La capacitación de los empleados es tan esencial como antivirus

PedroIvo cybersecurity, Fraud, News, Phishing 0 Comments

Fuente: Valor Econômico, por Leticia Arcoverde.

El año pasado, 30.000 empleados de JBS recibieron un correo electrónico con la información de que jugador de fútbol Neymar había dejado el equipo español Barcelona. Cuando se hace clic en el enlace que tomaría la noticia, se les dijo que habían tenido acceso a un sitio indebidas que podrían infectar su ordenador ya la red de la empresa. Luego fueron invitados a una formación que explica los peligros de los archivos abiertos, o enlaces desconocidos y cuidado para no correr el riesgo.

Enviar el correo electrónico fue organizado por JBS departamento de tecnología de la información en sí, con la ayuda de una herramienta de entrenamiento que simula un e-mail “phishing”, por lo que los empleados entiendan en la práctica cómo trabajan y aprenden a ciberataques evitarlos. La técnica es una de las medidas adoptadas por las empresas de hoy para proteger el creciente peligro que representan los delincuentes, quienes utilizan cada vez más el personal como una puerta de entrada a los ataques que pueden dar lugar a importantes pérdidas financieras.

Una reciente encuesta realizada por PwC señaló que el número de ataques informáticos registrados por las empresas brasileñas aumentó de 2,3000 a casi 8700 entre 2014 y 2015. Durante este período, el importe medio de las pérdidas financieras relacionadas con este problema era US $ 2,4 millones. En la percepción de unos 600 ejecutivos brasileños encuestados, la mayoría de los casos tienen origen probable propios empleados de la empresa (41%), número superior al promedio mundial (34%).

“El eslabón más débil es siempre el usuario, entonces el empleado a menudo termina siendo la puerta de entrada”, dice Fabio Picoli, gerente de la firma de seguridad Trend Micro información japonés. “Tenemos que hacer un gran trabajo de conciencia, y es importante la participación de la persona en el proceso.” Para los expertos en la materia, estos riesgos deben ser vistos como una responsabilidad de toda la sociedad, no sólo el departamento de TI.

La formación más común de generar simulaciones o cerca de los máximos de los casos los empleados, que muestra dónde existen vulnerabilidades en la rutina corporativa con la ayuda menudo ejemplos reales que tuvieron lugar en la empresa. Muchas compañías promueven campañas o eventos de sensibilización – Trend Micro ha mantenido conversaciones sobre el tema con la participación de más de 800 empleados.

También hay medidas como la liberación de ciertos sitios sólo en determinados momentos, y una técnica llamada “contenedores”, aplicaciones de separación y programas de uso profesional de los efectos personales en la celda, por lo que la información relacionada con el trabajo se intercambia sólo en entornos seguros.

El “director de información” (CIO) de JBS, João Pilla, explica que la empresa tiene un enfoque conservador cuando se trata de seguridad de la información. dispositivos particulares, tales como teléfonos móviles, tabletas o portátiles no se pueden utilizar por motivos de trabajo, y alrededor de ocho mil empleados que necesitan estas herramientas reciben los dispositivos de la empresa. Los empleados también firmar una exención de responsabilidad se detallan los límites y obligaciones que los usuarios de correo electrónico y la red corporativa.

Además de la inversión en herramientas de monitoreo y protección de los equipos, el departamento de TI produce videos cada seis meses sobre el tema. Aún así, Pilla, que está en el campo de la tecnología durante 25 años, dice que el control de seguridad de la información es ahora mucho más complejo debido a los avances tecnológicos y la división cada vez más tenue entre el uso personal y profesional de estas herramientas. “En seguridad de la información, es esencial para permanecer todo el tiempo golpeando la misma clave, o la gente se olvida.”

La formación de simulación era una alternativa que también permitió a la empresa para medir el nivel de conocimiento de los usuarios. La adopción, el año pasado, también dio lugar a un ahorro de costes porque sustituye una formación en directo sobre el tema. La primera vez que el mensaje fue enviado, el 10% de los 30.000 empleados hace clic en el enlace “malicioso”, y la otra mitad hizo la formación. En la segunda simulación – la protagonizada por Neymar – 20% menos de personas hicieron clic. “Nuestro objetivo es que este número no supera el 5%”, dijo Pilla.

Este año, el CIO tiene la intención de llevar a cabo una formación más a menudo con correos electrónicos de varios temas – después de todo, el hacker que quieren enganchar la atención de alguien hará un tema interesante. “La gente tiene que darse cuenta de que la compañía está tomando el cuidado de él para que hagan lo mismo”, dice.

