El mejor momento para que nuestros usuarios aprendan

Al enfrentarse a un programa de concienciación, es muy común que a los responsables de seguridad les surja la siguiente pregunta: ¿Cuál es el mejor momento para que mis usuarios vean los contenidos de concienciación y entrenamiento?

Frente a la misma, si bien hay varias respuestas válidas, hoy vamos a analizar una que a primera vista puede sonar poco seria: “El mejor momento para hacerlo, es el momento en el cual aprender un tema o idea en particular sea más fácil para el usuario”.

Esta respuesta puede parecer bastante obvia y a la vez difícil de llevar a cabo… ¿Cómo sabemos cuál es ese momento para cada usuario?

El momento perfecto

La idea detrás de esto proviene del concepto de “Teachable Moments” o “Momentos Educativos” en español. Este concepto se volvió popular en el ámbito de la educación en el año 1952 con la publicación del libro de Robert Havighurt, “Human Development and Education”.

Robert explica en su libro que sólo será posible para una persona aprender un concepto en particular cuando el momento sea el adecuado. Dicho momento se conoce como “Momento Educativo”. Según él, a menos que sea el momento adecuado, el aprendizaje no ocurrirá.

En este orden de ideas Robert recomendaba repetir puntos importantes en la enseñanza de los niños para que haya más probabilidades de que el concepto sea mencionado cuando se produzca el momento educativo de cada niño en particular.

Este concepto ha ido evolucionando con el correr del tiempo y se ha adaptado a las diversas etapas de aprendizaje que las personas tienen a lo largo de su vida. Además, se han encontrado maneras de detectar cuándo una persona está en un momento de aprendizaje e incluso también existen técnicas para generar dichos momentos.

Generando Momentos Educativos en un programa de concienciación

Si llevamos estos conceptos a nuestros programas de concienciación, veremos que un buen momento para mostrar al usuario qué hábitos de su día a día ponen en peligro su información, es justamente cuando dicho usuario lleva a cabo hábitos inseguros.

Imaginemos que queremos enseñar a un usuario que es inseguro hacer clic sin pensar en enlaces de correos electrónicos. Podremos enviarle un Newsletter con cierta frecuencia para recordárselo e incluso darle una capacitación sobre enlaces peligrosos, lo cual será realmente provechoso para el mismo.

Pero si queremos llegar más allá, podemos usar el concepto de Momento Educativo. Lo que podríamos hacer es crear el momento adecuado de aprendizaje mediante el uso de una simulación de Phishing. El momento en que un usuario hace clic en el enlace peligroso de nuestra simulación sería nuestro Momento Educativo inducido, y por lo tanto, el momento perfecto para mostrar el material de capacitación que corresponda. De esta manera (según las teorías sobre Momentos Educativos) el material de capacitación tendrá un nivel de asimilación realmente elevado y ocurrirá un aprendizaje significativo.

Conclusión

Haciendo una analogía con el principio de que la seguridad debe ser implementada en capas, creo que la educación también debe ser brindada a los usuarios de esta manera. Por eso, a la pregunta que dió inicio a este post, no le daría una única respuesta, pero sí tendría en cuenta tanto el concepto de Momentos Educativos como otros igualmente útiles y válidos para ir utilizando y encarando el cambio de hábitos de los usuarios desde diferentes ángulos de manera de aprovechar las ventajas de cada enfoque.

Los Momentos Educativos en particular son realmente útiles debido a que tienen un gran impacto en los usuarios y mediante las herramientas apropiadas, es posible inducir los momentos de aprendizaje más relevantes (clics en enlaces peligrosos, ingreso de datos en formularios de Phishing, descarga de archivos maliciosos, etc.) y enseñar a cada usuario en el momento en que mejor nos va a entender.

Leer Más

¿Prestas atención a lo que publican tus usuarios en sus Redes Sociales?

Muchas veces, como responsables de seguridad de la información, relacionamos el riesgo de una fuga de información con la intervención de un ciberdelincuente. Si bien esto es cierto en muchos escenarios, debemos también tener en cuenta que sin esta figura, la fuga de información también es posible.

En este orden de ideas, trataremos sólo un escenario particular, relacionado con las tan extendidas Redes Sociales.

