Qué consecuencias tienen las simulaciones de phishing para tu empresa
La mayoría de las consultorías de seguridad consideran que la capacitación de los empleados para la prevención del phishing es un control de seguridad imprescindible.
Muchas organizaciones ya están formando a los empleados para reconocer los ataques de suplantación de identidad mediante el uso de simulaciones. Cuando se hace de la manera correcta, los datos muestran que esta capacitación puede cambiar drásticamente el comportamiento de los empleados, reduciendo el riesgo de ser víctimas de esta trampa y evitando las violaciones de seguridad resultantes.
Sin embargo, antes de que las organizaciones comiencen a enviar simulaciones de phishing a sus empleados, deben comprender las posibles dificultades: ¿qué puede salir mal?, ¿cuál es el efecto de un programa de este tipo mal implementado?
El caso de ABN Amro
La prensa que informa sobre el caso de ABN Amro puede darnos una pista. ABN Amro es una organización bancaria global que, como muchas organizaciones financieras, tiene una buena razón para preocuparse por los ataques de suplantación de identidad y adopta un enfoque proactivo para evitarlo. Con 17.000 empleados en su operación de banca minorista y comercial holandesa, invierte importantes recursos internos para preparar a los empleados y estar listos para el próximo ataque.
En diciembre de 2017, se envió una simulación de phishing a los empleados del banco. Se suponía que se trataba de un regalo de Navidad, premiando su excelente desempeño. Este fue un plan bien dirigido y creíble, típico de una sofisticada campaña. Muchos empleados "hicieron clic en el enlace" y se sorprendieron al descubrir que se trataba de una simulación de entrenamiento.
Resultados, consecuencias y conclusiones
Sin embargo, Amro no anticipó el tsunami de reacciones adversas que recibieron por parte de sus empleados. Creó una crisis interna de emisión de confianza que se extendió a la prensa. Margot Van Kempen, Presidenta del Consejo de empleados, declaró al respecto: "Esto es muy molesto para las personas que se sienten ofendidas por ello". Definitivamente, este no era el resultado deseado por los gerentes de seguridad de ABN Amro.
Sin embargo, las prácticas de simulación de phishing mal implementadas no serían el único problema. Algunos empleados también pueden sabotear activamente los esfuerzos de capacitación, publicando el correo electrónico de phishing en los canales de comunicación internos de la compañía o en Facebook con el fin de advertir a sus colegas de que no hagan clic en el enlace. Esto puede ser una reacción colegial positiva, pero también puede perjudicar los esfuerzos de capacitación y, por lo tanto, poner en riesgo a la empresa.
Entonces, ¿cómo se puede gestionar el proceso de capacitación para evitar el "ruido" negativo de la organización y a su vez ofrecer un programa de capacitación de seguridad que genere un efecto positivo y un compromiso real por parte de los empleados?. Profundizaremos en este tema en un post posterior.
Fuente original: CybeReady – artículo 01/05/2018 "What Can Go Wrong? When Employees Push Back Against Phishing Simulations".