Estrategias de educación de los empleados que trabajan para cambiar el comportamiento.

Estrategias de educación de los empleados que trabajan para cambiar el comportamiento.

Estrategias de educación de los empleados que trabajan para cambiar el comportamiento.

Publicado: 28 de mayo de 2019 por 

Cuando las personas toman la decisión de ponerse en forma, tienen que dedicar el tiempo y la energía para hacerlo. Ir al gimnasio una vez no lo va a cortar. Lo mismo ocurre cuando se trata de cambiar la cultura de una organización . Para ser efectivo en cambiar el comportamiento de los empleados, la capacitación debe ser continua y relevante.

La tecnología está evolucionando rápidamente. Cada vez más, las nuevas soluciones son capaces de defender mejor la empresa contra actores maliciosos desde dentro y desde fuera, pero las herramientas por sí solas no pueden proteger contra los ataques cibernéticos.

El informe de investigación de violaciones de datos de 2019 (DBIR) de Verizon encontró que:

Si bien la piratería y el código malicioso pueden ser las palabras que más resuenan entre las personas cuando se utiliza el término «violación de datos», existen otras categorías de acción de amenazas que han existido por mucho más tiempo y aún son ubicuas. La ingeniería social, junto con el uso indebido, el error y lo físico, no se basan en la existencia de la cibernética.

En resumen, la gente importa. La educación de los empleados importa.

El enfoque tecnológico para asegurar la empresa ha comenzado a desmoronarse en la última década, según Lance Spitzner, director de investigación y comunidad del Instituto SANS. “El desafío al que nos enfrentamos es que siempre hemos percibido la ciberseguridad como un problema técnico. Los malos usan la tecnología para atacar la tecnología, así que concentrémonos en usar la tecnología para asegurar la tecnología «, dijo Spitzner.

Cada vez más, las organizaciones han llegado a comprender que también tenemos que abordar el problema humano. Los hallazgos del DBIR de este año son evidencia de que el comportamiento humano es un problema para la seguridad de la empresa. Según el informe:

  • El 33 por ciento de las violaciones de datos incluyeron ataques sociales.
  • 21 por ciento resultó de errores en eventos casuales
  • El 15 por ciento de las infracciones se debió a un uso incorrecto por parte de usuarios autorizados.
  • El 32 por ciento de las violaciones involucradas al phishing.
  • El 29 por ciento de las violaciones involucró el uso de credenciales robadas

Llamando a todos los interesados

Algunas organizaciones aún están implementando el anticuado entrenamiento anual por computadora y se preguntan por qué su programa de conciencia de seguridad no está funcionando. A pesar de que el equipo de seguridad entiende que deben hacer más, crear un programa efectivo de educación para empleados requiere la participación de una variedad de diferentes partes interesadas, dijo Perry Carpenter, evangelista jefe y oficial de estrategia de KnowBe4 y autor de Transformational Security Awareness: Qué neurocientíficos, narradores de historias y los especialistas en marketing pueden enseñarnos sobre cómo conducir conductas seguras .

“Si se quedan estancados una vez al año, tienen que encontrar una manera de justificar el cambio, por lo que hay algunas ventas que tienen que hacer a su equipo ejecutivo para obtener soporte para comunicaciones más frecuentes y más presupuesto. Esencialmente es el toque más alto que tienen que vender «, dijo Carpenter.

Incluso aquellas organizaciones que no tienen el presupuesto para utilizar un proveedor externo pueden encontrar formas de crear contenido atractivo, lo que significa que los equipos de seguridad tienen la tarea de tener que justificar la necesidad de un mayor compromiso de los empleados.

Una forma de vender esa necesidad, según Carpenter, es aprovechar el efecto psicológico conocido como la decadencia del conocimiento. “Vamos a algo y dos días después, olvidamos la mayor parte del contenido. Cuanto más nos alejamos de él, más irrelevante, desconectado e invisible se vuelve «.

La evidencia muestra que una mayor frecuencia de educación sobre seguridad es el primer paso hacia la creación de un programa de concientización más atractivo. «En todas las cosas que haces, estás fortaleciendo o permitiendo la atrofia», dijo Carpenter.