Pedro Ivo Lima, director general de PhishX, compañía que ofrece formación de simulación como se hace en JBS, explica que la intención es educar al empleado por la fuerza de la costumbre, acondicionado le permitan identificar mensajes peligrosos. Ejemplos suelen ser elegidos por las propias empresas. Algunos envían correos electrónicos que simulan las comunicaciones internas, pero con el texto absurdo o lleno de errores – para probar la idea, según Lima, que muchos no siempre leen un mensaje antes de hacer clic en algo. “Las personas tienen patrones de comportamiento. En relación con la tecnología, todo el mundo quiere ser rápido”, dice.

El año pasado, la compañía hizo dos millones de simulaciones. En promedio, el 35% de los usuarios recibir correo electrónico “caída” en el mensaje. En una primera prueba, ninguna compañía registrado acceso a menos de 10%. “A partir de la cuarta prueba, la tendencia es a estar entre el 10% y el 20%. Nunca pasó de 0% o va a pasar”, enfatiza.

Después de un empleado hace clic en un archivo malicioso, este “malware” puede infectar no sólo a su equipo, sino a toda la red de la empresa. Los tipos de delitos que resultan de fallos en este rango de proceso desde el robo hasta el robo de información privilegiada, como contraseñas, datos financieros o detalles acerca de los productos que se pueden vender a los competidores.

Recientemente, el sitio de citas Ashley Madison había filtrado información que revela los usuarios de datos sensibles que buscan privacidad. La semana pasada, la aplicación Snapchat tenía datos de salarios después de que un hacker simulan un e-mail al gerente general de la compañía pidiendo información a un empleado de la gente del departamento robados. En el caso de las instituciones financieras, tiene acceso a la red puede permitir a los hackers realizar transacciones falsas.

Santander, una formación en línea específica sobre seguridad de la información es una de las obligatoria para todos los empleados del banco, y presenta problemas potenciales y ejemplos de lo que debe hacer, ir a través de los pasos básicos como la necesidad de bloquear el equipo antes de salir de la mesa . “Es importante para llevar el día a día, por la persona a entender lo que significa en su trabajo”, dice el vicepresidente de recursos humanos, Vanesa Lobato. La formación se actualiza y debe ser renovado cada año. El banco también promueve una semana de riesgo, que incluye el tema.

En opinión de Claudio Martinelli, gerente general de la firma de seguridad rusa Kaspersky Lab información en Brasil es cada vez más difícil para proteger la información dentro de las empresas. Una parte del riesgo proviene de la práctica de los empleados a utilizar dispositivos personales para el trabajo, el “traer su propio dispositivo”, considerado por Martinelli una tendencia de no retorno.

Para el socio del área de la propiedad intelectual y la tecnología de la información bufete de abogados Trench, Rossi e Watanabe, Flavia Rebello, en estos casos, es importante que la empresa tiene una política específica para la situación. Eso es lo que va a definir, por ejemplo, la capacidad de supervisar los programas de uso de negocio instaladas en un dispositivo personal, como lo haría con un dispositivo corporativo. La prohibición del uso de aplicaciones como Whastapp, Skype o Dropbox para el intercambio de información confidencial también debe ser explícita. “La recomendación es restringir la transferencia de documentos de negocio sólo para redes protegidas. Estas políticas ayudan a crear conciencia de que no todas las formas de comunicación es apropiado”, dice.

Según Martinelli, los delincuentes son cada vez más sofisticados para tratar de atacar a las empresas. Antes del correo electrónico “phishing”, fue única forma masiva – por ejemplo, cuando los hackers envían mensajes falsos de un banco a un gran número de personas, con la esperanza de llegar a los clientes de ese banco y caen. Ahora, con el uso de la ingeniería social, estos mensajes son más personalizado. Una estafa común en los últimos meses, descubierto por Kaspersky es el envío de archivos maliciosos a los profesionales del departamento de recursos humanos en los correos electrónicos que supuestamente contienen hojas de vida adjuntas.

Por estas razones, la conciencia de los empleados se vuelve cada vez más esencial como parte de la estrategia de negocio. “La seguridad de información tiene tres pilares: los servicios, como antivirus, las políticas de seguridad que limitan el acceso de los empleados a un tipo particular de sitio, y la educación, que es el más fundamental de todos Sin ella, los otros dos son raquítica.” dice Martinelli.

Leave a Reply

Your email address will not be published. Required fields are marked *