Aprende cómo educar mejor a tu empresa sobre y combatir las amenazas de seguridad cibernética emergentes, como los correos electrónicos de phishing y el spam en calendarios.
La nueva amenaza de seguridad ha llegado — y está en nuestros calendarios. Los spammers han estado enviando invitaciones de Google Calendar que contienen enlaces, eludiendo los buzones y aprovechando la configuración predeterminada del calendario que permite que las invitaciones se muestren automáticamente, independientemente de si han sido aceptadas o no. Charlamos con nuestro gerente de riesgos y cumplimiento, Wes Andrues, sobre la mejor manera de educar a su empresa sobre las amenazas emergentes de ingeniería social en materia de seguridad (como el phishing o el spam en calendarios), y cómo el conocimiento generalizado puede ayudar a mantener su seguridad tecnológica interna.
Primero, un poco sobre Wes antes de sumergirnos en sus consejos: su experiencia incluye haber servido en el Departamento de Defensa y en los Comandos Cibernéticos del Ejército en el Pentágono, seguido de liderar el departamento de riesgo y cumplimiento en Dell SecureWorks. No hace falta decir que sabe de lo que habla.
El phishing NO es hacking — es peor
Mientras Hollywood quisiera que creyéramos que "hackear" involucra a un tipo tecleando furiosamente comandos en la terminal, ese tipo de vulnerabilidad ha sido en gran medida (aunque no completamente) desincentivada gracias a los programas de "recompensas por errores". Wes lo explica de esta manera: "Los programas de recompensas por errores permiten a las empresas decir: 'Te pagaremos si encuentras algo mal con nuestra aplicación.' No intentes hackearnos; solo dínoslo y te pagaremos.'"
"La ingeniería social elude ese intento de hackeo tradicional y va directamente a través de los humanos con acceso a datos — y eso ha demostrado ser mucho más efectivo."
Algunos son correos electrónicos de mala calidad, pero muchos son bastante convincentes, aprovechándose de nuestros miedos existentes a la exposición para… ¡exponernos! Solo necesitas que una persona entre en pánico para que la ingeniería social impacte a toda una empresa.
¿El caso clásico de una persona inteligente engañada por la ingeniería social? John Podesta. Hace dos años. El DNC. "Él hizo clic en el enlace para cambiar la contraseña que se oyó en todo el mundo," dice Wes. "Él es un abogado educado en Georgetown que cayó en ello, así que puedes ver por qué la ingeniería social ofrece muchas oportunidades sobre el hacking."
Cómo combatir eficazmente las amenazas de seguridad
Si los ataques de ingeniería social están diseñados para convencernos de que ya estamos expuestos, ¿cómo puedes, como empresa, educar a tus empleados para combatir el instinto natural de entrar en pánico? Aquí, Wes es inequívoco:
"Tienes que cambiar la cultura."
"En Guru, generalmente compartimos los intentos de phishing más graciosos que vemos — y por lo general intentan 'venir' de Rick [el CEO de Guru], quien parece necesitar constantemente nuestros números de teléfono. Es gracioso, pero tampoco lo es. ¿Qué pasaría si uno de nuestros CSM cayera en ello y diera un número de teléfono o una dirección de correo electrónico que luego se usara para acceder a nuestros clientes? Eso sería un gran problema. Afortunadamente, debido a que presentamos regularmente estas amenazas, podemos hablar de ellas y educarnos mutuamente sobre nuevas tácticas, lo que nos hace mucho más propensos a poder identificarlas."
Las empresas incluso pueden intentar ejercicios de phishing que permiten a su propio equipo de riesgos y cumplimiento enviar correos electrónicos de phishing falsos para ver quién en la empresa es propenso a caer en un ataque real, pero eso arriesga erosionar la confianza en el equipo. En cambio, aquí en Guru, Wes se aseguró de que todos en la empresa hicieron el Quiz de Phishing de Google Jigsaw con fines de capacitación.
Cómo no combatir las amenazas de seguridad
"Por alguna razón, en muchos casos, el estándar de oro en la industria es 'capacitar' a la fuerza laboral anualmente sobre seguridad de una manera pasiva. Todo el mundo ve un video o recibe un correo electrónico sobre los riesgos de responder al phishing, y luego el equipo de seguridad puede decir: 'Mira, todos vieron o leyeron esto, así que todos siguieron adelante.'"
Ese tipo de capacitación pasiva no enseña necesariamente a nadie cómo responder a un ataque o cómo identificar activamente esas amenazas, especialmente a medida que las tácticas cambian durante el año. Tu equipo de riesgos y cumplimiento debería mantener esa línea de diálogo abierta con una base de empleados más amplia y asegurarse de que sea una conversación continua.
La defensa más fuerte contra el phishing
"Al final, la defensa más fuerte contra el phishing es una desconfianza saludable," explica Wes. En un mundo ideal, estos tipos de amenazas no existirían, pero dado que existen, mantener una cantidad decente de escepticismo sobre las herramientas de las que dependemos es la única forma de permanecer realmente vigilantes.