Una vez que tenga la participación para poder hacer crecer realmente el programa de concienciación de seguridad de la empresa, debe descubrir cómo conectarse con las personas. Es por eso que Carpenter es un fanático de un enfoque de marketing que utiliza varios canales.

Dado que algunas personas aprenden mejor visualmente, mientras que otras prefieren la instrucción en persona, la identificación de los formularios de contenido más atractivos para los diferentes empleados informará los tipos de capacitación necesarios para que el programa tenga éxito.

No más muerte por PowerPoint

Los antiguos programas de capacitación basados ​​en computadoras desarrollados por auditores han hecho poco para defender a la empresa contra los sofisticados ataques de phishing. Si quiere que la gente se preocupe por la seguridad, necesita construir un puente entre la tecnología y la gente.

A veces, aquellos que tienen una alta habilidad técnica no son expertos en comunicarse con las personas. «Tradicionalmente, algunos de los mayores bloqueadores de los programas de concientización eran personas de seguridad que creían que si el contenido no era técnico no era seguridad», dijo Spitzner.

Ahora, los profesionales de la seguridad están comenzando a darse cuenta de que los empleados responden de manera diferente a una variedad de vectores de ataque, por lo que Omer Taran, cofundador y CTO de CyberReady dijo que recopilar y analizar datos de rendimiento en tiempo real es crucial para crear una mejor educación de sensibilización programa.

«Los ‘planes de tratamiento’ especialmente diseñados deben incluir una frecuencia ajustada, recordatorios oportunos, simulaciones personalizadas y contenido de capacitación que ayude a reformar este grupo particularmente susceptible», dijo Taran.

Empoderar a los empleados

Para que las empresas se mantengan un paso por delante de los ciberdelincuentes, los programas de educación de sus empleados deben ser atractivos. Es por eso que construir una cultura consciente de la seguridad es uno de los pasos más importantes que puede tomar la organización.

“Los procesos y las políticas están bien, pero si no está ganando los corazones y las mentes y no está ganando la aceptación de los empleados, es probable que no se inicie. A los malos no les importa lo bien escritas que estén sus políticas, o incluso si tiene alguna «, dijo Lisa Plaggemier, evangelista jefe de Infosec.

También es importante no jugar el juego de la culpa. Más bien, dijo Plaggemier, «capacitar a los empleados con campañas de concientización y capacitación de buena calidad, que se realizan a través de un programa que influye en el comportamiento»

Para que la protección contra fraudes cibernéticos y el fraude sean partes clave de la cultura de su empresa, Plaggemier recomendó que los líderes y gerentes consideren estos consejos:

  • Sé un ejemplo. Los líderes tienen la capacidad de cambiar actitudes, creencias y, en última instancia, el comportamiento de los empleados. Si los líderes están tomando atajos de seguridad que ponen a la compañía en riesgo, los empleados no creerán que la compañía tome en serio todo lo posible para mantener un lugar de trabajo seguro.
  • Ser claro Donde la confusión puede crear una cultura de comportamientos reactivos en lugar de proactivos, la claridad ayuda a priorizar el trabajo. Deje en claro que proteger a la empresa es una prioridad principal al crear políticas escritas y tener procesos y procedimientos claros establecidos.
  • Ser repetitivo . La repetición es clave para inculcar buenos hábitos de seguridad en sus empleados. Los seres humanos crean nuevos hábitos a lo largo del tiempo al repetir sus acciones. Aliente a los empleados a realizar esas tareas fuera de lo común, como llamar a un proveedor para confirmar que realmente le pide que cambie su cuenta de «pago a», se convierta en rutina.
  • Sea positivo . El miedo, la incertidumbre y la duda no son buenos motivadores. En su lugar, utilice un lenguaje que empodere a sus empleados. Haga que las personas sientan que son importantes en la información que comparte con ellos para que puedan ser mejores, más inteligentes y más confiados en sus decisiones cuando se enfrentan a algo potencialmente malicioso

Saber cuándo vale la pena el riesgo: Explicando el software de riesgo

Knowing when it’s worth the risk: riskware explained

 

Si hay una cosa que me gusta más que los cuestionarios de preguntas, son las citas. Citas positivas, inspiradoras y motivacionales. Citas que imparten un grado de sabiduría antigua, o aquellas que te hacen detenerte y considerar. Leerlos derrite nuestros miedos, tristezas y sentimientos de insuficiencia.

