CIBERSEGURIDAD

Estudio de caso: Softcat prevalece sobre el ciberdelito con KnowBe4

0 74 4 minutos de lectura


Con una multitud de premios, que van desde el ‘Revendedor del año del sector público’ de CRN hasta Great Places to Work y Best Managed IT Provider, Softcat es uno de los distribuidores de soluciones y servicios tecnológicos más grandes y de mayor reputación en el Reino Unido. Su equipo de más de 1300 empleados en oficinas en Gran Bretaña e Irlanda, ayuda a los clientes a encontrar el software adecuado para sus necesidades, brinda asesoramiento experto y apoya a las organizaciones a través de transformaciones completas de infraestructura. Anteriormente conocido como Catálogo de software, Softcat salió a bolsa en la Bolsa de Valores de Londres en 2015 y desde entonces ha sido ascendido al índice FTSE 250.

50.000 correos electrónicos al día y lucha contra el compromiso del correo electrónico empresarial

En su mayor parte, el equipo de Softcat puede describirse como experto en tecnología. Como tal, los empleados están, en general, más equipados para reconocer actividades sospechosas. Sin embargo, como descubrió al completar una campaña de phishing de referencia ejecutada con KnowBe4, el 12% de la empresa es susceptible de ser víctima de correos electrónicos de phishing. Si bien esto puede parecer una cifra baja para algunos, vale la pena recordar que solo se necesita un mal clic para que se produzca una violación de datos.

La lucha que Softcat que enfrentamos para contener este problema se reduce a dos factores principales.

En primer lugar, hasta hace tres años, su programa de sensibilización sobre seguridad se realizaba de forma ad hoc. Cualquier capacitación se implementó típicamente durante el período de inducción, cuando los nuevos empleados se unieron al negocio por primera vez. Además de ser poco frecuentes, las capacitaciones a menudo se perderían debido a la falta de tiempo o por perderse en las largas listas de tareas pendientes que acompañan a comenzar un nuevo trabajo.

En segundo lugar, el campo en el que Softcat opera en requiere que los empleados trabajen con un gran número de terceros. De hecho, en la actualidad, la empresa tiene más de 12.300 clientes de larga data y al menos mil socios. También recibe hasta 50.000 correos electrónicos entrantes al día. En otras palabras, ¡un cuarto de millón de correos electrónicos entrantes por semana laboral! Considerando únicamente la gran cantidad de clientes y socios, así como la inmensa afluencia de correos electrónicos, los riesgos de un ataque de phishing se multiplican por múltiples. Uno de los principales problemas que Softcat ha observado en el mercado es el compromiso de los correos electrónicos comerciales. En numerosas ocasiones, un tercero sufre un ataque de phishing y la cuenta se ve comprometida. Luego, la cuenta envía correos electrónicos maliciosos a sus contactos, incluidos Softcat. En esta etapa, el riesgo es muy alto ya que el correo electrónico parece provenir de un contacto legítimo y conocido.

La importancia de diversos contenidos de formación sobre concienciación en materia de seguridad

Afortunadamente para Mark Overton, director de seguridad de TI en Softcat, el directorio de la empresa reconoció la importancia de no solo implementar la capacitación en concientización sobre seguridad, sino también de garantizar que se ejecute bien. Habiendo vendido con éxito los servicios de KnowBe4 y viendo de primera mano su popularidad entre sus clientes, KnowBe4 se destacó como un proveedor obvio de Softcatpropias necesidades de concienciación en materia de seguridad.

Mark quedó especialmente impresionado con la riqueza del contenido de KnowBe4. Si bien el antiguo proveedor tenía conciencia de seguridad como parte de su cartera, KnowBe4 se especializó en él. De esta manera, podría ofrecer una variedad de contenido para adaptarse a diferentes empleados. Por un lado, Softcat tiene empleados como los de ventas, que trabajan en gran medida en un entorno restringido y poseen acceso administrativo limitado. Para estos usuarios, Mark quería estar seguro de que no estaban sobrecargados con una formación irrelevante y exhaustiva. Los videos cortos y entretenidos ofrecidos por KnowBe4, que ayudaron a llevar a casa los mensajes clave, fueron útiles en este contexto. Por otro lado, otros departamentos como los de finanzas y TI, que tenían altos niveles de privilegio y enfrentaban un mayor riesgo, requerían una formación más detallada y extensa que KnowBe4 también podía proporcionar.

Además de esto, KnowBe4 envía automáticamente notificaciones a sus usuarios para recordarles regularmente cualquier entrenamiento incompleto, al mismo tiempo que proporciona enlaces únicos al mismo. Esto permite a los empleados acceder fácilmente a la formación sin tener que pasar por el departamento de TI con quejas sobre accesibilidad. En palabras de Mark, KnowBe4 hace que el proceso sea “fluido”.

Implementación

La implementación del programa de capacitación de KnowBe4 también podría describirse fácilmente como sin problemas. Bajo la supervisión exclusiva de un aprendiz, Softcat pudo tener el programa en funcionamiento en menos de dos meses. Siempre que se encontraba un obstáculo, el gerente de relaciones con el cliente de KnowBe4 se apresuraba a brindar asistencia. De hecho, Mark elogió el servicio al cliente de KnowBe4 como «insuperable», dando más tiempo al personal senior de TI para que se concentre en otros trabajos más urgentes.

El regalo que sigue dando

La gama de contenido de KnowBe4, así como las instalaciones de personalización, se encuentran entre los aspectos más ventajosos del servicio para Softcat. Eso, además de los recordatorios frecuentes y la facilidad de uso, permite SoftcatLos empleados deben ser conscientes de manera eficiente de los riesgos de operar en línea en la actualidad. El hecho de que el programa se ejecute sin una gran sobrecarga administrativa es especialmente apreciado por Mark y su equipo de cuatro, que tienen una gran carga de trabajo.

En un futuro cercano, Mark planea construir una campaña de phishing que imite de cerca los compromisos del correo electrónico empresarial que él ve que ocurren dentro de la cadena de suministro. La gran selección de plantillas de correo electrónico disponibles a través de la plataforma KnowBe4, así como la opción de personalizar plantillas serán beneficiosas en este proceso. El objetivo principal de Mark en el futuro es reducir significativamente la línea de base del 12%.

“Cuanto más sean capaces los empleados de identificar un correo electrónico de phishing, más rápida y eficazmente podrá el equipo de TI crear un flujo de trabajo para neutralizar la amenaza y salvaguardar la ciberseguridad de la empresa”, explicó.

El valor de los servicios de KnowBe4 tampoco se ha mantenido en secreto dentro de la empresa. Más bien, debido a que el contenido se puede personalizar fácilmente según sea necesario, otros departamentos están demostrando interés en utilizar el programa para sus propias necesidades de conciencia de seguridad. Por ejemplo, el equipo legal y los departamentos responsables de sus estándares ISO están considerando la aplicación de los servicios de Knowbe4 para confirmar que todos los empleados hayan leído y aceptado las políticas o hayan recibido capacitación en materia de lucha contra la corrupción y el soborno.

Considerándolo todo, Mark dijo que KnowBe4 «realmente hace la vida más fácil».

Publicaciones relacionadas

Mirando hacia el estado de la ciberseguridad para el próximo año.

Juniper lanza código desarrollado por la NSA luego de nuevas revelaciones de puerta trasera

Con solo unos días para el final, ¿cuántas PC siguen ejecutando Windows XP?

Ataque de ransomware en escuelas de California detiene el aprendizaje remoto

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar