Normalización de la cultura de seguridad: manténgase preparado

Octubre es el Mes Nacional de Concientización sobre la Ciberseguridad en los EE. UU., cuando los equipos de TI preparan su programa anual de capacitación y educación sobre seguridad. Para muchos empleados, esta puede ser su única interacción con el equipo de seguridad además de la incorporación, el envío de un ticket de ayuda o un posible incidente. Pero cada persona desempeña un papel en la función de seguridad de la empresa todos los días, se dé cuenta o no. Al hacerlo, tienen el potencial de ser un activo o un riesgo para la postura de seguridad del equipo.

Según el Informe de investigaciones de vulneración de datos de Verizon de 2024 (DBIR), el 68% de todas las infracciones incluyen el elemento humano, con personas involucradas ya sea por error, uso de credenciales robadas o ingeniería social. Si bien la explotación de vulnerabilidades técnicas es cada vez más frecuente como vía inicial de entrada para un atacante, las credenciales robadas y el phishing siguen representando la mayor parte de las infracciones registradas.

Priorizar la seguridad como un elemento crítico para la eficacia y el éxito de una organización reducirá el riesgo de incidentes, al tiempo que beneficiará a todo el equipo y la reputación de la organización.

Poner precio a la confianza

La seguridad es una función empresarial central, tan crucial para el éxito de una organización como los departamentos de finanzas, generación de ingresos o productos. También es un factor clave en la configuración de la reputación de una organización, influyendo específicamente en las percepciones públicas e internas sobre si la organización es confiable y confiable. Para comprender el profundo impacto de la seguridad (o inseguridad) percibida tanto en la imagen pública como en los resultados, basta con examinar las opiniones de los clientes o los precios de las acciones de las principales empresas antes y después de una infracción o interrupción publicitada.

La seguridad tiene un impacto particularmente significativo en si la empresa es considerada confiable y segura para los negocios. La diferencia entre un programa de seguridad exitoso y uno vulnerable se reduce a si ese valor se comunica de manera regular y efectiva.

Lo que se mide importa

En algunas organizaciones, un CISO o CIO puede defender la seguridad a nivel ejecutivo, informando a otros líderes y partes interesadas sobre sus necesidades y valor. Sin embargo, en la mayoría de las empresas, esta responsabilidad recae en el líder del equipo de TI, lo que aumenta su ya importante carga de trabajo.

Si bien puede parecer una autopromoción o un trabajo superfluo, es extremadamente valioso tomarse el tiempo extra para resumir las amenazas detenidas, los procesos mejorados, los proyectos completados y los miembros del equipo modelando un comportamiento de seguridad sólido. Este esfuerzo garantiza que los beneficios y el valor del programa de seguridad sigan siendo una prioridad para el liderazgo, en lugar de verse eclipsados ​​por las preocupaciones presupuestarias del próximo trimestre o la esperanza de evitar malas noticias.

Antes de empezar desde cero, busque los recursos existentes preguntando a los proveedores y socios qué informes y métricas de rendimiento pueden proporcionar. Muchas herramientas ya deberían tener funciones de auditoría u otras funciones de informes basadas en plantillas, y algunas pueden incluso ofrecer resúmenes personalizados o sesiones informativas ejecutivas diseñadas para actualizar a los líderes sobre el progreso.

Al elegir métricas, pregunte si realmente promueven objetivos de seguridad efectivos. Por ejemplo, un paso en falso común en el entrenamiento de phishing es rastrear únicamente la cantidad de personas que hacen clic en el enlace antes y después del entrenamiento. Si bien reducir los clics de riesgo es valioso, reducir ese número a cero es poco probable. En cambio, centrarse en la rapidez con la que alguien denuncia un phishing puede reducir materialmente el tiempo que lleva detectar y detener un ataque en el mundo real. Ahora, la capacitación puede enfatizar la importancia de denunciar actividades sospechosas, incluso si un empleado inicialmente cayó en la trampa del phishing. Este enfoque fomenta la apertura en lugar del silencio generado por el miedo o la vergüenza, y recompensar el comportamiento proactivo puede aumentar significativamente la probabilidad de que los miembros del equipo se acerquen cuando algo sucede.

Recuerde, lo que se mide se gestiona. Seleccionar y rastrear cuidadosamente métricas de seguridad significativas mejora la postura de seguridad y demuestra el valor tangible de un programa de seguridad para la organización. Este enfoque basado en datos puede ayudar a asegurar los recursos necesarios y el soporte para las iniciativas de seguridad en curso, convirtiendo la función de seguridad de un centro de costos en un impulsor de valor para el negocio.

