Aunque la palabra «ciberseguridad» puede evocar pensamientos de ataques muy técnicos que requieren sofisticados equipos informáticos y hábiles hackers, la realidad es que la mayoría de los ataques, sobre todo los dirigidos a empresas, implican estrategias más simples que dependen de una única cosa: vulnerar el comportamiento humano.
La mayoría de las empresas están trabajando duro para desarrollar tecnologías que les permitan protegerse mejor a sí mismas y a sus usuarios o clientes. Pero la tecnología solo es una pieza del puzle. Las personas son el factor más importante en la estrategia de seguridad cibernética de cualquier empresa, y la inversión en el compromiso con la seguridad ayuda mucho a reducir la probabilidad de una vulneración de seguridad.
Facebook lleva a cabo programas de participación en la seguridad durante todo el año, pero la herramienta más importante es el Hacktober, una tradición anual de un mes de duración diseñada para construir y mantener una cultura consciente de la seguridad. Es nuestra versión del Mes de Concienciación sobre Seguridad Cibernética, una campaña para involucrar a las personas en la ciberseguridad para que cumplan su parte a la hora de hacer que internet sea más seguro para todos.
Hacktober tiene una serie de elementos diferentes, desde pruebas de phishing y campañas de marketing hasta concursos, talleres y charlas de expertos. La participación no es obligatoria, pero aproximadamente un tercio de los empleados participan en al menos una actividad a lo largo del mes. Todo está diseñado para recordarles cómo protegerse a sí mismos, a nuestra compañía y a los millones de personas que usan Facebook todos los días.
La conciencia de seguridad puede ser atractiva en lugar de aterradora o, peor, aburrida. Si creamos un entorno interactivo y divertido en torno a la seguridad, las personas aprenderán importantes lecciones y las conservarán durante todo el año.
En Facebook, adoptamos un enfoque de «hacker» para la concienciación en materia de seguridad porque esa filosofía es una parte central de nuestra cultura, lo que significa que está en sintonía con nuestros empleados. Uno de los mejores ejemplos de esto son nuestras competiciones de Atrapa la Bandera (ALB).
Las competiciones de ALB informática permiten a las personas asegurar las máquinas y defenderse contra falsos ataques de seguridad cibernética. Sabemos que muchos de nuestros empleados disfrutan resolviendo problemas complejos en un entorno competitivo, y los ALB son una forma de crear ese tipo de ambiente competitivo y divertido para educar en ciberseguridad. Este año implementamos dos versiones: un ALB a prueba de riesgos donde los desafíos pueden resolverse a base de investigar y un ALB de ataque-defensa basado en ataques del mundo real. Los ALB fueron alojados en nuestra plataforma de fuente abierta, y los desafíos fueron diseñados por un equipo interdisciplinario de ingenieros de seguridad, cada uno con un conjunto de habilidades especializadas (seguridad de aplicaciones móviles, seguridad de Windows) para garantizar una experiencia completa.
Con el ánimo de mantener la diversión y el atractivo, también ofrecimos una serie deeventos menos intensos que reflejaban nuestra cultura de hackeo informático, como clases prácticas de violación de cerraduras digitales. Y para generar expectación en torno a todas nuestras actividades y mantener el compromiso de nuestros empleados, ofrecimos regalos molones de Hacktober (camisetas, gorros, pegatinas e imanes) diseñados bajo la marca «Hack-o-lantern» [NdT: un juego de palabras basado en los términos hack (ataque cibernético) y jack-o-lantern, que designa las calabazas decoradas con motivo de Halloween] que hemos establecido durante los últimos siete años.
Todos los empleados deberían sentirse cómodos hablando de ciberseguridad. Deberían ser capaces de plantear sus inquietudes sin dudarlo, incluso si su papel en mantener segura a nuestra empresa pueda no resultar tan obvio.
Creemos que todos los empleados deben participar para que Facebook siga siendo una página web segura. Durante el transcurso del Hacktober, ejecutamos una serie de «hackeos», como correos electrónicos de phishing e intentos de autenticación deshonestos que nos ayudan a evaluar la respuesta de nuestros empleados a estos ataques simulados. También organizamos charlas informales con ponentes como la antigua secretaria de Estado de EE. UU. y reconocida experta en riesgos geopolíticos, Condoleezza Rice. Su charla conjunta con el CSO de Facebook, Alex Stamos, le dio a la gente la oportunidad de aprender sobre la evolución de los ciberataques finanziados por estados.
Para mitigar el riesgo del error humano, las empresas deben ampliar su definición de seguridad. Hacktober no trata solo de seguridad «cibernética». También trata de la seguridad física y la seguridad de nuestros empleados. Nos asociamos con nuestros compañeros de seguridad física para proporcionar clases de capacitación a los empleados, como un curso de seguridad en viajes dirigido a los empleados y el uso de Facebook para compartir videos de capacitación sobre la amenaza de no guardar la distancia de seguridad con respecto al siguiente coche.
