aplicación en el ámbito laboral hace que aparezcan, casi de manera constante, nuevos riesgos a los que las organizaciones deben hacer frente.

Esta circunstancia hace necesario que la concienciación y formación de los empleados en materia de ciberseguridad sea una actividad constante en las organizaciones. Consiguiendo de esta manera que adopten pautas de comportamiento seguro en los distintos entornos en los que desempeñan su actividad profesional, mejorando así la cultura de ciberseguridad de la organización.

Ahora ya sabes lo importante que es una concienciación y formación constante en ciberseguridad, ¿a qué esperas? Por tu seguridad, la de tu empresa y la de tus clientes, ¡forma y conciencia continuamente a tus empleados en ciberseguridad! Para ello ponemos a vuestra disposición un kit de concienciación gratuito para implantar en vuestra empresa.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s