La vida en las redes sociales

Quienes vivimos pendientes del ámbito de la seguridad, seguramente tengamos un comportamiento más reservado dentro de las redes sociales, pero este es el caso especial. El caso común, es que las personas publiquen prácticamente todo lo que pasa en sus vidas en sus múltiples redes sociales. Esto, por supuesto, incluye selfies en sus puestos de trabajo, pequeños videos acerca de qué están haciendo hoy, o hasta una orgullosa captura al proyecto de marketing que acaban de finalizar para su organización.

Fotografía de un puesto de trabajo de la Agencia de Emergencias de Hawai, donde se ve un post-it con una contraseña - Fuente

 

¿Qué solemos hacer frente a este problema?

La acción más común en estos casos es censurar. Prohibir el acceso a redes sociales dentro de la organización, monitorear su uso, colocarlas en listas negras y demás.

Ésta, sin embargo, no es la mejor decisión. Lo primero que causará es el descontento de las personas. A nadie le gusta que le prohiban hacer cosas ni establezcan estrictos controles sobre lo que hace. Por otro lado, este tipo de controles sólo serán eficientes puertas adentro. No habrá forma de prohibir a una persona que al llegar a su casa publique la foto que sacó en horario laboral.

Cambiando el enfoque hacia una mejor decisión

Volviendo a lo que mencionábamos al inicio de este post, el común de las personas no piensa en términos de seguridad. Entonces, si hacen una publicación en sus redes sociales con información confidencial de la organización o información de su vida privada, seguramente lo han hecho por negligencia, por no ser conscientes de las consecuencias que sus publicaciones puedan tener y por considerar a estas redes como inofensivas.

Por esto, lo más importante es que cada persona entienda por qué debe tener cuidado con lo que publica en sus redes sociales, tanto a nivel personal como en lo referido a la organización en la que trabaja.

¿Cómo lograrlo?

Mediante la educación, enseñando y reforzando de manera periódica a una persona los riesgos de un uso descuidado de sus redes sociales, la manera de cuidar su privacidad en ellas, cómo afectan sus publicaciones a su familia y a su organización, cuáles son las consecuencias laborales que puede acarrear una publicación y un largo etcétera. Al tomar conciencia, una persona comenzará a tener un cuidado mayor al utilizar sus redes sociales y por ende disminuirá el riesgo de una fuga de información por estos medios.

Conclusión

Como siempre se recomienda en materia de seguridad, debemos aplicar distintas capas de protección sobre nuestra información, de manera que la probabilidad de que un riesgo se materialice sea tan baja como nuestra organización necesite.

Una capa indispensable para proteger nuestra información de una fuga mediante redes sociales es la concienciación y entrenamiento continuo de las personas que son, en última medida, quienes están en contacto directo con la información en su día a día laboral.

Leer Más

SMARTFENSE recibe el primer premio del programa Cybersecurity Ventures de INCIBE

Luego de 4 meses de formación y mentoring con expertos, sumado a las actividades de networking con inversores y empresas dentro del programa Cybersecurity Ventures, nuestra experiencia llega a su fin de la mejor manera: ¡SMARTFENSE ha sido declarada la empresa ganadora del programa!

Nuestro CEO, Mauro Graziosi, levantando el primer premio del programa

El día 21 de Febrero de 2018, en las instalaciones de The Cube Madrid, tuvo lugar el Demo Day, día final del programa de aceleración, donde las startups participantes defendieron su pitch final ante un numeroso jurado compuesto por representantes de fondos de inversión, grandes corporaciones e instituciones públicas.

Con un auditorio lleno, nuestro CEO, Mauro Graziosi enfrentó el desafío de describir en un pitch de 7 minutos todo el trabajo realizado tanto dentro como fuera del programa de aceleración.

Una vez finalizadas las presentaciones de todos los participantes, y luego de un Cocktail de Networking lleno de ansiedad, el jurado anunciaba a SMARTFENSE como ganador del programa de aceleración.

Para tomar esta decisión el jurado ha valorado, por cada startup, el grado de innovación y ventaja competitiva, la identificación del mercado objetivo, el modelo de negocio y escalabilidad, la tracción comercial actual y futura, y la adecuación del equipo promotor para la consecución de hitos futuros. 

Agradecimientos

Agradecemos tanto a INCIBE, impulsor de este programa, como a las entidades colaboradoras, la Junta de Castilla y León, el Ayuntamiento de León y el Instituto Leonés de Desarrollo Económico, Formación y Empleo, por esta oportunidad única y por el reconocimiento que nos han brindado.

Además, agradecemos al gran grupo humano formado por todos los expertos de Tecnalia a cargo del proceso de mentoring y formación del programa y a los emprendedores que nos acompañaron durante el mismo (Dinoflux, Dualogy, Ensotest, Ironchip, Keynetic, Kymatio, Newralers, Securekids y Syneidis). Su presencia hizo de este programa un lugar de gran aprendizaje y sana competencia.

Por último, damos las gracias tanto a nuestros familiares y amigos como a nuestros partners, clientes y todas aquellas personas que se han tomado el tiempo de acompañarnos, brindando su apoyo, consejos y fuerzas para avanzar a paso firme durante todo el programa.

Este suceso marca un hito muy importante dentro del camino que con orgullo, decisión y gran motivación seguiremos recorriendo en SMARTFENSE.

¡Muchas gracias!

Leer Más

Qué hacer si alguien secuestra nuestras cuentas online

Introducción

En varias ocasiones me han hecho la pregunta que da título a este artículo y es por ello que me he puesto a escribir sobre el tema. El objetivo es dar pautas generales respecto a qué hacer cuando alguien toma posesión de las credenciales de nuestra cuenta (ya sea de correo, homebanking, redes sociales, o cualquier otra).

Pasos a seguir

Estos son los pasos que, a mi criterio, hay que seguir si descubrimos que una de nuestras cuentas fue vulnerada:

 

Paso 1. Dar aviso inmediato a quien corresponda

Este tip es el más importante, y cobra mayor relevancia cuando se trata de cuentas de Homebanking o sitios que posean nuestra información financiera.

Es importante notificar de manera urgente a la entidad correspondiente de manera presencial o por teléfono. Cada entidad tendrá procedimientos predefinidos para este tipo de casos y nos guiará de la mejor manera para solucionar nuestro problema.

Si no es posible una comunicación directa, como suele suceder en el caso de servicios masivos como Facebook o Twitter, debemos seguir los pasos que detallan en sus sitios oficiales para dar aviso de nuestra situación. A continuación, un ejemplo de la ayuda que brindan algunos servicios populares:

• Gmail
• Outlook.com
• Yahoo!
• Facebook
• Twitter
• Instagram

Hecho esto, podemos continuar con algunos pasos extra por nuestra propia cuenta:

Paso 2. Iniciar sesión en la cuenta del servicio afectado

Debemos intentar iniciar sesión tan pronto como nos enteremos o sospechemos que nuestra cuenta está en manos de otra persona, considerando estos 2 casos:

• Si ya no se puede acceder a la cuenta, restablecer la contraseña por email u otro canal disponible (SMS, llamada telefónica).
• Si esto no es posible, deberemos ponernos en contacto con los administradores del sitio para informar la situación y recuperar nuestro acceso.

Una vez que podamos tener acceso a nuestra cuenta, podemos continuar con:

Paso 3. Cambiar la contraseña inmediatamente

Como nuestra contraseña es conocida por otra persona, debemos cambiarla por una nueva. Si nuestra contraseña anterior era utilizada en más de una cuenta, deberemos cambiarla en todas las cuentas en la que la utilizábamos. Es por esto que hay que evitar el uso de una única contraseña para múltiples cuentas.

El siguiente gráfico muestra un caso poco feliz, aunque real, sobre cómo se podrían interconectar las cuentas de nuestros servicios con una cuenta de email:

¿Usarías la misma llave para tu casa, tu negocio y tu auto? Fuente

Paso 4. Activar el doble factor de autenticación

Se recomienda activar esta opción siempre que sea posible, ya que de esta manera una persona que se haga con nuestras claves de acceso no podrá iniciar sesión en nuestras cuentas, ya que necesitará de un segundo factor que no tendrá.

Los procedimientos de los servicios más populares para activar el doble factor son:

• Gmail
• Outlook
• Twitter
• Linkedin
• Instagram
• Facebook
• Dropbox

Para encontrar una lista extendida recomiendo visitar TwoFactorAuth.