Los empleados deben conocer a las personas que trabajan en nuestros equipos de seguridad. Y deberían comprender su papel en la protección de las personas en Facebook.
Facebook ha crecido a lo largo de los años, por lo que identificar y comunicarse con los miembros del equipo de seguridad puede ser todo un reto. Así que hemos intentado simplificarlo con un formulario de ayuda de seguridad en nuestra intranet y con recorridos por nuestro Centro de Operaciones de Seguridad Global. También promovemos nuestro trabajo de seguridad a través de una masiva campaña de marketing: creamos una micropágina web dedicada para que las personas la visiten y aprendan sobre diferentes actividades, y lo promocionamos con carteles de Hacktober, tarjetas de recursos y fundas para bebidas calientes. También creamos un grupo interno de Hacktober de Facebook donde los empleados podían publicar preguntas, hacer comentarios, colaborar en los desafíos de ALB o simplemente publicar sus ideas sobre temas o preocupaciones de seguridad actuales.
Hacktober es también una gran oportunidad de aprendizaje para el equipo de seguridad. La micropágina web sirvió como fuente de datos para saber qué es lo que más les interesa a las personas, pero rastrear constantemente las métricas nos ayudan a mejorar nuestros programas, e intentamos aplicar algunas de las lecciones en tiempo real. Por ejemplo, suspendimos la campaña de phishing de este año a mediados de mes cuando los datos mostraron una caída significativa en el número de personas que hacen clic en enlaces de phishing y un aumento del número de personas que informan las estafas de phishing al equipo de seguridad. Básicamente, habíamos logrado nuestro objetivo de cambiar el comportamiento de los empleados y decidimos que sería mejor asignar recursos a otras cosas.
Las campañas como Hacktober pueden ser una de las maneras más efectivas de evaluar el riesgo de la ingeniería social y comprender a qué tipo de comportamiento humano es más vulnerable su empresa u organización. ¿Es el phishing? ¿Son las contraseñas débiles? ¿La seguridad física? ¿Y qué herramientas o tácticas puede implementar su equipo para enfrentar estas amenazas?
Diseñamos Hacktober para satisfacer las necesidades de cultura y seguridad de Facebook, pero otras compañías también pueden aplicar muchos de estos principios. Solo recuerde que cualquier campaña exitosa debe contar con el apoyo del equipo de liderazgo, alinearse con la cultura de la empresa y eliminar el temor de hablar sobre ciberseguridad. La educación en seguridad no pretende avergonzar a las personas por sus malos hábitos, sino recompensar el comportamiento positivo y fomentar una cultura consciente de la seguridad entre su recurso más crítico: las personas.
Así es como su empresa puede crear su propio Hacktober:
- Priorizar la organización y la marca. Facebook decora sus paredes con carteles con un diseño distintivo de «Hack-o-lantern» y utiliza grupos internos para compartir publicaciones sobre Hacktober. Crear una identidad única para su esfuerzo de concienciación ayuda a las personas a identificarlo y encontrar formas de involucrarse.
- Asociarse con organizaciones externas. La Alianza Nacional de Seguridad Cibernética de Estados Unidos es un gran socio para el trabajo de concienciación sobre seguridad, y ofrece ideas y contenidos.
- Reconocer y recompensar el compromiso. Los recuerdos de Hacktober como camisetas y pegatinas son tremendamente populares en Facebook. Los empleados de Facebook que informan de actividades sospechosas o descubren uno de nuestros hackeos son recompensados con uno de estos codiciados premios, que ayudan a generar conciencia e incentivar a otros a involucrarse.
- Ejecutar pruebas de seguridad en el entorno real. Las pruebas simples pueden ayudar a que las personas se acuerden de permanecer alerta. Recomendamos cosas que las personas encontrarían en un día de trabajo típico: enviar correos electrónicos de spear phishing (correos electrónicos maliciosos que parecen provenir de una fuente fiable) o colocar unidades USB en la oficina con malware falso, lo que les enseña a los empleados a pensárselo dos veces antes de conectar un desconocido dispositivo a su ordenador.
- Juntar a la gente. Ofrezca sesiones educativas impartidas por su equipo de seguridad, organice talleres interactivos, competiciones y concursos. Incluso puede usar la plataforma de ALB de código abierto de Facebook para ejecutar sus propios concursos de ALB.
- La diversión es clave. La seguridad no tiene por qué resultar aterradora. Facebook ha invitado a las familias a su sede para ver una película de temática de seguridad y a una noche de talla de calabazas. Estas y otras actividades prácticas ayudan a educar a las personas en un ambiente divertido e informal.
Vía Harvard Business Review
