miércoles, 30 de diciembre de 2020

Podcast: el Usuario y la Cultura segura, claves para la Ciberseguridad

Podcast: el Usuario y la Cultura segura, claves para la Ciberseguridad


El mundo cambió. Tras un año de pandemia, ¿cuáles son las claves en ciberseguridad para el 2021 y el futuro más próximo?

Pedro Adamović, Chief Information Security Officer de Banco Galicia, elegido uno de los mejores responsables de Ciberseguridad del mundo por la comunidad de negocios Hottopics.ht y la empresa Forcepoint, y Mónica Valle, periodista especializada en ciberseguridad y directora de Bit Life Media, presentaron su visión. Ambos especialistas participaron en el episodio “5. Ciberseguridad, ¿es un tema central para el negocio?” de la serie de podcasts “La pregunta correcta” realizada por Infobae.


La aparición del coronavirus significó la migración al trabajo remoto para millones de personas y la transformación digital de empresas, tareas, procesos y procedimientos, particularmente en el sector financiero. Así, nuevos escenarios se abrieron para los ciberdelincuentes. Proliferaron los ataques de phishing e ingeniería social, sobre todo a usuarios inexpertos de banca online. En este sentido, Adamović y Valle coinciden en afirmar que el usuario concientizado es fundamental en la lucha contra el cibercrimen. Una persona atenta e informada no hará clic en un enlace malicioso ni brindará sus datos personales antes de chequear la confiabilidad de la fuente.

La mayoría de los ataques ocurridos en 2020 no intentaron franquear densas infraestructuras de compañías, vulnerabilidades de sistemas o fallas en bases de datos, sino que llegaron a través de los diferentes canales de comunicación personales -emails, mensajes de texto, llamadas telefónicas-. Como explica Adamović, el vector principal de ataque es el correo electrónico. El objetivo fundamental es el robo de información y el pedido de rescate a posteriori.

¿Por qué hablar de una cultura segura?

Todas las personas y todas las organizaciones (sin importar su tamaño ni la industria), son pasibles de ser atacadas. En este contexto, la clave es la cultura.

La cultura se refiere al nivel de conciencia del usuario sobre las acciones que puede hacer o no, y cómo estar protegido ante cualquier amenaza. Adamović explica que son cuestiones prácticas, del día a día: bloquear la PC al levantarse del escritorio, no dejar papeles con información confidencial expuestos, usar contraseñas complejas, analizar el correo electrónico antes de dar clic en un enlace o archivo adjunto. Lo resume en la frase “Lentos con el clic, rápidos con la mente”.  

Para Valle, la formación de los usuarios es fundamental para la generación de hábitos seguros. “Se suele decir que los usuarios son el eslabón más débil, pero a mi me gusta decir que los usuarios somos la última barrera de ciberseguridad”. “Si estamos bien formados y concientizados sobre los tipos de riesgos que existen y cómo funcionan, no haremos clic en el enlace ni descargaremos software malicioso o el archivo adjunto que nos ha llegado al correo. Esta barrera -junto con otras soluciones- evitará que la empresa sea atacada, concluye la periodista.

¿Qué otras medidas de ciberseguridad debe tomar una organización?

Además de la formación y concientización de los usuarios en ciberseguridad, las organizaciones deben atender otros aspectos relevantes:

  • El presupuesto asignado a la ciberseguridad debe ser suficiente para implementar una estrategia adecuada a la organización, considerando las mejores soluciones a implementar. Valle menciona los modelos “zero trust” o “confianza cero” que hacen referencia al cifrado y seguridad total de los datos.
  • El monitoreo de las amenazas debe ser 7x24.
  • La resiliencia, entendida como la capacidad de reacción y recuperación de la organización ante un ataque.

Adamović aclara que las organizaciones suelen invertir millones de dólares en tecnología, recursos humanos, procesos y capacidad de respuesta. No obstante, si un usuario hace clic en un lugar donde no debía hacerlo, el problema es enorme.

Consideraciones finales

Adamović y Valle plantean el escenario actual y recomiendan las mejores respuestas a los problemas de ciberseguridad. Como ellos, desde SMARTFENSE apostamos a la concientización de los usuarios como uno de los factores más importantes para combatir el cibercrimen y crear una cultura cibersegura: el usuario consciente no abrirá puertas a los ciberdelincuentes, sino que mantendrá segura la información sensible, coadyuvando a la continuidad del negocio.

Fuentes

https://www.infobae.com/tecno/2020/12/21/robos-digitales-cuales-son-los-aprendizajes-en-ciberseguridad-que-dejo-la-pandemia/ 

https://open.spotify.com/episode/66tuiyPr7KsvLh7pbN6Xxt?go=1&utm_source=embed_v3&t=0&nd=1

Leer Más

martes, 8 de diciembre de 2020

Checklist rápido para crear su primera campaña de Phishing

Checklist rápido para crear su primera campaña de Phishing


Para establecer una línea base de comportamiento de los usuarios de la organización es fundamental lanzar simulaciones de Phishing y posteriormente, analizar los resultados. Pero, ¿por dónde empezar? ¿Cuáles son los pasos necesarios para crear una primera campaña?