Deshacerse de la reputación del “Departamento del No”

Hay un cliché de seguridad muy repetido como El Departamento de No: un obstáculo para la productividad, que es mejor no ver ni escuchar. Y si la mayoría de las interacciones de seguridad se perciben como “tediosas y/o confusas” o “frustrantes y/o aterradoras”, las personas harán todo lo posible para evitar interacciones futuras.

En realidad, la seguridad trabaja incansablemente para mantener a la organización y a las personas dentro de ella seguras y protegidas de innumerables riesgos. Lo que puede parecer una negativa arbitraria desde la perspectiva de un compañero de equipo bien puede estar respaldado por una buena política.

Mejorar esta percepción no significa abandonar los controles o aprobar todas las solicitudes. En cambio, requiere explicar claramente por qué existen políticas, recopilar periódicamente comentarios sobre los procesos que resultan ser obstáculos y mostrar los logros como parte de la cadencia empresarial normal.

Los errores pueden ser más que tickets de ayuda adicionales para que los equipos de TI los clasifican o irregularidades para investigar: pueden proporcionar comentarios invaluables cuando un proceso no es intuitivo o no se entiende correctamente. Hablar de “por qué” alguien se desvía del camino autorizado puede ayudar a identificar documentación confusa, casos de uso no considerados u otros comentarios cualitativos que se escapan de lo que se puede capturar en un registro del sistema.

¿Qué has hecho por ellos últimamente?

La mayoría de las personas no cuentan con expertos en seguridad de guardia en su vida personal, y esto brinda a los equipos de seguridad una oportunidad única de ayudar, al tiempo que fortalecen su relación con el equipo en general. En lugar de simplemente implementar módulos de capacitación mediante clic para cumplir con los requisitos de cumplimiento y seguros, trate la educación como otra oportunidad para brindar un beneficio a los empleados.

Informe a los empleados sobre las tendencias de ataques y estafas, para que puedan estar al tanto e informar a los familiares potencialmente vulnerables. Enséñeles acerca de una buena higiene de seguridad, no solo en los sistemas de trabajo sino también en los sitios que probablemente utilicen en su vida diaria, como las redes sociales o la banca personal. Esta práctica no solo ayuda a mantener a su equipo a salvo de amenazas cuando no están en el trabajo, sino que también contribuye a la seguridad de la organización al convertirlos en objetivos más difíciles para los atacantes. Sería fantástico si los atacantes se apoderaran de las noches y los fines de semana, pero en realidad, sabemos que buscarán el acceso dondequiera (y a través de quien) esté disponible.

Compartir algunos consejos cada semana durante las reuniones del equipo, en el chat del equipo y en las actualizaciones de todos también es más digerible para las personas. Es más fácil asimilar algunos consejos cada semana que resistir la tentación de desconectarse de una sesión de entrenamiento seca y monótona de varias horas de duración.

Este enfoque también mejora la retención. Según la investigación de Hermann Ebbinghaus sobre la memoria y el “curva del olvido”, olvidamos la gran mayoría de la información recién aprendida al cabo de un par de días de haberla aprendido. Sin embargo, la segunda iteración de revisar esa misma información aumentará tanto el porcentaje de información recordada como el tiempo que se recordará. Los repasos y ampliaciones regulares sobre un tema darán como resultado una comprensión más completa y un recuerdo más resistente del tema.

Juntos somos más fuertes

Cambiar la relación de seguridad de una relación de evasión a una de refuerzo, seguridad y orientación confiable motivará a las personas a escuchar con más atención los mensajes de seguridad. Una mayor comprensión y aceptación cultivan una mentalidad de seguridad más sólida en todos los equipos, definiendo la seguridad como una función proactiva y compartida en lugar de una función reactiva y especializada.

La seguridad es un esfuerzo colectivo y ayudar a su equipo a mantenerse más seguro dentro y fuera del trabajo beneficiará tanto a ellos como a la organización. Al redefinir la seguridad como un aliado confiable en lugar de un temido correo electrónico o una invitación a una reunión, podemos crear un entorno más resiliente y seguro para todos. Recuerde, cuando se trata de seguridad, ¡de hecho somos más fuertes juntos!



Fuente