La conciencia de seguridad no es una pérdida de tiempo

Muchos gerentes de TI de las empresas confían en la formación de concienciación sobre seguridad para incluir a los empleados en la seguridad de TI. Hay muchos partidarios de esta medida, pero los críticos se oponen a ella. Dudas del significado y la eficacia de las medidas de formación.

La pregunta hoy no es si, sino cuándo una empresa volverá a ser el objetivo de un ciberataque. Los administradores de TI luchan con innumerables ataques todos los días. Los analistas de G DATA CyberDefense contaron más de 4.9 millones de nuevos programas de malware , un promedio de nueve copias nuevas por minuto. Esto muestra que el fraude en línea y los ataques cibernéticos son una parte triste de la vida cotidiana en muchas empresas. No en vano, el Barómetro de Riesgos de Allianz actual muestra que las empresas alemanas ven los incidentes de seguridad de TI como el segundo riesgo empresarial más importante. Esta amenaza incluso ocupa el primer lugar en el ranking mundial. El problema: Las medidas técnicas como una solución de seguridad o un firewall no ofrecen una protección al cien por cien. Por lo tanto, muchos gerentes de TI y recursos humanos confían en hacer que los empleados formen parte de la ciberdefensa y capacitarlos en todos los aspectos de la seguridad de TI.

Establecer una autoridad protectora adicional a través de los empleados no solo suena sensato, también es cierto. como parte del informe G DATA Mittelstands encuestamos a 200 empresas medianas de Alemania sobre este tema. El resultado: más de ocho de cada diez directores de TI creen que los empleados pueden desencadenar un ciberataqueMuchos administradores confían en la formación y la educación, en resumen: crear conciencia sobre la seguridad.

¿La formación de concienciación es ineficaz?

Críticos como Bruce Schneier, experto estadounidense en criptografía y seguridad informática, dudan de la eficacia de la formación en seguridad para los empleados de las empresas. Schneier los describe como una pérdida de tiempo y dinero. En su opinión, las empresas deberían invertir su presupuesto en el desarrollo de software e interfaces seguros. Schneier también sostiene que es difícil lograr que la gente cambie sus acciones y da un ejemplo del sector de la salud: la mayoría de la gente sabe cómo comer de forma saludable y que el ejercicio es importante. Aun así, se sientan en el sofá y comen comida rápida. 

Esta forma de pensar significa que las empresas difícilmente pueden lograr que sus empleados cambien su comportamiento para obtener más seguridad de TI. Por supuesto, todos sabemos que es difícil cambiar el comportamiento habitual, especialmente cuando se trata de acciones o procedimientos diarios. Pero eso no significa que sea imposible.
 

La conciencia de seguridad es un proceso

Aparentemente, Schneier comete un error crucial: no entiende la conciencia de seguridad como un proceso, aunque lo es. Por supuesto, la seguridad de TI no es un deseo piadoso que de repente se hace realidad. Si desea aumentar la conciencia de seguridad en su empresa, debe recorrer un camino con el objetivo de establecer un manejo cuidadoso y seguro de los recursos de TI. No es fácil, pero los empleados deben ser conscientes de las amenazas cibernéticas que pueden encontrar de manera profesional y privada y aprender a lidiar con ellas. Es posible gestionar este proceso.

Sin embargo, hay un obstáculo importante que debe tenerse en cuenta: el tema de la seguridad informática es muy complejo y abstracto. Muchos empleados no pueden imaginar qué es un programa malicioso, por ejemplo, y cómo funciona un ciberataque, porque no se puede ver nada en la superficie. A menudo, solo se ve el resultado de un ataque, por ejemplo, la pantalla de bloqueo con la extorsión del rescate en caso de un ataque de ransomware exitoso. El código malicioso en sí mismo y los procesos detrás de él permanecen ocultos. A diferencia de, por ejemplo, una bacteria, no se pueden ver con un microscopio en el laboratorio, ni siquiera los legos de TI.

Día Internacional de la Seguridad Informática | DurangoMas


 

El camino hacia una mayor conciencia de seguridad

Entonces, ¿cómo logran los gerentes de TI que los cuidadores, contables y todos los demás empleados se abran al tema de la seguridad de TI? Las empresas deben contar con cursos de formación en sensibilización en seguridad que, sin levantar el dedo índice, transmitan los conocimientos necesarios de forma práctica y, sobre todo, comprensible. Los empleados no deberían sentirse como el eslabón más débil de la cadena de ciberdefensa, como dice la socióloga Jessica Barker . Dio un discurso de apertura en DeepSec 2017 en Viena. Entre otras cosas, también pidió una charla más positiva y alentadora sobre la seguridad informática, porque a los usuarios no se les debe dar la impresión de que se enfrentan a problemas irresolubles.

