5 prácticas recomendadas para realizar pruebas de phishing éticas y eficaces

La educación en seguridad a través de simulaciones de phishing (o pruebas de phishing) está ganando popularidad en empresas de todos los tamaños. Las pruebas de phishing las realiza el equipo de seguridad creando un correo electrónico de phishing malicioso que parece real y enviándolo a los empleados. Por lo general, abren correos electrónicos con información sobre entregas faltantes, solicitudes de facturas y rumores de celebridades.

Las respuestas a estos correos electrónicos se cuantifican bajo el control del equipo de seguridad y se verifica el nivel de conciencia de seguridad de los empleados. ¿Cuántas veces abriste el archivo adjunto y hiciste clic en el enlace? ¿Cuántos correos electrónicos se marcaron como sospechosos o ignorados? ¿Qué asunto de correo electrónico tiene el mayor impacto en comparación con los demás? ¿Hay departamentos o usuarios específicos que tengan más probabilidades de convertirse en víctimas? Estos datos permiten que la capacitación y la capacitación en concientización sobre seguridad cibernética se adapten de manera más efectiva e identifiquen las vulnerabilidades potenciales que deben abordarse.

Problemas éticos que surgen en las pruebas de phishing

Sin embargo, debido a varios incidentes, la ética de los elementos clave de las pruebas de phishing es controvertida. Un buen ejemplo es una empresa de ferrocarriles en West Midlands, Inglaterra, que recientemente realizó una prueba de phishing utilizando un tema controvertido.

WMT (West Midlands Trains) realizó una prueba de phishing con el contenido de pagar una bonificación para felicitar el arduo trabajo durante la crisis pandémica de Corona 19. El remitente se hizo pasar por el equipo de finanzas. También alentó a los destinatarios a hacer clic en un enlace a Microsoft Office 365 para enviar un mensaje privado al director gerente de WMT, Julian Edwards. El enlace conducía a un sitio de SharePoint creado por Microsoft para una prueba de phishing, y la persona que hacía clic en el enlace recibió un aviso por correo electrónico del equipo de recursos humanos para advertir sobre los correos electrónicos que solicitaban información de inicio de sesión. No hace falta decir que la bonificación no se pagó.

Prueba de phishing ético

Prometer pagar una determinada cantidad es una táctica eficaz que suelen utilizar los ciberdelincuentes para engañar a las víctimas. Sin embargo, el uso de estas tácticas en las pruebas de phishing plantea la cuestión de qué es justo y qué es injusto, y cómo asegurarse de que no cruce la línea ética. ¿Y qué medidas se pueden tomar para garantizar que las pruebas de phishing se conviertan en una formación en ciberseguridad útil, eficaz y rentable y que no presenten riesgos que hagan más daño que bien?

“Las empresas deben adherirse a la vigilancia ética cuando prueban el phishing”, dijo Jessica Barker, directora ejecutiva de la firma de seguridad Cygenta. Esto se debe al daño que se puede causar cuando se sobrepasa la simulación de phishing. En particular, dado que se trata de una situación pandémica, estimular el ‘bienestar’ emocional del sujeto como una parte que se relaciona en gran medida con las emociones como las bonificaciones y la atención médica puede dañar la estabilidad psicológica, la confianza y la cultura ”.

Esto socava los esfuerzos del equipo de ciberseguridad y hace que la relación con las personas con las que quieren interactuar. “Por lo general, a la gente no le gusta que la engañen y no confía en quienes se engañan a sí mismos. Una de las objeciones que escucho a menudo es la afirmación: “¿Por qué no deberíamos hacer eso porque los delincuentes utilizan las partes emocionales del phishing?” Los delincuentes causan daños a la propiedad real, desactivan sistemas y cierran servicios, pero los ingenieros sociales y los probadores de intrusiones no lo hacen. Hacen esto con un buen propósito. “La simulación no debería causar un daño real”.

Según el Dr. John Bryce, director de ciencias del comportamiento en CybSafe, otra empresa de seguridad, las empresas deben elegir las plantillas de correo electrónico con cuidado, como evitar temas que puedan molestar a sus empleados.

