Los incidentes de phishing van en aumento. un informe de IBM muestra que el phishing fue el vector de ataque más popular en 2021, lo que provocó que uno de cada cinco empleados fuera víctima de técnicas de piratería de phishing.
La necesidad de capacitación en concientización sobre seguridad
Aunque las soluciones técnicas protegen contra las amenazas de phishing, ninguna solución es 100% efectiva. En consecuencia, las empresas no tienen más remedio que involucrar a sus empleados en la lucha contra los piratas informáticos. Aquí es donde entra en juego la formación en conciencia de seguridad.
Conciencia de seguridad la formación da a las empresas la confianza que sus empleados ejecutarán la respuesta correcta cuando descubran un mensaje de phishing en su bandeja de entrada.
Como dice el refrán, «el conocimiento es poder», pero la eficacia del conocimiento depende en gran medida de cómo se entregue. Cuando se trata de ataques de phishing, las simulaciones se encuentran entre las formas más efectivas de capacitación porque los eventos en las simulaciones de capacitación imitan directamente cómo reaccionaría un empleado en caso de un ataque real. Dado que los empleados no saben si un correo electrónico sospechoso en su bandeja de entrada es una simulación o una amenaza real, la capacitación se vuelve aún más valiosa.
Simulaciones Phishing: ¿Qué incluye la formación?
Es fundamental planificar, implementar y evaluar un programa de capacitación en concientización cibernética para garantizar que realmente cambie el comportamiento de los empleados. Sin embargo, para que este esfuerzo tenga éxito, debe implicar mucho más que simplemente enviar correos electrónicos a los empleados. Las prácticas clave a considerar incluyen:
- Simulaciones de phishing de la vida real.
- Aprendizaje adaptativo: respuesta en vivo y protección contra ataques cibernéticos reales.
- Capacitación personalizada basada en factores como el departamento, la antigüedad y el nivel de experiencia cibernética.
- Empoderar y equipar a los empleados con una mentalidad de ciberseguridad siempre activa.
- Campañas basadas en datos
Debido a que los empleados no reconocen la diferencia entre las simulaciones de phishing y los ataques cibernéticos reales, es importante recordar que las simulaciones de phishing evocan diferentes emociones y reacciones, por lo que la capacitación de concientización debe llevarse a cabo cuidadosamente. Dado que las organizaciones necesitan involucrar a sus empleados para combatir los ataques cada vez mayores y proteger sus activos, es importante mantener la moral alta y crear una cultura positiva de higiene cibernética.
Tres errores comunes de simulación de phishing.
Con base en años de experiencia, empresa de ciberseguridad Listo para Cybe ha visto a las empresas caer en estos errores comunes.
1 — Probar en lugar de educar
El enfoque de ejecutar una simulación de phishing como prueba para atrapar y castigar a los «infractores reincidentes» puede hacer más daño que bien.
Una experiencia educativa que implica estrés es contraproducente e incluso traumática. Como resultado, los empleados no pasarán por la capacitación, sino que buscarán formas de eludir el sistema. En general, el «enfoque de auditoría» basado en el miedo no es beneficioso para la organización a largo plazo porque no puede proporcionar la capacitación necesaria durante un período prolongado.
Solución #1: Sea sensible
Debido a que mantener una moral positiva de los empleados es fundamental para el bienestar de la organización, proporcione capacitación positiva justo a tiempo.
La capacitación justo a tiempo significa que una vez que los empleados han hecho clic en un enlace dentro del ataque simulado, se les dirige a una sesión de capacitación breve y concisa. La idea es educar rápidamente al empleado sobre su error y brindarle consejos esenciales para detectar correos electrónicos maliciosos en el futuro.
Esta también es una oportunidad para el refuerzo positivo, así que asegúrese de que la capacitación sea breve, concisa y positiva.
Solución #2: Informe a los departamentos relevantes.