Algunas de las citas más inspiradoras nos instan a tomar riesgos para encontrar un significado. Si no te arriesgas, dicen, no podrás lograr cosas notables. El mayor riesgo, dicen, no es correr ningún riesgo.

Pero cuando se trata de seguridad informática, todo lo que sale por la ventana. Tomar riesgos en el software que descarga en sus dispositivos no es una receta para el éxito. Incluso si los programas son intrínsecamente benignos, algunos pueden tener características que pueden ser utilizadas en su contra por personas con intenciones maliciosas. De eso no puede salir nada bueno.

¿De qué programas de riesgo estás hablando?
¿Te perdí en «citas»? Eso está bien. Estos programas de software que contienen funciones que pueden abusarse fácilmente se conocen como software de riesgo. Pueden venir preinstalados en su dispositivo informático o son descargados e instalados por malware.

¿Cómo puede algo legítimo ser un riesgo?
Dicho software fue diseñado para tener características poderosas para que pueda hacer lo que fue programado. Desafortunadamente, los actores de amenazas pueden usar y / o abusar de esas mismas características como parte de un ataque o campaña más amplio contra un objetivo. Riskware contiene lagunas o vulnerabilidades que pueden ser explotadas por los ciberdelincuentes y las amenazas que desarrollan.

Por ejemplo, hay aplicaciones de monitoreo disponibles en el mercado que los individuos privados, las escuelas y las empresas utilizan para cuidar de sus seres queridos, ver lo que hacen sus estudiantes o verificar las actividades de los empleados. Aquellos con mala intención podrían tomar el control de estas aplicaciones para acechar a ciertas personas o capturar información confidencial a través de las pulsaciones de registro.

Leer: Cuando el spyware se convierte en la corriente principal

Riskware también puede estar en dispositivos móviles. En Android, hay aplicaciones creadas con una función de instalación automática que tienen derechos de nivel de sistema y vienen preinstaladas en los dispositivos; por lo tanto, no se pueden eliminar (pero se pueden desactivar). El auto instalador que detectamos como Android / PUP.Riskware.Autoins.Fota, sin embargo, no se puede desactivar manualmente. Una vez que se explota, se puede usar para instalar de forma automática malware en dispositivos susceptibles.

Tenga en cuenta que si instala software que su programa antimalware detecta como software de riesgo, entonces solo necesita asegurarse de que su programa de seguridad esté actualizado para mantenerse seguro.

¿Cómo puedes saber qué software es riskware?
Hay diferentes niveles de intenciones maliciosas y capacidades para todo el software. De hecho, debe suponerse que cualquier programa tiene fallas y vulnerabilidades potenciales que pueden ser explotadas. Sin embargo, existen criterios para determinar qué se considera malware frente a software de riesgo, y qué software se considera «seguro».

Pieter Arntz, investigador de inteligencia de malware y experto en software de riesgo, deja esto en claro cuando dijo que el software de riesgo se puede clasificar según los riesgos para los datos y dispositivos involucrados.

«En mi opinión, existen algunas categorías principales de software de riesgo, y puedes dividirlas por el tipo de riesgo que presentan», dijo Arntz. “Algunos conllevan riesgos para el sistema porque introducen vulnerabilidades adicionales, como Windows sin licencia con actualizaciones deshabilitadas. Algunos suponen un riesgo para el usuario porque su uso está prohibido por ley en algunos países, como las herramientas de pirateo ”.

Arntz continúa: “Algunos monitorean el comportamiento del usuario. Cuando se trata de un diseño, un software puede etiquetarse como software de riesgo en lugar de software espía. Algunos suponen un riesgo para el sistema porque, por lo general, están acompañados de malware real y su presencia puede ser indicativa de una infección. [Y] algunos suponen un riesgo para el usuario porque su uso está en contra de los Términos de servicio de otro software en el sistema, como grietas «.

¿Cuál es la diferencia entre riskware y PUP?
Riskware y los programas potencialmente no deseados (PUP) son similares en cuanto a que su mera presencia podría abrir los sistemas a la explotación. Por lo tanto, no es sorprendente que los usuarios puedan compararse entre sí. Sin embargo, existen diferentes criterios para clasificar el software de riesgo y los PUP.