Alcance y Autorización

  • Establezca el alcance y los objetivos de su campaña de simulación de Phishing. 
  • Asegúrese de solicitar autorización explícita dentro de la organización para realizar este tipo de evaluaciones.

Contenidos

  • Defina la temática de su escenario de simulación de Phishing.
  • Elabore un contenido que responda a la temática definida. Un contenido se conforma de un correo electrónico y una página de destino con un formulario web. Considere:
    • Utilizar variables que identifiquen datos del usuario o la organización.
    • Disponibilizar el contenido en múltiples idiomas.
    • Dejar pistas que permitan a sus usuarios identificar el contenido como un Phishing.
    • Utilizar temáticas de interés y actualidad (puede tomar como base un phishing real).
  • Si el escenario de simulación de Phishing seleccionado posee temas sensibles y/o afectan a un área en particular, evalúe el impacto y solicite autorización explícita a dicha área.

Herramienta de simulación

Una simulación de Phishing puede realizarse utilizando una plataforma en la nube especializada o bien, instalando una herramienta on premise en la infraestructura de la organización.


Herramienta on premise en infraestructura propia

  • Configure una cuenta de correo en un servidor SMTP que brinde la posibilidad de hacer Spoofing.
  • Configure un servidor web para alojar la página de destino de la simulación de Phishing.
  • Aplique las medidas de seguridad pertinentes en ambos servidores para proteger la seguridad de la información.
  • Adquiera y configure dominios para envío de correos de simulación de Phishing y para navegación web del sitio de Phishing simulado.
  • Adquiera y configure certificados SSL para los dominios en cuestión y configure además sus registros SPF, DKIM y DMARC.
  • Elabore un plan de contingencia para los dominios de simulación que caigan en listas negras globales.
  • Elabore y siga un procedimiento de actualización y hardening de la infraestructura definida.
  • Como recomendación, asegúrese de seleccionar una herramienta que automatice todo el ciclo de vida de la simulación de Phishing:
    • Calendarización de la campaña.
    • Envío de correos.
    • Registro de interacciones de los usuarios.
    • Reporting de resultados en tiempo real.
    • Recolección de registros de auditoría inalterables.
    • Identificación y ocultado de falsos positivos.

Plataforma en la nube


Whitelist

  • Identifique las herramientas de seguridad de la organización involucradas con la recepción de correos electrónicos y navegación web.
  • Utilice las opciones de whitelist de dichas herramientas para:
    • Asegurar la correcta recepción en la bandeja de entrada del usuario de los correos de simulación de Phishing (para que no se marquen como SPAM).
    • Evitar que las herramientas interactúen con los correos, generando falsos positivos en las estadísticas de la simulación.
    • Asegurar la correcta visualización y navegación de la página de destino del Phishing simulado.
  • Opcionalmente, configure el cliente de correo para que muestre las imágenes del correo de simulación de Phishing, sin que el usuario deba autorizarlo. Esto favorece la detección de apertura de correos pero, al mismo tiempo, puede llamar la atención del usuario si no está acostumbrado a visualizar automáticamente las imágenes de los correos recibidos.
  • Para asegurarse que todo funcione satisfactoriamente, lance campañas de prueba hasta conseguir que:
    • El correo sea recibido en la bandeja de entrada del destinatario.
    • La página de destino se pueda navegar correctamente.
    • Las estadísticas se correspondan con las acciones de prueba realizadas.
    • No haya falsos positivos o, si existen, sean filtrados correctamente.
    • Las imágenes se descarguen sin necesidad de autorización, si así se desea.

Lanzamiento

  • Defina la duración de la campaña. Es recomendable no extender la simulación por más de 48 horas [1].
  • Elabore un conjunto de campañas de simulación de Phishing a lo largo de un determinado período y analice el resultado de todas ellas. Considere esta información como la línea base del comportamiento de sus usuarios. Tenga en cuenta que una única simulación de Phishing no es suficiente para diagnosticar el comportamiento de los usuarios [2].

Cómo continuar

  • A partir de la línea base (estado de situación), plantee objetivos y metas para el programa de concientización de su organización.
  • Programe campañas de concientización utilizando diferentes recursos como Módulos Interactivos, Newsletters, Videos, Videojuegos, Webinars, Pósters y sesiones presenciales.
  • Vuelva a medir de manera periódica su línea base para evaluar la efectividad de sus acciones y demostrar el cambio de comportamiento.

Nota

Existen partners integradores que prestan servicios gestionados y llevan adelante tanto campañas de simulación de Phishing como completos programas de concientización. Esto permite al CISO delegar o tercerizar las acciones tácticas y operativas listadas en este documento, manteniendo la parte estratégica en sus manos.


Descargue este checklist

Si el contenido de este checklist le resultó de interés, puede descargar una versión en formato PDF del mismo en: https://smartfense-website-prod.s3.amazonaws.com/static/resources/ncsam/2020/SMARTFENSE-Checklist-Phishing.pdf


Leer Más