Comuníquese con las partes interesadas relevantes para asegurarse de que estén al tanto de la capacitación continua sobre simulación de phishing. Muchas organizaciones se olvidan de informar a las partes interesadas relevantes, como Recursos Humanos u otros empleados, que se están realizando las simulaciones. El aprendizaje tiene el mejor efecto cuando los participantes tienen la oportunidad de sentirse apoyados, cometer errores y corregirlos.
2 — Use la misma simulación para todos los empleados
Es importante variar las simulaciones. Enviar la misma simulación a todos los empleados, especialmente al mismo tiempo, no solo no es instructivo sino que tampoco tiene métricas válidas cuando se trata de riesgo organizacional.
El «efecto de advertencia»: el primer empleado que descubre o se enamora de la simulación advierte a los demás. Esto prepara a sus empleados para responder a la «amenaza» anticipando la simulación, evitando así la simulación y la oportunidad de capacitación.
Otro impacto negativo es el sesgo de deseabilidad social, que hace que los empleados informen en exceso los incidentes a TI sin darse cuenta para ser vistos de manera más favorable. Esto conduce a un sistema sobrecargado y al departamento de TI.
Esta forma de simulación también conduce a resultados inexactos, como tasas de clics increíblemente bajas y tasas de informes excesivos. Por lo tanto, las métricas no muestran los riesgos reales de la empresa ni los problemas que deben abordarse.
Solución: modo goteo
El modo goteo permite enviar múltiples simulaciones a diferentes empleados en diferentes momentos. Cierto software soluciones incluso puede hacer esto automáticamente enviando una variedad de simulaciones a diferentes grupos de empleados. También es importante implementar un ciclo continuo para garantizar que todos los empleados nuevos se incorporen correctamente y para reforzar que la seguridad es importante las 24 horas del día, los 7 días de la semana, no solo marcar una casilla para el cumplimiento mínimo.
3 — Confiar en los datos de una sola campaña
Con más de 3400 millones de ataques de phishing por día, es seguro asumir que al menos un millón de ellos difieren en complejidad, idioma, enfoque o incluso tácticas.
Desafortunadamente, ninguna simulación de phishing puede reflejar con precisión el riesgo de una organización. Es poco probable que confiar en un solo resultado de simulación de phishing proporcione resultados confiables o una capacitación integral.
Otra consideración importante es que los diferentes grupos de empleados responden de manera diferente a las amenazas, no solo por su vigilancia, capacitación, puesto, antigüedad o incluso nivel de educación, sino porque la respuesta a los ataques de phishing también es contextual.
Solución: implementar una variedad de programas de capacitación
El cambio de comportamiento es un proceso evolutivo y, por lo tanto, debe medirse a lo largo del tiempo. Cada sesión de entrenamiento contribuye al progreso del entrenamiento. La efectividad de la capacitación, o en otras palabras, un reflejo preciso del cambio de comportamiento organizacional real, se puede determinar después de múltiples sesiones de capacitación y con el tiempo.
La solución más efectiva es realizar continuamente varios programas de capacitación (al menos una vez al mes) con múltiples simulaciones.
Es muy recomendable capacitar a los empleados de acuerdo a su nivel de riesgo. Un programa de simulación diverso y completo también proporciona datos de medición fiables basados en el comportamiento sistemático a lo largo del tiempo. Para validar sus esfuerzos en la capacitación efectiva, las organizaciones deben poder obtener una indicación válida de su riesgo en cualquier momento dado mientras monitorean el progreso en la reducción de riesgos.
Implementar un programa efectivo de simulación de phishing.
Crear un programa de este tipo puede parecer abrumador y llevar mucho tiempo. Es por eso que hemos creado un libro de jugadas de las 10 prácticas clave que puede usar para crear una simulación de phishing simple y efectiva. Simplemente descargar el libro de jugadas de CybeReady o reúnase con uno de nuestros expertos para una demostración de producto y descubra cómo la plataforma de capacitación de concientización sobre seguridad completamente automatizada de CybeReady puede ayudar a su organización a lograr los resultados más rápidos con prácticamente cero esfuerzo de TI.