Los programas pueden denominarse software de riesgo porque ponen al usuario en riesgo de alguna manera al:

Violar los términos de servicio (ToS) de otro software o una plataforma de usuario en el dispositivo.
Bloquear otra aplicación o software para que no se actualice y parche.
Ser ilegal en el país del usuario.
Potencialmente utilizado como puerta trasera para otros programas maliciosos.
Ser indicativo de la presencia de otro malware.
Mientras que los programas pueden ser considerados PUP porque:

Pueden haber sido instalados sin el consentimiento del usuario.
Pueden ser apoyados por anuncios agresivos.
Pueden ser agrupadores o parte de un paquete.
Pueden ser engañosos u ofrecer una falsa sensación de seguridad.
Independientemente de si un programa es un PUP o software de riesgo, es importante evaluar críticamente si el software es tan útil y relevante como una molestia o un problema.

Una semana en seguridad informática (13 – 19 de mayo)

Una semana en seguridad (13 - 19 de mayo)

Una semana en seguridad (13 – 19 de mayo)

Publicado: 20 de mayo de 2019 por 

La semana pasada, Malwarebytes Labs revisó kits de explotación activos y únicos dirigidos a consumidores y empresas por igual, informó sobre una falla en WhatsApp utilizada para atacar a un abogado de derechos humanos y escribió sobre un importante parche de Microsoft que tenía como objetivo evitar un ataque de «nivel WannaCry». También perfilamos el ransomware Dharma, Daka CrySIS, e impartimos cuatro lecciones del ataque DDoS contra el Departamento de Energía de los Estados Unidos que interrumpió las operaciones principales.

Otras noticias de ciberseguridad.

  • Las agencias de seguridad cibernética de Canadá y Arabia Saudita emitieron avisos sobre grupos de piratería que explotan activamente las vulnerabilidades del servidor Microsoft SharePoint para obtener acceso a empresas privadas y redes gubernamentales. Un parche diferente para la falla, que fue designado oficialmente como CVE-2019-0604 , ya estaba disponible a partir de febrero de este año. (Fuente: ZDNet)
  • Los diferentes actores detrás del adware se esfuerzan por ser legítimos, o al menos buscan la parte. Una de las formas en que intentaron hacer esto fue un descubrimiento reciente de una pseudo-VPN llamada Pirate Chick VPN en un paquete de adware. Sin embargo, el software es en realidad un troyano que impulsa el malware, en particular el ladrón de información de AZORult. (Fuente: Bleeping Computer)
  • El intercambio de SIM , el acto fraudulento de convencer a un operador de telefonía móvil para que intercambie el número de teléfono de un objetivo a una tarjeta SIM de propiedad del criminal, se duplicó en Sudáfrica. Esta estafa se usa para desviar tokens de SMS entrantes utilizados en cuentas habilitadas para 2FA. (Fuente: BusinessTech)
  • Los ataques de ransomware en ciudades de Estados Unidos están en alza . Hasta el momento, ha habido 22 ataques conocidos este año. (Fuente: ABC Action News)
  • Según un informe de The Citizen Lab, Typosquatting está de vuelta en el radar e imita a los principales sitios web nuevos en línea para publicar noticias falsas o informes de desinformación . Algunos de los sitios copiados fueron Politico, Bloomberg y The Atlantic. El grupo detrás de esta campaña es Endless Mayfly, una «cadena de suministro de desinformación» iraní. (Fuente: The Citizen Lab)
  • No es de extrañar aquí: los investigadores de la Universidad Carlos III de Madrid (Universidad Carlos III de Madrid) y la Universidad Stony Brook de los Estados Unidos descubrieron que los teléfonos inteligentes Android están plagados de software informático , lo que crea riesgos de privacidad y seguridad ocultos para los usuarios. (Fuente: Blog de seguridad desnuda de Sophos)
  • De acuerdo con una encuesta, las organizaciones que utilizan la nube para almacenar PII estaban considerando volver a los medios locales para almacenar datos debido a preocupaciones de seguridad de la nube. (Fuente: Netwrix)
  • La Oficina del Comisionado de Información de Australia (OAIC, por sus siglas en inglés) publicó recientemente un informe sobre sus hallazgos sobre violaciones en la atención médica , que sigue siendo un problema continuo. Encontraron que tales violaciones fueron causadas principalmente por errores humanos. (Fuente: CRN)
  • Los sitios web de los minoristas se enfrentan continuamente a miles de millones de intentos de piratería cada año , según un informe de Akamai Technology. Los consumidores deben tomar esto como una llamada de atención para dejar de reutilizar las credenciales en todas sus cuentas en línea. (Fuente: BizTech Magazine)
  • Tras el descubrimiento de Meltdown y Spectre, fallas de seguridad encontradas en los chips Intel y AMD, varios investigadores han descubierto otra falla que podría permitir a los atacantes espiar cada pieza de datos de usuario que toca un procesador. Intel llama colectivamente a los ataques contra esta falla como un Microarquitectural Data Sampling (MDS). (Fuente: Wired)

