Octubre es el Mes de la Concientización sobre la Seguridad, un momento emocionante en el que las organizaciones de todo el mundo capacitan a las personas sobre cómo ser ciberseguros, tanto en el trabajo como en el hogar. Pero, ¿qué es exactamente la conciencia de seguridad y, lo que es más importante, por qué debería importarnos?
La conciencia de seguridad tiene muchos otros nombres, dependiendo de la organización: influencia de seguridad, cultura, compromiso, capacitación, educación, etc. Todos estos nombres diferentes pueden parecer confusos, pero en última instancia, todos hablan de lo mismo: administrar el riesgo humano.
El enfoque tradicional no funciona.
Las organizaciones, los líderes de ciberseguridad y la comunidad de ciberseguridad le dirán lo mismo: las personas representan el mayor riesgo de seguridad en el mundo altamente conectado de hoy. Las organizaciones lo ven en sus propios incidentes y nosotros lo vemos en conjuntos de datos globales.
El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) más reciente, uno de los informes más confiables de la industria, ha señalado que las personas estuvieron involucradas en más del 80% de las violaciones a nivel mundial. Estos incidentes pueden involucrar a personas que son blanco de correos electrónicos de phishing o ataques de smishing, o personas que cometen errores (por ejemplo, administradores de TI que configuran incorrectamente sus cuentas en la nube y comparten accidentalmente datos confidenciales con todo el mundo).
Si las personas representan un riesgo tan alto, ¿qué deberíamos hacer al respecto?
El enfoque tradicional ha sido (y a menudo sigue siendo) arrojar más tecnología al problema. Si los atacantes cibernéticos logran phishing a las personas con el correo electrónico, implementaremos tecnologías de seguridad que filtren y detengan los ataques de phishing por correo electrónico. Si los atacantes cibernéticos están comprometiendo las contraseñas de las personas, implementaremos la autenticación de múltiples factores. El problema es que los atacantes cibernéticos eluden estas tecnologías y se dirigen a las personas.
A medida que mejoramos en la identificación y detención de los ataques de correo electrónico de phishing, los atacantes cibernéticos apuntan a los teléfonos móviles de las personas con ataques de smishing (SMS o basados en mensajes). A medida que más y más organizaciones implementan MFA, los atacantes cibernéticos comenzaron a molestar a las personas con solicitudes de MFA hasta que aprueban una (como sucedió recientemente en Uber).
Aquí es donde también nos encontramos con nuestro segundo desafío: los equipos de seguridad con demasiada frecuencia culpan a las personas como la causa raíz del problema de riesgo humano, como se evidencia en frases de uso frecuente como “Las personas son el eslabón más débil” y “Si nuestros empleados no lo que les dijimos que hicieran, ellos y nosotros estaríamos seguros”.
Pero cuando observamos la seguridad cibernética desde la perspectiva del empleado promedio, resulta que la comunidad de seguridad suele ser la culpable. Hemos hecho que la seguridad cibernética sea tan confusa, aterradora y abrumadora que hemos llevado a la gente al fracaso. Las personas a menudo no tienen idea de qué hacer o, si saben qué hacer, hacer lo correcto se ha vuelto tan difícil que se equivocan o simplemente eligen otra opción.
Solo mire las contraseñas, uno de los mayores impulsores de las infracciones. Llevamos años diciendo que las personas continúan usando contraseñas débiles de manera insegura, pero el problema persiste porque las políticas de contraseñas que enseñamos son confusas y cambian constantemente. Por ejemplo, muchas organizaciones o sitios web tienen políticas que requieren contraseñas complejas de 15 caracteres, que incluyen letras mayúsculas y minúsculas, símbolos y números. Luego, exigimos a las personas que cambien esas contraseñas cada noventa días, pero no proporcionamos una forma segura de proteger todas esas contraseñas largas, complejas y cambiantes.
Luego implementamos MFA para ayudar a proteger a las personas pero, una vez más, esto es extremadamente confuso (¡incluso para mí!). Primero, tenemos varios nombres diferentes para MFA, incluida la autenticación de dos factores, la verificación de dos pasos, la autenticación sólida o las contraseñas de un solo uso. Luego, tenemos varias formas diferentes de implementarlo, incluidas las notificaciones automáticas, los mensajes de texto, las aplicaciones de autenticación basadas en tokens FIDO, etc. usándolo
De la conciencia de seguridad a la gestión del riesgo humano
La capacitación en concientización sobre seguridad ha sido el enfoque tradicional e implica comunicar y capacitar a su fuerza laboral sobre cómo ser ciberseguro. Si bien es un paso en la dirección correcta, debemos dar un paso más: debemos gestionar el riesgo humano.
La gestión del riesgo humano requiere un enfoque mucho más estratégico. Se basa en la conciencia de seguridad, para incluir:
- Riesgos: el equipo de concientización sobre seguridad debe ser una parte integrada del equipo de seguridad, incluso reportando directamente al CISO. Su trabajo debe incluir trabajar en estrecha colaboración con otros elementos de seguridad (como el centro de operaciones de seguridad, los analistas de inteligencia de amenazas cibernéticas y los respondedores de incidentes) para identificar claramente los principales riesgos humanos para la organización y los comportamientos clave que gestionan esos riesgos. Una vez que esos riesgos y comportamientos clave han sido identificados y priorizados, entonces podemos comunicarnos y capacitar a nuestra fuerza laboral sobre esos comportamientos.
- Políticas: debemos comenzar a crear políticas, procesos y procedimientos de seguridad que sean mucho más simples de seguir para las personas, debemos diseñar políticas (y las herramientas que las respaldan) pensando en las personas. Si queremos que las personas usen una autenticación sólida, debemos centrarnos en algo que sea fácil de aprender y usar para las personas. Cuanto más confuso y manual sea el proceso, más fácil será para los atacantes cibernéticos aprovecharlo.
- Equipo de seguridad: necesitamos que los equipos de seguridad se comuniquen con su fuerza laboral en términos simples y “humanos” que todos puedan entender, incluida la explicación del POR QUÉ de sus requisitos: ¿Por qué son importantes los administradores de contraseñas, qué valor tiene MFA para ellos y por qué habilitar la actualización es buena para ellos. Debemos cambiar la percepción de los empleados sobre el equipo de seguridad: de arrogante a accesible.
La gestión del riesgo humano se está convirtiendo en una parte fundamental de la estrategia de todo líder de seguridad. La conciencia de seguridad es el primer paso en la dirección correcta a medida que intentamos comunicarnos, involucrar y capacitar a nuestra fuerza laboral, pero necesitamos un esfuerzo estratégico más dedicado para administrar realmente el riesgo humano. Tal vez algún día crezcamos y reemplacemos el rol del Oficial de Concientización de Seguridad con el Oficial de Riesgo Humano.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad