Por qué los gobiernos necesitan formación sobre concienciación en materia de seguridad

Existen varias razones por las que los gobiernos necesitan una formación de concienciación en materia de seguridad para reducir el riesgo de ataques exitosos, proteger la información confidencial y mantener la confianza del público en las instituciones gubernamentales. Los gobiernos y los departamentos del sector público están en el punto de mira de los ciberdelincuentes. Una investigación de Checkpoint respalda esta afirmación; un estudio de la empresa muestra que los sectores gubernamental y militar del Reino Unido e Irlanda tuvieron que hacer frente a una media de 352 ciberataques por semana a mediados de 2021.

El Reino Unido en su conjunto experimentó un aumento del 20% de los ciberataques durante 2020, con tipos de ataque como el ransomware aumentando un enorme 80% en los últimos 3 meses de 2020. Este tsunami de ciberataques sigue un patrón típico de manipulación del factor humano, normalmente un empleado o un proveedor.

Para ayudar a paliar la avalancha de amenazas cibernéticas procedentes del phishing, la exposición accidental de datos y la ingeniería social, los departamentos gubernamentales deben recurrir a la formación para la concienciación en materia de seguridad.

Cómo se produce la pérdida de datos y los ciberataques en los gobiernos

A los piratas informáticos les sonríe el éxito de ataques anteriores contra organismos gubernamentales.

Quizás el más infame fue el ataque de ransomware WannaCry que se dejó sentir en todo el mundo, y de forma particularmente aguda en el NHS del Reino Unido. Como todos los ataques de ransomware, WannaCry fue devastador, cerrando los hospitales a nuevos pacientes y ejerciendo una enorme presión sobre un NHS ya al límite. El gobierno es un objetivo para los ciberdelincuentes porque ha demostrado ser una opción exitosa, el equivalente cibercriminal de la fruta al alcance de la mano.

Los ataques como el ransomware, a menudo comienzan cuando un empleado es manipulado para que haga clic en un enlace malicioso de un correo electrónico o descargue un archivo adjunto infectado.

Una solicitud de libertad de información (FoI) realizada por el grupo de reflexión Parliament Street descubrió que el Tesoro de Su Majestad había conseguido bloquear casi 5 millones de correos electrónicos de phishing, malware y spam en los tres años transcurridos hasta septiembre de 2021. Otro informe de Parliament Street descubrió que la Cámara de los Comunes había bloqueado 126 millones de intentos de correo electrónico malicioso.

Pero no son sólo los ciberataques los que deben preocupar a los responsables gubernamentales de seguridad y cumplimiento.

Un informe del Ministerio de Defensa (MoD), y analizado por Parliament Street, muestra un aumento del 18% en los incidentes de pérdida de datos. La mayoría de estos incidentes fueron causados por la divulgación no autorizada de datos, el resto se debió a la pérdida de equipos electrónicos, dispositivos o documentos, desde dentro de los locales gubernamentales, o a la eliminación insegura de documentos en papel.

Los ciberdelincuentes juegan a largo plazo y mejoran continuamente sus técnicas de evasión. Un solo correo electrónico malicioso que se cuele en la red puede convertirse en otro incidente del nivel de WannaCry. Un solo ordenador portátil perdido en un tren puede acabar a las puertas de los medios de comunicación, tratado como un problema de incumplimiento normativo por la Oficina del Comisionado de Información (ICO).

La tormenta cibernética perfecta, compuesta por una mezcla de ciberdelincuencia y sucesos accidentales internos, se cierne como una nube oscura sobre los departamentos gubernamentales del Reino Unido.

Cómo la formación en sensibilización sobre ciberseguridad puede ayudar a un departamento gubernamental a mantenerse ciberseguro

La ICO británica ha declarado que el 90% de las violaciones de datos se deben a errores humanos: el papel que desempeña el factor humano en la pérdida de datos y las ciberviolaciones queda patente en la investigación de Parliament Street. Sin embargo, el factor humano en la seguridad también supone una oportunidad para que los departamentos gubernamentales reduzcan el riesgo.

La capacidad de educar a los usuarios en cuestiones de ciberseguridad y riesgo de los datos es una parte importante de una política y estrategia de seguridad global. La formación para la concienciación sobre la seguridad proporciona un programa formal para impartir esta educación; los cinco fundamentos de una formación eficaz para la concienciación sobre la seguridad son:

Prevenir las filtraciones de datos

Las filtraciones de datos suelen estar vinculadas a una campaña de phishing en alguna fase de la filtración. Un empleado u otra entidad asociada, como un contratista o proveedor, será víctima de un mensaje de phishing y el resultado puede ser la infección por ransomware (u otro malware) o el robo de credenciales.

La formación para la concienciación sobre la seguridad capacita al personal y a otras personas para detectar los signos reveladores de los mensajes de phishing y otras estafas de ingeniería social. Se pueden utilizar simulaciones de phishing para ayudar en esta formación y para capturar métricas que muestren la eficacia de la formación. En un departamento de TI gubernamental con un presupuesto limitado, los programas de formación en seguridad pueden ser muy rentables.

Prevenir la exposición accidental de datos

La exposición accidental de datos abarca toda una gama de sucesos, desde el envío erróneo de correos electrónicos hasta el simple hecho de dejar documentos confidenciales en una impresora. La formación para la concienciación sobre la seguridad educa al personal en los elementos de higiene para mantenerse seguro en línea, así como en los más tecnológicos. Los empleados y otras personas reciben formación sobre buenas prácticas, como mantener una política de escritorio limpio y asegurarse de que no comparten contraseñas.

Seguridad continua

Los ciberdelincuentes siempre están buscando formas de eludir las medidas de seguridad tradicionales, lo que incluye cambiar las tácticas para engañar a los empleados para que realicen actividades maliciosas en su nombre. La formación para la concienciación sobre la seguridad no es un evento puntual, sino que funciona según el principio de la educación continua para garantizar que un departamento gubernamental (y sus empleados) se mantienen al tanto de los cambios en el panorama de las amenazas a la ciberseguridad.

Seguridad para todos

Cada empleado, consultor y proveedor es un objetivo potencial del que puede aprovecharse un ciberdelincuente. Cada empleado y proveedor también actúa como un factor humano en la exposición accidental de datos. Por ello, los programas de formación sobre concienciación en materia de seguridad son más eficaces cuando se utilizan en toda la organización e incluyen a los proveedores. Con los departamentos gubernamentales que utilizan servicios y personal subcontratados, este aspecto de la Formación en Concienciación sobre Seguridad es importante para garantizar que el pensamiento de «la seguridad primero» sea universal.

El cortafuegos humano y el aumento de las medidas técnicas

El concepto de cortafuegos humano es una idea que se basa en la educación proporcionada por un programa de formación sobre concienciación en materia de seguridad. Si se hace bien, la educación en materia de seguridad puede capacitar a todos los miembros de una organización, garantizando al mismo tiempo que el grupo se beneficie en su conjunto de esta formación.

Cumplimiento normativo, normas de protección de datos y gobierno

Otra cosa que se desprende de un programa eficaz de concienciación sobre la seguridad es el cumplimiento de los requisitos reglamentarios en materia de seguridad de la información. Las administraciones públicas deberían dar ejemplo al resto de la industria asegurándose de que cumplen con las competencias de las distintas normativas sobre datos en el Reino Unido, así como con las que puedan afectar más allá de las fronteras de este país. Muchas normas y reglamentos de protección de datos, como ISO27001 y DPA2018/UK GDPR, obligan o animan ahora a una organización a formar a sus empleados para que sean conscientes de la seguridad.

Aunque las medidas de seguridad tradicionales, como la autenticación de dos factores y el cifrado, pueden ayudar a paliar las violaciones de datos, no hay nada como concienciar a los empleados de los riesgos que entraña para una organización el phishing y otros ataques de ingeniería social.

Los departamentos gubernamentales corren el mismo riesgo de pérdida de datos y ciberataques que cualquier otra industria. Al proporcionar una formación esencial en seguridad a los empleados, un departamento gubernamental puede reducir su exposición al riesgo y sentar un ejemplo y un precedente a seguir por otras industrias.