Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Jugar para aprender: por qué es necesario cambiar la formación sobre concienciación de seguridad

La cofundadora de Elevate Security, Masha Sedova, habló en Black Hat USA 2020 sobre por qué la capacitación tradicional en concientización sobre seguridad es ineficaz y no logra cambiar el comportamiento de riesgo.

Los enfoques tradicionales para la capacitación en conciencia de seguridad son ineficaces para cambiar el comportamiento humano porque con demasiada frecuencia se centran en las consecuencias negativas en lugar de en el refuerzo positivo, según una nueva investigación de la startup de seguridad de información Elevate Security.

Durante Black Hat USA 2020, Masha Sedova, cofundadora de Elevate Security, compartió información de casi una docena de estudios de investigación de capacitación en seguridad y análisis de varias docenas de campañas de cambio de comportamiento de seguridad a más de 65,000 empleados en todas las industrias. La investigación se llevó a cabo durante 18 meses y Elevate extrajo datos de millones de informes de incidentes. La conclusión de Sedova fue que "el riesgo humano es uno de los mayores problemas sin resolver en materia de seguridad".

Esto se debe a que el factor humano juega un papel en muchos de los vectores de ataque utilizados por los actores de amenazas. "Si observamos el Informe de investigaciones de violación de datos de Verizon de este año, los riesgos humanos asociados con la acción humana son las principales razones por las que las violaciones son exitosas: phishing, robo de credenciales, abuso (ya sea de privilegios intencional o no intencional a través de errores) o mal manejo de información sensible", dijo Sedova.

Según el DBIR de Verizon 2020, el número de infracciones confirmadas el año pasado casi se duplicó. El DBIR de 2019 mostró que el 29% de las infracciones involucraron el uso de credenciales robadas, pero este año el número aumentó al 37%. La piratería y las infracciones en general, según el conjunto de datos de Verizon, son impulsadas por el robo de credenciales. "Más del 80% de las infracciones dentro de la piratería involucran la fuerza bruta del uso de credenciales perdidas o robadas", escribió Verizon en el informe.

Además, el "RSA Quarterly Fraud Report: Q1 2020", que examinó un total de 50,119 incidentes de fraude en todo el mundo, atribuyó el 54% a ataques de phishing. Los datos del Informe de factor humano 2019 del proveedor de seguridad de correo electrónico Proofpoint encontraron que más del 99% de las amenazas observadas requerían interacción humana para ejecutarse.

Masha Sedova, co-fundadora de Elevate Security, discutió sobre por qué el entrenamiento en concientización de seguridad debe usar refuerzos positivos en vez de castigos y penalizaciones.

Cambio de la formación de concienciación sobre seguridad

A pesar de los riesgos que plantea el factor humano, dijo Sedova, los enfoques empresariales para la capacitación en conciencia de seguridad no son muy efectivos. "Si ingresa a casi cualquier organización hoy en día, encontrará el mismo enfoque para este problema, y ​​es que [los] empleados reciben una capacitación anual única en materia de seguridad que silencian, saltan hasta el final y forzan las preguntas del cuestionario, lo que muestra su ineficacia", dijo Sedova.

Durante el panel virtual del jueves, Sedova compartió una investigación realizada por Deanna Caputo, una científica del comportamiento en Mitre, titulada "Haciendo Spear Phishing: Explorando el Entrenamiento Integrado y la Conciencia", un experimento de phishing simulado que encuestó a un grupo de 1,500 empleados.

"Descubrieron que los empleados se agrupan en cohortes y muchos empleados realmente hacían clic en todos los enlaces o en ninguno", dijo Sedova. "En cuanto a la capacitación, descubrieron que la capacitación no importaba. Cuando un empleado hacía clic, recibía una capacitación y luego recibía un correo electrónico de phishing en el futuro, el hecho de que recibiera capacitación no tenía ningún impacto en su desempeño".

En la propia investigación de Elevate, la compañía descubrió que, en promedio, los contratistas de corta duración en equipos grandes tienen más probabilidades de caer en un ataque de phishing, mientras que los empleados con sede en los EE.UU. que han estado en la compañía durante más de tres años, pero menos de 16, tienen menos probabilidades de caer en ataques de phishing.

La investigación también incluye conjuntos de datos sobre las capacitaciones completadas por los empleados.

"Descubrimos que no es una cuestión de conocimiento, porque ambos grupos realmente completaron la capacitación. Es una reflexión sobre ¿cuán importante creo que es la seguridad? ¿Vale la pena mi tiempo? ¿Me molestaré en hacerlo antes de la fecha límite o me presionarán para hacerlo?" cuestionó Sedova.

Un ejemplo de que el conocimiento no es suficiente se aplica a la seguridad de las contraseñas.

"Asumimos que, como profesionales de la seguridad, si supieran más, harían algo diferente", dijo Sedova. "Lastpass hizo un estudio en 2017 y entrevistó a cientos de usuarios de su plataforma y descubrió que una gran proporción sabe qué es una contraseña segura (91%). Sin embargo, cuando revisa las contraseñas que tienen, eligen las que son fáciles de recordar o las reutilizan un gran porcentaje del tiempo (61%)".

El ingrediente clave que falta en la capacitación en seguridad es la motivación, dijo Sedova. "Si no estoy motivado para aprender la información necesaria y elijo aplicarla, no cambiaré mi comportamiento". Luego, Sedova analizó la cuestión de cómo se vería si los empleados quisieran hacer seguridad, en lugar de ser forzados.

Hay tres técnicas que los equipos de seguridad pueden usar para reducir los riesgos humanos, como el phishing, las descargas de malware y el manejo de datos confidenciales, según Sedova: prueba social, gamificación y refuerzo positivo. Si bien los refuerzos negativos como la vergüenza y el castigo pueden cambiar los comportamientos de riesgo, dijo que los estudios indican que tienen efectos secundarios dañinos, como la reducción de la moral de los empleados.

Elevate aplicó pruebas sociales al phishing, la denuncia y la adopción del administrador de contraseñas.

"Al tomar conjuntos de datos de lo que hacen los empleados en una organización, se puede comparar las acciones de cada empleado con sus grupos de pares. Cuando comparamos acciones con personas que conocemos, es más probable que cambiemos nuestros comportamientos", dijo Sedova.

Ejemplos de gamificación son las tablas de clasificación o el uso de gráficos de fuerza de seguridad para comparar el comportamiento de los empleados.

"La gamificación es tomar parte de las cosas que hacen que los juegos sean exitosos y aplicarla a los negocios. ¿Por qué no usar esos métodos también en seguridad? ¿Y si tuviéramos algo en nuestra organización, como, por ejemplo, el número de días desde la última infección de malware?" dijo Sedova.

Otros proveedores de seguridad están de acuerdo en que el entrenamiento tradicional es ineficaz y han adaptado sus propios modelos.

"Mucha gente en seguridad lo considera como una capacitación anual que se realiza todos los años", dijo Jadee Hanson, CISO de Code42. "La forma en que enfocamos la capacitación en seguridad es muy diferente. Sí, hacemos la lista de verificación de cumplimiento, pero para mí la conciencia de seguridad es mucho más una cuestión cultural que estamos impulsando en toda la empresa. Hacemos esto de varias maneras diferentes y sucede todos los días. Creo que la conciencia de seguridad en su forma más efectiva son las correcciones diarias que ocurren en toda la organización."

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close