4 lecciones que aprender del ataque DDoS del DOE

4 lecciones que aprender del ataque DDoS del DOE

4 lecciones que aprender del ataque DDoS del DOE

Publicado: 17 de mayo de 2019 por 

Analistas, investigadores, profesionales de la industria y expertos por igual han planteado los peligros de la «red inteligente» de la próxima generación, particularmente cuando se trata de la ciberseguridad. Advierten que sin las medidas correctas establecidas, los partidos sin escrúpulos podrían causar estragos en la mayoría de la sociedad causando graves cortes o algo peor.

Es una posibilidad real, pero hasta ahora, ha sido algo que es en gran parte de naturaleza hipotética. En marzo, una compañía eléctrica no identificada informó un «evento cibernético» al Departamento de Energía (DOE) que causó grandes interrupciones en sus operaciones. Si bien el evento no causó un apagón o una escasez de energía, se comparó con el impacto de una interrupción importante, incluidos eventos como tormentas severas, ataques físicos y escasez de combustible.

Es fácil descartar esto como un evento único, especialmente porque, como resultado, no hubo interrupciones energéticas en el público. Pero, de hecho, se debe inferir exactamente lo contrario de esto. Es simplemente el primer dedo del pie sobre la línea en un mundo donde los ataques cibernéticos se vuelven cada vez más peligrosos, lo que pone de relieve la necesidad de comprender y mejorar la seguridad en el futuro.

¿Qué lecciones se pueden aprender de este ataque y qué se puede hacer para mitigar el riesgo en el futuro?

1. La interrupción viene en muchas formas

Casi inmediatamente, el ataque podría ser rechazado porque no causó cortes de energía ni interrupciones graves, pero ese es el tipo de enfoque de avestruz en la arena que conduce a la vulnerabilidad en el futuro. Las interrupciones o retrasos pueden venir en muchas formas, especialmente para los proveedores de servicios públicos.

Cuando se identifica un ataque, los equipos de respuesta apropiados deben dedicar recursos para lidiar con la ola que se aproxima. Básicamente, eso cuesta horas y dinero valiosos, pero también está alejando a esos equipos de tareas más importantes. Un ataque particularmente desagradable puede hacer que las cuadrillas hagan una pausa o demoren ciertas actividades simplemente para cooperar con una investigación. Eso podría hacer que un proveedor pierda eficiencia, capacidades o algo peor.

Como mínimo, los proveedores que incurren en costos significativos necesitarían recuperar el dinero de alguna manera, y eso probablemente se revertirá en los precios. Es difícil imaginar que un ataque cibernético menor tenga tal impacto en el mercado, pero es una posibilidad definitiva.

2. Muchos ataques cibernéticos son fácilmente evitables.

Los ataques cibernéticos sofisticados pueden causar muchos daños, pero muchos de ellos pueden prevenirse fácilmente con la seguridad adecuada en su lugar. Según un funcionario, el evento de DOS informado al DOE ocurrió debido a una vulnerabilidad de software conocida que requería un parche para corregirlo, un parche que también se había publicado anteriormente. Golpear «actualizar» habría frustrado el ataque.

No hay más información sobre lo que, específicamente, fue atacado. Podrían haber sido computadoras o estaciones de trabajo, u otros dispositivos con acceso a Internet o herramientas de red. Los atacantes podrían haber robado datos, archivos propietarios o sistemas en espera de rescate. Sea cual sea el daño hecho, podría haberse evitado fácilmente.

