Más formación no reducirá su ciberriesgo

Naqiewei/Getty Images

¿Cuántas veces ha tenido que ver el último vídeo de formación en ciberseguridad de su empresa? Ahora existe toda una industria para entrenarnos a los humanos para que seamos más inteligentes en la forma en que operamos los ordenadores y, sin embargo, el número de Los incidentes de ciberseguridad siguen aumentando. ¿Los hackers siempre van un paso por delante? ¿Es imposible entrenarnos? ¿O nos están enseñando las lecciones equivocadas?

De hecho, el ser humano es el eslabón más débil de la ciberseguridad. Pero con demasiada frecuencia, el enfoque de las organizaciones para mitigar ese riesgo —aparte de tomar la sabia medida de garantizar que cuentan con la protección tecnológica de última generación— es más formación. No será suficiente.

Las fuerzas armadas y las agencias de seguridad de los Estados Unidos son un buen ejemplo. Si los militares entrenan a sus soldados, marineros, generales y almirantes para que sean un eslabón menos débil en materia de ciberseguridad, como el almirante Sandy Winnefeld, exvicepresidente del Estado Mayor Conjunto de los Estados Unidos, aconseja? Claro. ¿Debería la Agencia de Seguridad Nacional (NSA) hacer lo mismo con sus empleados para mantener los secretos en secreto, ya que New York Times indica¿ha sido un desafío? Obviamente.

Pero la verdad es que estas partes del gobierno de los Estados Unidos llevan años intentando que sus fuerzas laborales sean más conocedoras de la ciberseguridad y, sin embargo, los hackeos siguen llegando y teniendo éxito, incluso contra la red de Estado Mayor Conjunto del ejército estadounidense, que Washington Post informes se vio comprometido en agosto de 2015 a través de un mísero correo electrónico de suplantación de identidad. Hacerles pasar 50 horas más de formación sobre ciberhigiene al año no ayudará más que advertir a nuestros mayores de que no hagan clic en los enlaces de los correos electrónicos de direcciones extrañas. Nunca podremos enseñar a todos los destinatarios del correo electrónico a discernir lo que parece una suplantación de identidad.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

Hay un área en la que más formación daría sus frutos: para los directores ejecutivos y otros altos directivos, las personas que tienen menos probabilidades de recibir formación o de tomársela en serio. El cuarenta por ciento de los que respondieron a un Encuesta de BAE Systems de los altos directivos de varios sectores dijeron que no entienden los protocolos de ciberseguridad de su propia empresa. Pero si usted es el jefe, es un objetivo atractivo para los ladrones y los espías.

Lo que es más importante, la formación puede ayudar a los líderes a ser mucho más eficaces a la hora de supervisar a los directores de información (CIO) y a los directores de seguridad de la información (CISO). Con la formación, los líderes pueden hacer concesiones más informadas entre comprar la tecnología más práctica, accesible y asequible (la función de CIO) y mantener esa tecnología y los datos críticos de la empresa seguros (la función de CISO).

Sin embargo, cuando se trata de todos los demás miembros de la organización, la respuesta no es más formación, sino no confíe en los humanos en primer lugar. Simplemente hay demasiadas posibilidades de que accidentalmente nos perjudiquemos a nosotros mismos o a las redes en las que operamos, independientemente de la cantidad de formación que recibamos. Lo que tenemos que hacer es ayudar a los usuarios y clientes a evitar que ellos y sus hogares y organizaciones se metan en problemas.

Las siguientes propuestas tienen como objetivo que las empresas sean proactivas a la hora de reforzar la seguridad de sus propias redes y ordenadores. Harán que la empresa y sus usuarios estén más seguros, independientemente de si reciben o no más formación.

