4 razones por las que la formación en seguridad basada en funciones ya no es una solución única para todos

El cambio hacia una formación en seguridad basada en roles representa una evolución fundamental en la forma en que las organizaciones abordan el riesgo humano. Este enfoque reconoce que el riesgo humano está muy concentrado, que los ataques son cada vez más personalizados y que una prevención eficaz requiere intervenciones a medida que se ajusten a las amenazas específicas a las que se enfrenta cada función.

La formación en seguridad basada en funciones es la nueva norma

El panorama de la ciberseguridad ha sufrido una transformación espectacular. Mientras que antes las organizaciones se basaban en defensas perimetrales y módulos de formación genéricos, el entorno de amenazas actual exige un enfoque más sofisticado. Los datos demuestran sistemáticamente que el riesgo humano no se distribuye uniformemente por toda una organización, sino que se concentra en grupos de usuarios específicos que muestran patrones de riesgo predecibles.

La formación tradicional de concienciación sobre seguridad trata a todos los empleados de forma idéntica, independientemente de sus niveles de acceso, patrones de comportamiento o exposición a amenazas. Los actores de las amenazas modernas entienden esta complejidad y la explotan, elaborando ataques específicamente adaptados para explotar las vulnerabilidades únicas de los diferentes roles dentro de una organización.

La formación en seguridad basada en roles alinea los esfuerzos de prevención con el riesgo real, creando intervenciones específicas que abordan las amenazas concretas a las que se enfrenta cada rol. Este enfoque no sólo mejora los resultados en materia de seguridad, sino que aumenta la eficacia general de las inversiones en formación al concentrar los recursos allí donde pueden tener un mayor impacto.

I. Limitaciones inherentes a la formación tradicional

Los programas genéricos de formación en seguridad adolecen de varios defectos fundamentales que limitan su eficacia. La limitación más significativa es la concentración en los productos y no en los resultados. Los programas tradicionales miden el éxito a través de métricas como las tasas de finalización, las puntuaciones de los cuestionarios y las tasas de clics de phishing simulado. Sin embargo, estas métricas suelen tener poca correlación con el comportamiento real de la seguridad en escenarios del mundo real.

Las pruebas de phishing simuladas, aunque valiosas, suelen presentar escenarios más desafiantes que los ataques reales a los que se enfrentan los empleados. Esto crea una falsa sensación de seguridad cuando los empleados identifican con éxito los correos electrónicos obviamente sospechosos, mientras que siguen siendo vulnerables a ataques más sutiles y específicos de su función.

Otra limitación crítica es la falta de contexto conductual. La formación genérica trata todos los comportamientos de riesgo por igual, sin tener en cuenta que las distintas acciones conllevan diferentes niveles de riesgo en función del papel del usuario y de la sensibilidad de la información que maneja.

Los programas de concienciación sobre la seguridad suelen existir aislados de estrategias de seguridad más amplias. Operan independientemente de las funciones de respuesta a incidentes, inteligencia de amenazas y gestión de riesgos, creando silos que impiden a las organizaciones desarrollar perfiles de riesgo completos para los diferentes usuarios y grupos.

II. Naturaleza desproporcionada del Human Risk

Una de las ideas más significativas que impulsan el cambio hacia una formación basada en funciones es el reconocimiento de que el riesgo humano sigue un patrón muy concentrado. Las investigaciones revelan que aproximadamente 8% de los usuarios son responsables del 80% de todos los incidentes de seguridad de una organización, y 4% causan el 80% de los incidentes de phishing. Quizás lo más sorprendente sea que sólo 3% de los usuarios son responsables de 92% de los eventos de malware.

Los usuarios que incurren sistemáticamente en conductas de riesgo suelen compartir características comunes. Pueden ser objetivos de alto valor debido a su acceso a información sensible, se enfrentan a una elevada exposición a las amenazas debido a sus funciones de cara al público o muestran patrones de comportamiento que les hacen más susceptibles a los ataques de ingeniería social.

Mientras tanto, la mayoría de los empleados demuestran una exposición limitada al riesgo. Estos usuarios rara vez hacen clic en enlaces sospechosos, rara vez descargan software no autorizado y, por lo general, siguen los protocolos de seguridad establecidos. Aunque siguen requiriendo una concienciación básica en materia de seguridad, no necesitan el mismo nivel de intervención intensiva y selectiva ni políticas adaptativas para las agrupaciones de empleados que los usuarios de alto riesgo.

Esta concentración permite a las organizaciones asignar los recursos de formación de forma más eficaz. En lugar de repartir los esfuerzos uniformemente entre todos los empleados, la formación basada en funciones centra las intervenciones intensivas en los usuarios de alto riesgo, al tiempo que proporciona una formación de base adecuada para las poblaciones de menor riesgo.