“Incluso algunas organizaciones criminales como REvil enfatizan ciertos estándares”, dijo Rick Jones, director ejecutivo de DigitalXRAID. Está prohibido apuntar al gobierno, el sector público, los sectores médico y sanitario y las instituciones educativas con su ransomware SaaS. DarkSide tampoco tenía la intención de causar disturbios políticos, económicos y sociales con los recientes ataques al Oleoducto Colonial. Se mencionó que la operación se realizó teniendo en cuenta las ganancias financieras. “Las personas que realizan simulaciones de phishing tienen las mismas habilidades que los grupos criminales en operaciones reales, pero tienen estándares y ética que deben cumplirse”.

Aquí hay 5 cosas que debe considerar para mejorar su prueba de phishing.

Ⓒ Banco de imágenes de Getty

Comprender el propósito de la prueba de phishing

Para que una simulación de phishing sea ética y productiva, según Barker, primero debe comprender el propósito y los objetivos de una prueba de phishing. “Si estás pensando en las simulaciones de phishing como entrenamiento para ‘Gotcha’, es bueno que lo pienses de nuevo”, dijo Barker. Esto se debe a que es un truco, no una educación. Si piensa en las pruebas como educación, ¿cuáles son los comportamientos que se deben enseñar? Tienes que pensar en esto “.

Jones explicó que el escenario de prueba tiene como objetivo establecer una línea de base para la forma de correos electrónicos de phishing, asegurando que los usuarios tengan la capacidad de detectar señales.

“Hay muchas simulaciones de phishing que todavía se centran en las tasas de clics”, dijo Barker. La gente siempre hará clic en enlaces alrededor de correos electrónicos de phishing bien hechos. Para que su prueba de phishing sea más efectiva, debe concentrarse en aumentar la tasa de informes en lugar de reducir la tasa de clics. En última instancia, comprender el contexto relacionado con la organización y ceñirse a él puede crear una simulación de phishing adecuada “.

Generar confianza a través de la comunicación

Bryce argumentó que la transparencia era el siguiente factor importante en la prueba de phishing. “Las empresas deben ser transparentes con sus empleados. Debe proporcionar información sobre cuándo realizar pruebas de simulación de phishing y enfatizar que se trata de phishing con fines educativos. Si no genera confianza, los empleados se resentirán rápidamente. “Me hace sentir que me están observando y que la empresa está viendo una oportunidad para descubrirme”.

Jones también estuvo de acuerdo con este enfoque transparente. “Hay que presentar a los usuarios el phishing gradualmente, enseñarles a qué deben estar atentos y cómo responder”, dijo. A través de este proceso, tenemos que construir una cultura de comunicación ”.

Refuerzo positivo

El refuerzo positivo juega un papel muy importante en la efectividad a corto y largo plazo de las pruebas de phishing. También puede tener un gran impacto en si la forma en que las organizaciones lo abordan es ético o no.

Por ejemplo, no culpe ni castigue a un empleado que no pase una prueba de phishing. Esto puede provocar emociones negativas o desilusión. En su lugar, elogie públicamente la respuesta o acción que desea alentar. “El refuerzo positivo funciona mucho mejor”, dijo Barker. Involucra a las personas de manera mucho más efectiva sobre la base del principio de prueba social “.

Según Gary Warner, director de inteligencia de DarkTower, es mejor usar un método similar a “ zanahorias, no palos ” para las simulaciones de phishing. En este sentido, presentó un ejemplo de su época como director de TI.

“Le dije a mi jefe que podía mejorar la tasa de informes de correos electrónicos sospechosos por $ 100. Tomamos nuestros informes más recientes y los analizamos con gran detalle. Y envié un correo electrónico a toda la empresa. ‘Joe del centro de servicio recibió un correo electrónico sospechoso como este (captura de pantalla). ¡Joe sabía qué hacer! El correo electrónico se reenvió a [email protected] Si Joe hubiera hecho clic en un enlace en lugar de reenviar un correo electrónico, su computadora se habría infectado con el virus XYZ y se habrían filtrado datos de nuestra red a Rusia. Le di un caso a Joe, que protegía a la empresa, donde dos personas podían disfrutar de un bistec en un restaurante. Joe, gracias por proteger a la empresa. ¿Recibiste un correo electrónico sospechoso? ¡Reenvíelo a [email protected]! ¡Entonces podrá salvar a su empresa de un ciberataque devastador y tendrá un caso para ello! La tasa de informes mejoró en un 1,000% y el costo de invertir en él fue un vale de noche de $ 100 por mes “.

