Una gran promesa con un gran atractivo. Eso se escucha mucho en el mundo de la ciberseguridad, donde a menudo se le promete una solución rápida y sencilla que se ocupará de todas sus necesidades de ciberseguridad, resolviendo sus desafíos de seguridad de una sola vez.
Podría ser una herramienta basada en inteligencia artificial, una nueva herramienta de gestión superior o cualquier otra cosa, y probablemente sería bastante eficaz en lo que promete hacer.
Pero, ¿es una bala de plata para todos sus problemas de ciberseguridad? No. No existe una solución fácil e impulsada por la tecnología para lo que realmente es el mayor desafío de la ciberseguridad: las acciones de los seres humanos.
No importa cuán avanzadas sean sus mejores defensas. Cortafuegos perimetrales, inicios de sesión de varios niveles, autenticación multifactor, herramientas de inteligencia artificial: todo esto se vuelve fácilmente ineficaz cuando Bob, de un departamento anodino, hace clic en un enlace de phishing en un correo electrónico.
esto no es noticia para nadie
Todos hemos escuchado esto antes. El hecho de que los humanos sean una falla clave en la estrategia de seguridad cibernética no es noticia o, al menos, no debería ser noticia. pero solo pregunta Uber o Juegos de estrellas de rock si pensaban que sus sistemas estaban a salvo de la ingeniería social.
Ambas compañías fueron violadas recientemente porque un pirata informático engañó a un empleado para que hiciera algo tan contrario a todas las mejores prácticas de seguridad que uno se pregunta si la persona que fue engañada alguna vez escuchó alguna noticia sobre seguridad de TI.
Incluso podría preguntarse si ese empleado tenía algún tipo de capacitación en seguridad cibernética.
En ambos casos, el ataque exitoso no involucró a un atacante muy sofisticado que usó herramientas de última generación mientras explotaba vulnerabilidades aún no reveladas.
Todo lo que se necesitó fue un simple mensaje de ingeniería social, algo como, “Hola Bob, soy del equipo de TI y necesitamos verificar algo en su PC, así que le enviaré una herramienta para que la ejecute. Simplemente haga clic en el enlace de abajo.”
Sin embargo, no estamos aprendiendo
La ingeniería social fue un impulsor de la piratería hace más de 20 años y, aparentemente, todavía no nos hemos alejado de ella.
Para colmo de males, la ingeniería social exitosa no se limita a organizaciones no técnicas.
Es muy plausible que un usuario inexperto en un departamento gubernamental atrasado pueda caer en la ingeniería social, por ejemplo, pero mucho menos alguien que trabaja en una empresa de tecnología líder, y vemos que tanto Uber como Rockstar Games se vieron afectados por la ingeniería social.
En algún momento, como profesional de la ciberseguridad con la responsabilidad de educar a sus usuarios y concienciarlos sobre los riesgos a los que ellos (y, por extensión, la organización) están expuestos, pensaría que sus colegas dejarían de caer en lo que es literalmente el truco más antiguo en el libro de jugadas de piratería.
Es concebible que los usuarios no estén prestando atención durante el entrenamiento o simplemente estén demasiado ocupados con otras cosas para recordar lo que alguien les dijo sobre lo que pueden hacer clic o no.
Sin embargo, los ataques de ingeniería social han estado tan constantemente en las noticias públicas, no solo en las noticias de seguridad cibernética, que la excusa “No sabía que no debía hacer clic en los enlaces de correo electrónico” es cada vez más difícil de aceptar.
Reforzar con fuerza el mensaje: esa es su única opción
No existe una solución mágica para las implicaciones de ciberseguridad del comportamiento humano.
Los humanos cometerán errores y, como en todos los caminos de la vida donde los humanos cometen errores repetidamente, reforzar la educación es realmente su única opción.
Si las empresas expertas en tecnología como Uber y Rockstar Games pueden equivocarse, también le puede pasar a cualquier otra persona. La única opción que tiene es impresionar las mejores prácticas de seguridad cibernética en cada empleado a través de programas educativos rigurosos.
Y no son solo los usuarios los que necesitan educación: también debe reforzar estas prácticas en su equipo de seguridad, cubriendo remendarpermisos y posicionamiento general de seguridad.
Siempre existirá el riesgo de que un usuario que tenga un mal día haga clic en un enlace que prometa que alguien en una parte remota del mundo está tratando de darle millones de dólares si solo visita ese sitio web.
Pero, como con todos los enfoques de ciberseguridad, el enfoque debe estar en minimizar y mitigar ese riesgo. Reforzarse y educarse constantemente es su mejor defensa.
Nota: Este artículo está escrito y patrocinado por TuxCareel líder de la industria en grado empresarial automatización de linux. TuxCare ofrece niveles inigualables de eficiencia para desarrolladores, administradores de seguridad de TI y Administradores de servidores Linux buscando mejorar y simplificar de manera asequible sus operaciones de ciberseguridad. Parches de seguridad en vivo del kernel de Linux de TuxCare y estándar y servicios de apoyo mejorados ayudar a asegurar y respaldar más de un millón de cargas de trabajo de producción.