III. Panorama de amenazas en evolución & Superficie de ataque ampliada

El panorama moderno de las amenazas presenta retos que los programas genéricos de formación simplemente no pueden abordar con eficacia. Los actores de las amenazas han evolucionado más allá de los simples ataques distribuidos en masa hacia campañas sofisticadas y muy selectivas que explotan las vulnerabilidades específicas de los diferentes roles organizativos.

La inteligencia artificial ha revolucionado el panorama de las amenazas al permitir a los atacantes crear campañas de phishing personalizadas a escala. Los ataques generados por IA pueden imitar estilos de escritura, hacer referencia a proyectos específicos e incorporar detalles contextuales que los hacen prácticamente indistinguibles de las comunicaciones legítimas.

Las herramientas de colaboración que permiten el trabajo moderno, Microsoft Teams, Slack, Zoom, SharePoint y OneDrive, han ampliado drásticamente la superficie de ataque. Aunque estas plataformas aumentan la productividad, también crean nuevos vectores de ataque que los programas de formación tradicionales no abordan adecuadamente. Cada plataforma tiene unas consideraciones de seguridad únicas que varían en función de cómo las utilicen los distintos roles.

Los controles de seguridad incorporados en estas plataformas de colaboración a menudo van por detrás de su funcionalidad, creando lagunas que los atacantes aprovechan activamente. Lo más preocupante es la frecuencia con la que se comparten, editan o eliminan datos sensibles en estos entornos. A diferencia de los sistemas de correo electrónico tradicionales, las plataformas de colaboración modernas permiten compartir en tiempo real y eludir los controles de seguridad.

Las organizaciones que siguen confiando en programas de formación genéricos se ven incapaces de abordar eficazmente estos riesgos específicos de cada plataforma y basados en funciones.

IV. Necesidad de intervenciones específicas y adaptables

El reconocimiento de que el riesgo varía drásticamente según la función, el nivel de acceso y la exposición a los ataques ha impulsado el desarrollo de enfoques más sofisticados para la formación en seguridad. Los ejecutivos, gerentes y equipos de ventas se enfrentan sistemáticamente a niveles más altos de ataques dirigidos debido a su acceso a información sensible y a su visibilidad dentro de la organización. Estos usuarios requieren una formación especializada que aborde técnicas avanzadas de ingeniería social y esquemas de compromiso del correo electrónico empresarial.

Las investigaciones demuestran que la permanencia del usuario influye significativamente en la susceptibilidad a diferentes tipos de ataques. Los empleados con más antigüedad pueden ser más propensos a ser víctimas de ataques de phishing que se aprovechan de su familiaridad con los procesos de la organización. Los recién contratados pueden ser engañados más fácilmente debido a su limitada comprensión de las normas organizativas y los protocolos de seguridad.

Los diferentes departamentos se enfrentan a perfiles de riesgo distintos que requieren intervenciones especializadas. Los equipos de investigación y desarrollo se encuentran con tasas más elevadas de incidentes de malware, mientras que los departamentos de atención al cliente se enfrentan a elevados riesgos de phishing debido a su interacción habitual con partes externas.

El acceso a datos sensibles cambia fundamentalmente la ecuación del riesgo. Los usuarios que manejan regularmente información confidencial, datos financieros o propiedad intelectual requieren una formación que aborde las amenazas específicas a las que se enfrentan y las consecuencias potenciales de un incidente de seguridad.

La gestión de Human Risk (GRH) representa la evolución de la formación en materia de seguridad, que ha pasado de ser una actividad centrada en el cumplimiento a convertirse en una capacidad estratégica de seguridad. La GRH combina la ciencia del comportamiento, la tecnología y el pensamiento estratégico para transformar las vulnerabilidades humanas en fortalezas de seguridad. Este enfoque reconoce que las mejoras sostenibles de la seguridad requieren comprender por qué la gente se comporta como lo hace y crear intervenciones que aborden las motivaciones subyacentes.

El objetivo de la GRH no es eliminar el riesgo humano, sino comprenderlo, medirlo y gestionarlo eficazmente. Esto requiere una profunda visibilidad del comportamiento de los usuarios, telemetría de amenazas en el mundo real y la capacidad de correlacionar las acciones individuales con resultados de seguridad más amplios.

Ejemplos del mundo real: Cómo las amenazas se dirigen a funciones específicas

Comprender cómo los actores de las amenazas personalizan los ataques para las distintas posiciones demuestra por qué la formación en seguridad basada en roles se ha convertido en algo esencial. El contraste entre la forma en que se ataca a los ejecutivos y a los empleados de primera línea revela la naturaleza sofisticada de las amenazas modernas y la insuficiencia de los enfoques genéricos de formación.