Conozca su información y priorícela. Puede que sea el consejo de ciberseguridad más común que existe (incluso el cibercoordinador de la Casa Blanca y exjefe de hackers de la NSA) Rob Joyce lo dice !) , pero no está en ningún lado si no conoce su red y, entonces, prioriza lo que tiene que defender. No puede defender lo que no sabe y no hay forma de defender todos los archivos, bases de datos y carpetas por igual. Por lo tanto, los líderes deberían invertir tiempo en conocer la red de su organización. Es el primer paso necesario (aunque insuficiente) para ayudar a sus humanos a hacer su trabajo de forma segura y, al mismo tiempo, mantener alejados a los malos actores.

No permita que sus amigos hagan clic en los enlaces. En2015, el Departamento de Defensa (DoD) de los Estados Unidos decidió que ya era suficiente: para evitar que sus usuarios hicieran clic en enlaces potencialmente maliciosos, convirtió todo el correo entrante de dominios distintos de .mil en texto sin formato. Bien, no hay enlaces en los que hacer clic. ¿Incómodo? Quizás. Pero este es un caso en el que una empresa decidió que los riesgos de la comodidad superaban las recompensas y los líderes del DoD tomaron medidas para evitar que sus empleados causaran daños inadvertidos a la red militar.

No se limite a compartir información, bloquéela. Aproveche servicios como La bolsa de amenazas de Facebook que puede enviar información sobre amenazas a las defensas perimetrales y bloquear los intentos de conexiones maliciosas. Este enfoque nunca mantendrá a una empresa perfectamente segura, pero reducirá el riesgo de infección por las fuentes conocidas por la comunidad. Y la desafortunada verdad es que muchas, si no la mayoría, de las amenazas incluyen indicadores que las comunidades de seguridad de la información conocen con antelación.

Reduzca su superficie de ataque. La mayoría de nosotros en el trabajo utilizamos ordenadores que tienen demasiada capacidad de la que necesitamos o utilizamos a diario. Esa capacidad conlleva un aumento del riesgo debido a todo tipo de vías de infección adicionales. Si puede hacerlo, piense en utilizar algo mínimo, como un Chromebook totalmente basado en navegador, que puede reducir drásticamente las oportunidades que se le presentan a un adversario o un delincuente de acceder no autorizado a su sistema. Sus actualizaciones son mucho más periódicas y hay mucho menos exceso de software que infectar.

Busque la nube. Las empresas y negocios sofisticados pueden gestionar la seguridad de su dominio con una combinación de productos de seguridad. Sin embargo, muchas pequeñas y medianas empresas no tienen los recursos para hacerlo. Mientras tanto, empresas como Google gastan millones en intentar mantener a los piratas informáticos fuera de su infraestructura de correo electrónico. Si le preocupa no tener los recursos para gestionar su propia seguridad del correo electrónico, considere la posibilidad de cambiar su infraestructura de correo electrónico back-end a la de Google para aprovechar sus inversiones en seguridad. Dedica mucho tiempo a cazar hackers para que no tenga que hacerlo.

Por último, no olvide la amenaza interna. Los profesionales de la ciberseguridad dedican mucho tiempo a mantener alejados a los malos. Pero a veces, los buenos se convierten en malos. De hecho, Estimaciones de IBM que el 60% de todos los ataques son desde dentro. Un enfoque centrado en las personas para limitar el daño causado por personas con información privilegiada podría incluir la creación de una cultura de responsabilidad mutua (algunos podrían decir que es charlatanería) en el trabajo. Las comprobaciones adicionales de las amenazas internas incluyen segmentar una red para que solo las personas que necesiten acceder a ciertos datos tengan acceso a esos datos y «marcar» los datos confidenciales con información sobre cuándo y quién accedió a ellos.

***

Sería absurdo aspirar o prometer una seguridad perfecta. En cambio, estas sugerencias tienen por objeto ayudar a reducir el riesgo de un ataque. No todos serán apropiados para cada situación o usuario, pero juntos contribuyen en gran medida a echar una mano al humano a mejorar la ciberseguridad.