Los gerentes de TI deben convencer a los empleados del tema dándoles la sensación de que participan activamente en la defensa cibernética. Los empleados también deben comprender por qué la seguridad de TI es esencial para una empresa mediana. Los ataques exitosos pueden, por ejemplo, provocar problemas económicos e incluso la ruina financiera de una empresa mediana. En el peor de los casos, el trabajo también se vería amenazado. Una vez que los empleados tienen una comprensión básica de la necesidad, están listos para recibir una capacitación que se adapte a sus necesidades.
 

Así es como funciona con la conciencia de seguridad.

En primer lugar, los administradores de TI deben determinar el estado actual de los conocimientos sobre seguridad. Muchos cursos de formación de concienciación sobre seguridad comienzan con una prueba que determina el nivel de conocimiento. El objetivo de esto no debería ser ridiculizar a los empleados. El objetivo es identificar las mayores lagunas en el conocimiento y planificar una secuencia significativa de unidades de formación; muchos programas de formación están diseñados para un período más largo, por ejemplo, dos años. Luego, se requiere que los empleados completen los cursos de capacitación individuales según lo planeado. Los módulos de formación individuales cierran con muchos proveedores, como G DATA CyberDefense, con una pequeña comprobación del progreso del aprendizaje. Esto muestra el contenido de la formación una vez más y el empleado puede comprobar si ha entendido el tema. La unidad se puede repetir de nuevo si es necesario. Los alumnos también pueden aplicar los conocimientos adquiridos directamente a un correo electrónico de phishing ejemplar, por ejemplo.

Las repeticiones frecuentes consolidan el conocimiento de los empleados. Las unidades deben diseñarse de tal manera que puedan integrarse fácilmente en el trabajo diario. Los cursos de aprendizaje electrónico son especialmente adecuados para esto. Los cursos de formación a menudo se pueden completar en cualquier momento, la formación presencial que consume mucho tiempo desmotiva a los empleados y restringe enormemente su organización del trabajo. Los cursos de formación basados ​​en e-learning suelen ser de corta duración en combinación con los últimos métodos de aprendizaje. En las unidades, por ejemplo, se utilizan videos en lugar de textos largos, lo que hace que el contenido sea más fácil de entender.

La combinación con un enfoque de gamificación puede proporcionar un impulso adicional de motivación. Especialmente los estudiantes de seguridad de TI que trabajan duro pueden ser recompensados ​​con pequeños obsequios. Por otro lado, los empleados que aprenden más lentamente no deberían estar expuestos. Ellos también pueden estar más motivados a través de la gamificación. Sin embargo, no solo las empresas se benefician del conocimiento que se recopila; los empleados también pueden transferir fácilmente este conocimiento a su uso privado de computadoras y teléfonos inteligentes, por ejemplo, eligiendo contraseñas seguras y utilizando autenticación de dos factores para cuentas de usuario en línea. Preste atención al registro.
 

La conciencia de seguridad vale la pena

Las voces críticas afirman que la conciencia sobre la seguridad difícilmente se puede medir y que no se puede lograr el llamado ROSI (retorno de la inversión en seguridad). En algunos programas de formación, como el curso de concienciación sobre seguridad de G DATA , se puede medir el nivel de conocimientos de los empleados. Los gerentes de TI pueden ver qué persona ha completado qué unidades; esto se puede medir. Sin embargo, la inversión claramente ya está refinanciada tan pronto como un empleado previene incluso un ataque a través de su comportamiento prudente. Entonces se eliminan los altos costos por el tiempo de inactividad de los sistemas y la limpieza que requiere mucho tiempo. Además, las empresas también pueden asegurarse de que sus empleados cumplan con la normativa de protección de datos de la UE y se ahorren costosas multas.

Seguridad Informática: Las últimas noticias sobre seguridad informática

Conclusión: no hay alternativa a la conciencia de seguridad

Bruce Schneier y otros críticos se equivocan cuando cuestionan la eficacia de las medidas de formación. Sin embargo, está claro que el proceso de aumentar la seguridad de la TI no es fácil de lograr. Si los gerentes de TI observan y tienen en cuenta los obstáculos, la conciencia de seguridad se establecerá en la empresa y ofrecerá un valor agregado real para la seguridad de TI. Los empleados prudentes pueden cortar un ataque cibernético de raíz antes de que los sistemas de TI tengan que ser puestos a prueba. Los sistemas de TI son significativamente más seguros y todos los datos importantes están mejor protegidos. Las empresas que no involucran a sus empleados en la seguridad de TI pierden una gran oportunidad y se exponen a riesgos cibernéticos innecesariamente altos.

Enlace: https://www.gdata.de/blog/2020/04/36012-security-awareness-ist-keine-zeitverschwendung Blog de  G DATA Kathrin Beckert-Plewka