Los CISOs de las empresas se enfrentan al desafío desproporcionado de reclutar a todos los empleados de la compañía para proporcionar un frente común de defensa contra los intentos cada vez más numerosos y sofisticados de los ciberdelincuentes, de utilizarles como vector de entrada.
Bien lo saben Carlos Pérez Saldaña como CISO de Abanca y Javier Ruiz de Ojeda experto en GRC de Áudea. En las siguientes líneas se describe el proyecto que Abanca, en conjunción con Áudea y Kymatio, llevan a cabo con foco expreso en la operación (y constante rediseño) de una Oficina de Concienciación de Seguridad. Dicha experiencia fue expuesta en primicia en la última edición de Securmática (disponible resumen de la ponencia en la edición 158 de la revistasic158.pdf ) del cual hacemos un extracto en este post.
Si bien el mercado de la Ciberseguridad produce nuevas y mejores soluciones para ayudar con este problema, el responsable de Seguridad se encuentra con la dificultad añadida de tener que orquestar todos estos elementos de forma integrada y que permita obtener las sinergias que resultan de combinarlos de manera optimizada.
«Los atacantes recurren constantemente al error humano como vector de entrada, precisamente porque permite un atajo a la hora de sobrepasar las medidas defensivas»
Adicionalmente, pocas son las organizaciones que pueden permitirse disponer de personal interno dedicado exclusivamente a la concienciación de sus empleados, por lo que se hace necesario recurrir a servicios externos que puedan aportar la especialización y la experiencia necesarias para hacer frente a un enemigo que dedica todo su tiempo a la creación y difusión de nuevos ataques de ingeniería social y extorsión. Esto ha permitido a lo largo de las últimas décadas evolucionar las herramientas defensivas desde las píldoras y los coloquios con los empleados (que siguen manteniendo cierta eficacia) para pasar a simular ataques para que puedan entrenar sus capacidades defensivas, o incluso emplear funciones de inteligencia artificial para diseñar itinerarios formativos personalizados que impacten a los empleados de forma optimizada en función de su experiencia, capacidades, puesto, herramientas tecnológicas, etc.
El enfoque de Abanca involucra la segmentación de las acciones de concienciación en tres dominios:
1.- Aumentar el conocimiento de los empleados
Incrementear su conocimiento a nivel teórico sobre los tipos de ataques que pueden sufrir, las estrategias defensivas que pueden seguir y los organismos a los que pueden solicitar ayuda.
2.- Capacitar su comportamiento
Entrenar el comportamiento seguro del empleado proponiéndole situaciones prácticas y simulando ataques realistas para mejorar y medir su respuesta ante ellas. En este caso debe contarse con la capacidad de simular tecnológicamente estos ataques y de medir los resultados de su ciclo de vida para observar qué dificultades encuentran los empleados y cómo orientar la formación a futuro.
3.- Mejorar su compromiso con la misión de ciberseguridad del banco
Aumentar el compromiso del empleado con la misión de ciberseguridad del banco, consiguiendo que éste comprenda la importancia de ayudar en su defensa. Este componente suele dejarse de lado, pero es fundamental para entender por qué ciertos empleados a pesar de conocer las conductas que deben seguir aun así pueden no hacerlo, ya que puede tratarse de un problema motivacional. Para ello es fundamental contar con la capacidad de establecer itinerarios personalizados que refuercen los temas que cada empleado requiere.
«Es indispensable el uso de la herramienta Kymatio que aplica tecnología IA, siendo la única forma de conseguir el nivel de granularidad en la formación con su capacidad para medir de forma continuada tanto los conocimientos como el cambio de comportamiento.»
El artículo del equipo de ABANCA hace hincapié en el uso de la tecnología IA de Kymatio, la capacitación personalizada y la simulación de ataques realistas para medir y mejorar las respuestas de los empleados.
Además, destaca la importancia de estrategias de comunicación efectivas que involucren a varios departamentos como RRHH, Capacitación, Gestión del Cambio y Comunicación para garantizar el éxito del proyecto.
El estudio también profundiza en la necesidad de medir la efectividad de las actividades de concienciación mediante el establecimiento de indicadores relevantes. Estos indicadores no solo deben reflejar el estado actual y la evolución de las variables medidas, sino también demostrar el impacto de diferentes iniciativas, guiando los esfuerzos futuros para optimizar su efectividad.
El documento enfatiza la necesidad de un tablero integral que presente vistas especializadas para diferentes partes interesadas, permitiendo el monitoreo y la presentación de informes continuos sobre el progreso del proyecto.
Por último, destaca la importancia de una metodología basada en una medición efectiva, combinando diferentes dominios, servicios y tecnologías para facilitar la mejora continua en el proceso de concienciación en ciberseguridad.
El proyecto tiene como objetivo abordar el desafío en evolución de la gestión de riesgos cibernéticos humanos y la conciencia en ciberseguridad mediante la integración de servicios especializados, el aprovechamiento de datos y el uso de tecnologías avanzadas como la IA para adaptar la capacitación y medir las respuestas de los empleados de manera efectiva. El estudio resalta la importancia de acciones de concienciación segmentadas, capacitación personalizada y la participación de varios departamentos para garantizar el éxito del proyecto.
En el siguiente video de poco más de 1 minuto, nuestro CEO Fernando Mateus, nos resume algunos de los servicios más demandados de Kymatio y cómo ayudan a las organizaciones a cumplir con las normativas y a los empleados a incrementar el nivel de alerta en seguridad.
Recuerda que Kymatio® es la solución de gestión de ciberriesgo de empleados, concienciación en seguridad de la información y gestión del riesgo de exposición de credenciales «todo en uno», apóyate en la solución más avanzada del mercado para minimizar los riesgos.