El método que Garner utilizó en el ejemplo anterior se compara con el método WMT utilizado en la prueba de phishing. Los dos métodos son muy diferentes. Se comunicó con claridad y proporcionó mucha información. Pero no utiliza la forma de lenguaje y expresiones muy emocionales de ‘hacer clic ahora’ como la compañía de ferrocarriles (y ofrece comidas gratis reales, no promesas falsas). Este es un muy buen ejemplo del uso del refuerzo positivo para inducir a los usuarios a aprender un buen comportamiento de seguridad.

Convertir las fallas en las pruebas de phishing en resultados de seguridad

El seguimiento después de adquirir datos en el proceso de prueba es tan importante como la fase de planificación e implementación de la prueba. No se centre solo en el usuario. La atención debe centrarse en cómo los resultados de la simulación pueden beneficiar a la empresa.

“Es un cliché, pero los datos son realmente importantes para la ciberseguridad”, dijo Jones. Todo, desde los registros de seguridad o los datos técnicos del dispositivo hasta la información del usuario, proporciona un conocimiento muy importante. Los empleados son la “primera línea” de la empresa. Por tanto, es importante que los responsables de la toma de decisiones sean conscientes de los riesgos que pueden plantear. Sobre todo, si un ataque de phishing tiene éxito, puede penetrar en todas las herramientas de seguridad en las que se crea el código malicioso “. Para aquellos que no pasan la simulación, la motivación y el entrenamiento en seguridad deben preceder a la culpa.

“Si alguien hace clic en un correo electrónico de phishing simulado, debe proporcionar comentarios útiles de manera oportuna”, dijo Bryce. La retroalimentación debe ser breve e inmersiva, no en forma de educación obligatoria o castigo prolongado. Solo entonces obtendrá los mejores resultados. “Nuestro enfoque del riesgo cibernético humano se basa en la empatía. “Una forma más comprensiva de ayudar a los empleados a cambiar el comportamiento y empoderarlos tiene más probabilidades de obtener mejores resultados a largo plazo que culpar a los que sucumben a un ataque simulado”.

Jones agregó que los datos de simulación de phishing también podrían usarse al comunicarse con autoridades gubernamentales como la Oficina del Comisionado de Información (ICO) del Reino Unido. “De esta manera, las empresas pueden proporcionar evidencia de que están al tanto de las amenazas internas y han tomado medidas para mitigarlas”, agregó. Demostrar el nivel de amenaza que los empleados pueden representar para la organización y proporcionar evidencia que impulse un cambio positivo a través del estímulo y la comunicación es un logro fundamental.

Utilice las herramientas adecuadas en el momento adecuado

La última consideración importante que deben tener en cuenta las organizaciones es si la prueba de phishing es la formación adecuada en un momento dado. “A veces, las simulaciones de phishing no ayudan en absoluto”, dijo Barker. Por ejemplo, ya existe una cultura de miedo a la ciberseguridad. La simulación de phishing es solo una herramienta. Por lo tanto, debe usarse de manera oportuna y adecuada “.

En este sentido, una prueba de phishing debilitada también podría usarse como una forma de introducir suavemente las tácticas más engañosas que los ciberdelincuentes inteligentes usan en sus ataques. “Para asegurarse de que los empleados no se queden sin formación sobre los peligros reales, podrían utilizar una conversación constructiva sobre las leyendas que podrían utilizar los ciberdelincuentes, en lugar de exponerlos directamente en la simulación”, dijo.

De cualquier manera, el phishing simulado es solo parte de una estrategia para que los empleados aprendan un buen comportamiento de seguridad a largo plazo. “Si el objetivo final es reducir la cantidad de empleados que son víctimas de ataques de phishing, existen otras acciones de seguridad que deben abordarse”, explicó.

En última instancia, si el propósito de una prueba de phishing es utilizar un medio para engañar a los usuarios para que hagan clic y desalentarlos para que lo hagan mejor, es probable que esto no sea efectivo para educar a los usuarios sobre los peligros de los ataques de phishing, además de ser menos motivador. Puede derribarlo e incluso herir sus sentimientos. Por el contrario, utilice métodos éticos y empáticos, alinee la cultura de su organización con ella, enséñele sobre las amenazas reales que plantean los ataques basados ​​en correo electrónico con refuerzos positivos y contactos constructivos, y anime a sus empleados a practicar un comportamiento más seguro. Las pruebas de suplantación de identidad pueden ser una herramienta útil para ayudar a aumentar la postura de conciencia de seguridad de una organización, si se alienta y alienta. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!