Un estudio reciente reveló que se evitó el 87 por ciento de todos los ataques enfocadosdesde enero hasta mediados de marzo de 2018. Esto se logró a través de una combinación de medidas, la primera fue la adopción de tecnologías innovadoras.

Pero, tan importante para detener los ataques es construir una base de seguridad sólida y proactiva. Este último requiere un mantenimiento atento de los sistemas y dispositivos en cuestión, lo que incluiría la actualización de la tecnología y la aplicación de parches de seguridad para ataques conocidos.

3. Los ataques DDoS deben tomarse en serio

Los ataques DoS y DDoS de hoy son diferentes, ya que son más viciosos, puntiagudos y capaces. Originalmente, lanzar un ataque DDoS significaba enviar una gran cantidad de solicitudes a una dirección IP que sobrecarga los sistemas relacionados y bloquea solicitudes legítimas. En general, aunque estos ataques provienen de diferentes equipos y fuentes, utilizan métodos de solicitud menos complejos.

El problema con el panorama actual no es solo que los ataques se hayan vuelto más sofisticados, sino que hay muchos más canales potenciales. La botnet Mirai , por ejemplo, aprovechó dispositivos IoT como cámaras de seguridad, tecnología de hogares inteligentes y más. A su vez, esto hace que la escala y la capacidad del ataque sean mucho más fuertes porque hay muchos más dispositivos involucrados y hay muchos más datos que fluyen hacia los sistemas específicos.

Un ataque masivo de denegación de servicio distribuido puede acabar con los sitios web de la compañía, redes completas o, en el caso de Mirai, casi toda Internet. Para los proveedores de servicios públicos, este tipo de ataque podría resultar desastroso para las operaciones, inundando los servidores y equipos de la red con solicitudes y bloqueando las comunicaciones oficiales.

Los ataques DDoS deben tomarse más en serio, y el mundo empresarial de hoy debe centrarse en prevenir y proteger de ellos tanto como cualquier otra amenaza. La mayoría de los proveedores de servicios en la nube ya hacen un gran trabajo de protección contra estos ataques. Se convierte en un problema real cuando los hackers pueden aprovechar las vulnerabilidades existentes, tal como lo hicieron con el evento DOE.

4. No son limitados en el tiempo

En el informe de TechCrunch sobre el incidente, se reveló que el ataque causó «interrupciones en el funcionamiento del sistema eléctrico» durante un período de más de 10 horas. Diez horas es una cantidad decente de tiempo, y proporciona una idea de cuán prolongadas pueden ser estas amenazas. Los ataques de capa de red pueden durar más de 48 horas, mientras que los ataques de capa de aplicación pueden durar días. Infiltración de sistemas y redes de espionaje – semanas y meses.

Añade otra capa al problema, más allá de la seguridad general. Estos ataques pueden durar períodos de tiempo cada vez más prolongados, y cuando se trata de proveedores de servicios públicos y de la red inteligente, esto podría significar interrupciones prolongadas del servicio.

¿Imagina estar sin energía o agua durante más de 60 días debido a un sofisticado ataque DDoS? Si bien no es probable, este escenario resalta la necesidad de encontrar soluciones de respaldo al problema.

Por ejemplo, ¿qué hacen estos proveedores para garantizar que los servicios se respaldan y respaldan adecuadamente durante los cibereventos a gran escala?

La ciberseguridad debe ser una prioridad.

El punto clave aquí es que la ciberseguridad, en general, debe ser una de las prioridades más altas para todas las entidades que operan en el panorama actual, incluidos los proveedores de servicios públicos. Estos ataques se han vuelto sofisticados, dirigidos, capaces y más desenfrenados.

El argumento que se debe hacer no es necesariamente que la protección contra cualquier forma de ataque deba ser más importante que otras. Es que todas las amenazas deben tomarse en serio, incluidos los ataques DDoS, que son cada vez más comunes. Para empeorar las cosas, hay un conjunto mucho mayor de canales y dispositivos con los que se pueden originar los ataques, y se pueden llevar a cabo durante largos períodos de tiempo.

Este mayor riesgo plantea algunas preguntas adicionales. ¿Está la red inteligente realmente lista para el horario estelar? ¿Se puede esperar competir contra tales amenazas? Si la ciberseguridad se integra en su diseño, tiene una posibilidad de lucha.