Amenazas a nivel ejecutivo: Compromiso del correo electrónico empresarial

Piense en un director general que recibe lo que parece ser un correo electrónico urgente de su director financiero solicitando la aprobación de una transferencia bancaria confidencial para una adquisición. El mensaje hace referencia a un proyecto interno real, utiliza una marca de empresa realista e imita el estilo de escritura del director financiero mediante la generación asistida por IA. Este sofisticado ataque de compromiso del correo electrónico empresarial explota la autoridad del ejecutivo, el acceso a los controles financieros y las relaciones de confianza inherentes a la alta dirección.

Los directores generales representan objetivos de gran valor precisamente por su elevada visibilidad y autoridad en la toma de decisiones. Los actores de las amenazas invierten importantes recursos en investigar los patrones de comunicación de los ejecutivos, las iniciativas empresariales en curso y las jerarquías organizativas para elaborar ataques de suplantación de identidad convincentes. Estos ataques eluden los controles tradicionales de seguridad del correo electrónico explotando la psicología humana en lugar de las vulnerabilidades técnicas.

Amenazas para los empleados de primera línea: Recolección de credenciales

Un representante de ventas recibe lo que parece ser una notificación rutinaria de que su sesión de CRM ha expirado, completa con la marca corporativa y elementos familiares de la interfaz. El enlace incrustado conduce a una réplica convincente de su portal de inicio de sesión diario, diseñado específicamente para capturar sus credenciales. Este tipo de ataque tiene éxito porque aprovecha la frecuente interacción del representante con múltiples plataformas y la presión del tiempo inherente a las funciones de venta.

Los representantes de ventas se enfrentan a riesgos únicos debido a su visibilidad pública, el uso frecuente de herramientas de terceros y la interacción regular con contactos externos. Los atacantes entienden que estos empleados suelen moverse rápidamente entre plataformas y puede que no examinen las notificaciones rutinarias del sistema con tanto cuidado como otros grupos de usuarios.

El déficit de formación

Mientras que el ejecutivo se enfrenta a una sofisticada ingeniería social diseñada para explotar la autoridad financiera, el representante de ventas se encuentra con intentos de robo de credenciales que aprovechan la familiaridad operativa. Los programas de formación tradicionales que se centran en indicadores genéricos de phishing no abordan estos vectores de ataque específicos de cada función. El ejecutivo necesita formación sobre protocolos de verificación de transacciones financieras y tácticas de suplantación de ejecutivos, mientras que el representante de ventas requiere educación sobre esquemas de phishing específicos de la plataforma y protección de credenciales.

Esta diferencia en los patrones de amenaza subraya por qué las organizaciones ya no pueden confiar en enfoques de formación uniformes. Cada papel se enfrenta a riesgos distintos que requieren una educación específica, modificaciones concretas del comportamiento y protocolos de respuesta adecuados a cada papel.

El camino a seguir: Implantación de la formación en seguridad basada en funciones

El paso de una formación en seguridad genérica a otra basada en funciones representa algo más que un cambio táctico, es una evolución fundamental en la forma en que las organizaciones abordan el riesgo humano. Las organizaciones que inicien esta transición deben empezar por analizar sus datos existentes sobre incidentes de seguridad para identificar patrones de concentración de riesgos. ¿Qué usuarios aparecen sistemáticamente en los informes de incidentes? ¿Qué tipos de incidentes se producen con más frecuencia en los distintos departamentos?

Este análisis proporciona la base para desarrollar intervenciones específicas que aborden factores de riesgo concretos en lugar de amenazas genéricas. La infraestructura tecnológica que respalda la formación basada en roles debe ser capaz de ofrecer contenidos personalizados, realizar un seguimiento de los cambios de comportamiento y medir los resultados de seguridad en el mundo real.

Y lo que es más importante, la formación basada en funciones debe considerarse un proceso continuo y no un acontecimiento periódico. A medida que evolucionan las amenazas y cambian los comportamientos de los usuarios, los programas de formación deben adaptarse en consecuencia. Esto requiere un seguimiento continuo, una evaluación periódica y la flexibilidad necesaria para modificar las intervenciones en función de los datos que vayan surgiendo.

Las organizaciones que implanten con éxito la formación en seguridad basada en roles se encontrarán mejor preparadas para el complejo panorama de amenazas del futuro. Al reconocer que el riesgo humano está concentrado y es gestionable, pueden transformar su mayor vulnerabilidad en una ventaja competitiva.

¿Está listo para transformar su formación en seguridad de genérica a específica? Conozca cómo las soluciones de concienciación y formación en seguridad de Mimecast pueden ayudarle a implementar intervenciones basadas en roles que aborden los patrones de riesgo específicos de su organización.