Maksim Kabakou - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Phishing: Proteger, educar y limitar el daño

¿Cuáles son los tipos más eficaces de controles de seguridad y enfoques de capacitación de usuarios finales para tratar el phishing?

El phishing es un problema perenne. Tradicionalmente, las organizaciones más grandes han sido el foco de los atacantes con el objetivo principal de obtener acceso a las redes.

Sin embargo, el ransomware, con sus motivos principalmente financieros, cambió el juego y de repente se hizo tan válido apuntar a las PyMEs como a las grandes corporaciones. No solo eso, sino que, en muchos aspectos, las PyMEs son mucho más fáciles de sufrir brechas porque a menudo carecen del presupuesto para invertir en contramedidas técnicas y los recursos para educar a los empleados.

La clave para minimizar la probabilidad de un ataque exitoso es reconocer que el phishing requiere que una persona realice una acción. Por lo tanto, deben adoptarse las siguientes actividades:

1. Reduzca las oportunidades para que los usuarios encuentren un intento de phishing

El primer nivel de protección es técnico. Si los usuarios no encuentran un intento de phishing, entonces no hay una decisión para que ellos tomen que podría resultar en un ataque. Hay un ecosistema fuerte alrededor de la tecnología antiphishing y antimalware, y es importante que esto esté habilitado tanto para el correo electrónico como para los navegadores.

2. Mejore la toma de decisiones de los usuarios

La tecnología no es infalible y los intentos de phishing todavía pueden pasar. Como se ha indicado, la interacción humana es necesaria para que un ataque de phishing funcione, ya sea un malware que podría estar haciendo clic en un enlace y/o corriendo un programa ejecutable (intencional o no), o un usuario que introduce sus detalles en una página web que da como resultado el robo de credenciales.

La medida más eficaz en la cual las organizaciones pueden invertir es mejorar la concienciación de los usuarios a través de la educación y las pruebas. La educación es más eficaz si es relevante para la audiencia a la que se dirige, y se entrega de una manera que es fácil de consumir para ellos.

Muchas organizaciones están optando por reforzar las campañas de concientización en curso con ejercicios periódicos de phishing en su personal y en cualquier tercero que tenga acceso a la red. Hemos observado una fuerte correlación entre la calidad de las campañas de sensibilización y los resultados de las simulaciones de phishing, en particular cuando los fallos son seguidas con educación adicional.

3. Limite el daño

En algún momento, los controles mencionados anteriormente fallarán y un usuario descargará algo que no debería o regalará sus credenciales de red.

Los dispositivos deben estar protegidos por una protección antimalware eficaz y actual, y las organizaciones deberían tener procedimientos definidos para hacer frente a una brecha de la red. Muchos de los costos asociados con una brecha de red se deben a la reducción de la productividad como resultado, tanto de la brecha, como de las actividades subsiguientes de remediación. Esto debe tenerse en cuenta en la planificación de la recuperación.

El uso de la autenticación multifactorial proporciona una buena protección contra la pérdida de credenciales y se utiliza más comúnmente para controlar el acceso a recursos y servicios tanto dentro de la red de una organización, como de los servicios externos en la nube.

Richard Hunt es director gerente de Turnkey Consulting.

Próximos pasos

Más sobre seguridad:

Biometría, la apuesta de las empresas latinoamericanas para un ciber entorno seguro

Consejos de expertos para mejorar la seguridad de sus dispositivos móviles

Detección de anomalías en la red: la herramienta antimalware esencial

Este artículo se actualizó por última vez en noviembre 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close