Paso 5. Revisar la cuenta

Es importante ingresar a la cuenta afectada para encontrar actividades sospechosas o cambios de configuración. Para asegurarse que todo esté en orden, hay que revisar:

• Última actividad, para ver si hay algo nuevo que nosotros no realizamos, como una transferencia en caso de una cuenta bancaria, o un post en caso de una red social.
• Cuentas vinculadas, para ver si se agregó una nueva cuenta que no nos pertenece.
• Preguntas de seguridad, para comprobar que no han sido modificadas.

Esto es necesario ya que una persona que tome posesión de nuestra cuenta intentará dejar abierta una “puerta trasera” para volver ingresar a la misma cuando lo desee. 

Paso 6. Mantener la atención a correos recibidos a posteriori del incidente

Es probable que luego del incidente recibamos correos falsos o estafas que podrían incluir amenazas con publicar información de nuestra cuenta, avisos de movimientos en nuestra cuenta bancaria, notificaciones de compras con nuestra tarjeta de crédito, o similares. En consecuencia, debemos estar atentos para no caer en la trampa.

Para interiorizarse en el tema, se puede leer esta serie de posts sobre Ingeniería Social, el arte de engañar a los usuarios.

Conclusión

Cualquier persona o empresa puede ser víctima de este tipo de incidentes. Si bien siempre debemos tomar medidas para prevenir el robo de nuestras claves de acceso, no está de más conocer la manera correcta en la que debemos actuar para reaccionar de la mejor manera en caso de que nos suceda.

Leer Más

Cuando el recurso más valioso de la organización se transforma en amenaza

¿Qué es un delito informático y quiénes lo cometen?

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” [1]. La informática puede ser el medio o el fin de esos actos delictivos llevados a cabo por individuos malintencionados [2]. Por ejemplo, en la informática como medio un ciber delincuente utilizaría un ordenador para acceder sin permiso a un sistema y robar información para después venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la informática es un fin sin importar el medio utilizado para lograrlo.

¿Dónde está el foco de la seguridad en las organizaciones y qué se descuida?

Cuando se habla de delitos informáticos lo más habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro que residen fuera de la organización. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos. 

Estadísticas de delitos informáticos y fugas de datos en relación con los empleados

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversación de fondos o ataques de venganza tras haber sido despedidos. Según un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el 34% de la información de las organizaciones se ve comprometida intencionalmente por el personal interno [3]. Otro artículo publicado por Heimdal Security en 2016 indica que el 59% de los empleados roba información de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo está en los usuarios con accesos privilegiados [4]. Esta información robada es la que posteriormente sería utilizada para cometer diversos tipos de delitos.

¿Para qué se utiliza comúnmente la información robada por los empleados?

La 10ma Edición del “2017 Data Breach Investigations Report“ de Verizon alerta que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye: proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje [5].

¿Cómo suelen los empleados hacerse con la información?

La fuente mencionada anteriormente también indica que los empleados logran acceder a la información que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

¿Qué motiva a un empleado a robar información?

Según el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la información de la empresa al resultar tentado con la ganancia financiera. 

¿Por qué el empleado se anima a delinquir?

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).

¿Cómo prevenir estos delitos y cómo reducir las consecuencias en caso de que ocurran?

La implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos informáticos por parte de los mismos. Además, las políticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consuma algún tipo de delito.

La correcta implementación de políticas y gestión de contraseñas y controles de acceso son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusión

A la hora de llevar adelante la gestión de seguridad de la información la organización debería considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una riesgosa exposición. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas - y lo sabe - y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Fuentes

• https://es.wikipedia.org/
• http://www.delitosinformaticos.info/
• https://consulting.ey.com/
• https://heimdalsecurity.com/blog/
• https://thebestvpn.com/cyber-security-statistics-2018/
• “2017 Data Breach Investigations Report“, Executive Summary, Verizon.
• “2017 Data Breach Investigations Report”, “10th Edition”, Verizon
• Shon Harris y Fernando Maymí. “Capítulo 1-4: Computer Laws and Crimes”. All In One CISSP Exam Guide. 7th Ed. McGraw Hill Education.

Leer Más