Cuando eché un vistazo a las sesiones de la conferencia RSA 2020, me llamó la atención una charla sobre cómo afrontar la delincuencia favorecida por el entorno cibernético a gran escala. Como aficionado a la serie Ley y orden y a la ciberseguridad, pensé que sonaba como una versión real de un programa de televisión sobre ciberdelincuentes, pero en el Departamento de Policía de Nueva York (más conocido por sus siglas en inglés, NYPD).
El locutor, Nick Selby, tenía mucho que contar. Ya sabes que Nueva York tiene un serio problema con la ciberdelincuencia, un problema de nueve cifras. Al parecer todos, desde los nativos digitales hasta los baby boomer, han sufrido los ataques de los ciberdelincuentes, desde estafas telefónicas hasta ransomware, pasando por un tío nigeriano que necesita una transferencia bancaria y mucho más.
La mayoría de las veces, las víctimas llaman al NYPD. No obstante, cuando los agentes que responden a la llamada escuchan palabras como Bitcoin, su respuesta inmediata es algo como “no es mi competencia”, ya que, bueno es un asunto cibernético. En los mapas mentales de los detectives y agentes de policía, son otros organismos los que tienen que encargarse de este tipo de asuntos. De hecho, todo lo que suelen hacer es aconsejar a las víctimas que llamen al FBI.
Pero para una ciudad de las dimensiones de Nueva York, esto representaba un problema. Y Selby lo sabía, al igual que sus superiores del NYPD, que le encomendaron la tarea de ayudar a cambiar la cultura y formar a los agentes para que comenzaran a preocuparse también por la ciberseguridad.
La presentación me fascinó por completó y abordó todo el proceso que llevó a cabo el equipo con el objetivo de frenar la ciberdelincuencia y ayudar a la gente a recuperar ese dinero que tanto les había costado ganar. No voy a contar toda la historia, pero os aconsejo que veáis la charla completa aquí:
No obstante, aquello que no pude pasar por alto en la presentación fue esta idea: Selby tenía que ayudar a cambiar esta cultura y formar a los agentes para que comenzaran a preocuparse por la ciberseguridad.
Cualquiera que haya dirigido formaciones de seguridad habrá escuchado preguntas o comentarios sarcásticos como estos:
Trabajo en finanzas, ¿por qué me iba a preocupar?
Trabajo en la recepción, ¿por qué me iba a preocupar?
Vamos, trabajo en asistencia técnica, ¡ya sé sobre seguridad!
Y mi queja favorita:
Uf, formación de seguridad, ¿OTRA VEZ?
Todos hemos pasado por ahí y hemos tenido que hacer algo que no pensábamos que fuera necesario para nuestro trabajo. Sin embargo, el problema es que la ciberseguridad sí nos afecta a todos. En serio. Por ejemplo, estas son algunas situaciones comunes:
- Finanzas: Gestionan el dinero. ¿Cuántas estafas hemos mencionado que estuvieran relacionadas con haber enviado dinero a la cuenta equivocada?
- Recepción: La primera cara que ves, la persona que permite acceder a la gente al edificio. Los recepcionistas también pueden facilitar a los invitados las credenciales del wifi. ¿Crees que el papel del recepcionista debería ser proteger a las empresas de gente como los delincuentes que conecten hardware malicioso a las redes corporativas?
- Asistencia técnica: Arreglan ordenadores y administran dispositivos. ¿Quién podría darte una memoria USB si necesitas mover una presentación PowerPoint de un ordenador a otro? Sin el departamento informático, la gente podría coger cualquier USB abandonado que encontrara por la oficina.
¿Ves a dónde quiero llegar? Todos los empleados son vectores de ataque, pero normalmente no piensan en lo que acabo de mencionar.
¿Qué podemos aprender del NYPD?
A diferencia de los formadores de ciberseguridad corporativos, el NYPD formaba a los agentes de policía, pero sus tareas y desafíos eran muy similares, al igual que sus principios rectores:
- Hazlo simple. Seguramente el factor más importante del éxito del equipo de NYPD era que se trataba de formaciones claras y directas. Creo que establecieron un máximo de 20 diapositivas en sus sesiones de formación. A la hora de planificar los materiales de formación para tu personal, asegúrate de que incluya objetivos claros que demuestre al personal por qué deberían preocuparse y cómo afrontar este asunto con éxito.
- Impulsa al personal. Otra estrategia interesante de Selby y su equipo fue el uso de una aplicación que ayudara a los policías a codificar los ciberdelitos, facilitando así una investigación adecuada. Ahora bien, no estoy diciendo que tengas que crear una aplicación para tu empresa. Eso sí, encuentra la forma de impulsar a tus empleados para que pongan en práctica todo lo aprendido en la formación. Si aprecian algo sospechoso, ¿cómo pueden informar al respecto? Si reciben un e-mail de phishing, ¿cómo pueden bloquearlo para toda la empresa o a dónde deberían enviarlo?
- Muestra los resultados. El NYPD mide todo lo que puede y con este programa el departamento comenzó a medir también los asuntos “cibernéticos”, de manera que los policías pudieran ver que su trabajo estaba ayudando a la investigación de más delitos en sus distritos. También pudieron apreciar la magnitud del problema y cómo su papel ayudaba a luchar contra la ciberdelincuencia. Es probable que tus empleados no estén luchando contra los ciberdelincuentes, pero puedes mostrarles cómo ayudan con su labor. Por ejemplo, nueve ataques ransomware frustrados o 200 correos electrónicos de phishing evitados durante el año podrían ser buenos datos que compartir en una actualización periódica.
Tu formación no tiene por qué ser cara o implicar alta tecnología. Compartir tus conocimientos especializados internos puede llevar a cambios importantes en tu organización.
Aunque elaborar un proyecto de formación de ciberseguridad no esté en los planes de tu empresa este año, puedes confiar en nosotros. Kaspersky ofrece una serie de cursos de educación a la seguridad gratuitos con los que puedes empezar a formar a tus empleados.