La nueva amenaza de seguridad ha llegado — y está en nuestros calendarios. Los spammers han estado enviando invitaciones de Google Calendar que contienen enlaces, eludiendo los buzones y aprovechando la configuración predeterminada del calendario que permite que las invitaciones se muestren automáticamente, independientemente de si han sido aceptadas o no. Charlamos con nuestro gerente de riesgos y cumplimiento, Wes Andrues, sobre la mejor manera de educar a su empresa sobre las amenazas emergentes de ingeniería social en materia de seguridad (como el phishing o el spam en calendarios), y cómo el conocimiento generalizado puede ayudar a mantener su seguridad tecnológica interna.
Primero, un poco sobre Wes antes de sumergirnos en sus consejos: su experiencia incluye haber servido en el Departamento de Defensa y en los Comandos Cibernéticos del Ejército en el Pentágono, seguido de liderar el departamento de riesgo y cumplimiento en Dell SecureWorks. No hace falta decir que sabe de lo que habla.
El phishing NO es hacking — es peor
Mientras Hollywood quisiera que creyéramos que "hackear" involucra a un tipo tecleando furiosamente comandos en la terminal, ese tipo de vulnerabilidad ha sido en gran medida (aunque no completamente) desincentivada gracias a los programas de "recompensas por errores". Wes lo explica de esta manera: "Los programas de recompensas por errores permiten a las empresas decir: 'Te pagaremos si encuentras algo mal con nuestra aplicación.' No intentes hackearnos; solo dínoslo y te pagaremos.'"
"La ingeniería social elude ese intento de hackeo tradicional y va directamente a través de los humanos con acceso a datos — y eso ha demostrado ser mucho más efectivo."
Algunos son correos electrónicos de mala calidad, pero muchos son bastante convincentes, aprovechándose de nuestros miedos existentes a la exposición para… ¡exponernos! Solo necesitas que una persona entre en pánico para que la ingeniería social impacte a toda una empresa.
¿El caso clásico de una persona inteligente engañada por la ingeniería social? John Podesta. Hace dos años. El DNC. "Él hizo clic en el enlace para cambiar la contraseña que se oyó en todo el mundo," dice Wes. "Él es un abogado educado en Georgetown que cayó en ello, así que puedes ver por qué la ingeniería social ofrece muchas oportunidades sobre el hacking."
Cómo combatir eficazmente las amenazas de seguridad
Si los ataques de ingeniería social están diseñados para convencernos de que ya estamos expuestos, ¿cómo puedes, como empresa, educar a tus empleados para combatir el instinto natural de entrar en pánico? Aquí, Wes es inequívoco:
"Tienes que cambiar la cultura."
"En Guru, generalmente compartimos los intentos de phishing más graciosos que vemos — y por lo general intentan 'venir' de Rick [el CEO de Guru], quien parece necesitar constantemente nuestros números de teléfono. Es gracioso, pero tampoco lo es. ¿Qué pasaría si uno de nuestros CSM cayera en ello y diera un número de teléfono o una dirección de correo electrónico que luego se usara para acceder a nuestros clientes? Eso sería un gran problema. Afortunadamente, debido a que presentamos regularmente estas amenazas, podemos hablar de ellas y educarnos mutuamente sobre nuevas tácticas, lo que nos hace mucho más propensos a poder identificarlas."
Las empresas incluso pueden intentar ejercicios de phishing que permiten a su propio equipo de riesgos y cumplimiento enviar correos electrónicos de phishing falsos para ver quién en la empresa es propenso a caer en un ataque real, pero eso arriesga erosionar la confianza en el equipo. En cambio, aquí en Guru, Wes se aseguró de que todos en la empresa hicieron el Quiz de Phishing de Google Jigsaw con fines de capacitación.
Cómo no combatir las amenazas de seguridad
"Por alguna razón, en muchos casos, el estándar de oro en la industria es 'capacitar' a la fuerza laboral anualmente sobre seguridad de una manera pasiva. Todo el mundo ve un video o recibe un correo electrónico sobre los riesgos de responder al phishing, y luego el equipo de seguridad puede decir: 'Mira, todos vieron o leyeron esto, así que todos siguieron adelante.'"
Ese tipo de capacitación pasiva no enseña necesariamente a nadie cómo responder a un ataque o cómo identificar activamente esas amenazas, especialmente a medida que las tácticas cambian durante el año. Tu equipo de riesgos y cumplimiento debería mantener esa línea de diálogo abierta con una base de empleados más amplia y asegurarse de que sea una conversación continua.
La defensa más fuerte contra el phishing
"Al final, la defensa más fuerte contra el phishing es una desconfianza saludable," explica Wes. En un mundo ideal, estos tipos de amenazas no existirían, pero dado que existen, mantener una cantidad decente de escepticismo sobre las herramientas de las que dependemos es la única forma de permanecer realmente vigilantes.
