La conciencia de seguridad no es una pérdida de tiempo

Muchos gerentes de TI en las empresas confían en la capacitación de conciencia de seguridad para que los empleados presten atención a la seguridad de TI. La medida tiene tantos defensores como críticos que se oponen. Este último no puede ver el punto o tiene dudas sobre la efectividad de tales actividades de capacitación.

La pregunta hoy no es si, sino cuándo, una empresa volverá a ser el blanco de un ataque cibernético. Los gerentes de TI luchan con innumerables ataques a diario. Los analistas de G DATA CyberDefense contaron más de 4.9 millones de nuevos programas de malware en 2019 , un promedio de nueve muestras nuevas por minuto. Esto muestra que, lamentablemente, el fraude en línea y los ataques cibernéticos son un hecho cotidiano en muchas empresas. Por lo tanto, no sorprende que el último Barómetro de riesgos de Allianz muestre que las empresas alemanas ven los incidentes de seguridad en el sector de TI como el segundo riesgo comercial más importante. En el ranking global, esta amenaza en realidad ocupa el primer lugar.El problema es que las medidas técnicas, como una solución de seguridad o un firewall, no brindan una protección del cien por ciento. Es por eso que muchos gerentes de TI y recursos humanos confían en involucrar a los empleados en defensa cibernética y capacitarlos en todos los aspectos de la seguridad de TI.

Crear otra capa de protección a través de los empleados no solo parece una buena idea, también funciona. Al compilar el Informe SMD de G DATA en 2019, encuestamos a 200 empresas medianas de Alemania sobre este tema. El resultado fue que más de ocho de cada diez gerentes de TI creen que los empleados pueden desencadenar un ataque cibernético . Muchos administradores confían en la capacitación y la educación, en resumen, en crear conciencia sobre la seguridad.

Entonces, ¿no significa esto que los cursos de capacitación de sensibilización funcionan?

Críticos como Bruce Schneier, un experto estadounidense en criptografía y seguridad informática, cuestionan la efectividad de la capacitación en seguridad para los empleados de la empresa. Schneier los llama una pérdida de tiempo y dinero. En su opinión, las empresas deberían gastar su presupuesto en el desarrollo de software e interfaces seguros. Schneier también argumenta que es difícil lograr que las personas cambien su comportamiento y cita un ejemplo del sector de la salud: la mayoría de las personas son conscientes de la importancia de una dieta saludable y ejercicio. Pero eso no les impide sentarse en el sofá y comer comida rápida. 

Esta forma de pensar significa que a las empresas les resulta difícil lograr que sus empleados cambien sus hábitos para mejorar la seguridad de TI. Por supuesto, cada uno de nosotros sabe que es difícil cambiar los patrones regulares de comportamiento, especialmente cuando se trata de actividades o procesos diarios. Pero esto no significa que sea imposible.
 

La conciencia de seguridad es un proceso

Schneier parece estar cometiendo un error crucial. No ve la conciencia de seguridad como un proceso, pero lo es. Por supuesto, la seguridad de TI no es un sueño imposible que se hará realidad de la noche a la mañana. Si desea aumentar la conciencia de seguridad en su empresa, debe establecer el objetivo de establecer un uso prudente y seguro de los recursos de TI. Esto no es algo fácil de hacer, pero los empleados deben ser conscientes de las amenazas cibernéticas que pueden encontrar en su vida profesional y privada y aprender a lidiar con ellos. Es posible gestionar este proceso.

Sin embargo, hay un obstáculo importante que superar: la seguridad de TI es un tema muy complejo y abstracto . Por ejemplo, muchos empleados no pueden visualizar qué es el malware y cómo funciona un ataque cibernético, ya que no proporciona ninguna pista visual que un usuario pueda identificar. La mayoría de las veces, la única indicación visible es el resultado final de un ataque. Un ejemplo es una pantalla de bloqueo con una demanda de rescate, que solo se manifiesta después de un ataque de ransomware exitoso. El código malicioso en sí y los procesos detrás de él permanecen ocultos. A diferencia de las bacterias, por ejemplo, no son visibles bajo un microscopio en un laboratorio, incluso para un aficionado de TI.

La ruta hacia una mayor conciencia de seguridad

Entonces, ¿cómo se aseguran los gerentes de TI de que los cuidadores, contadores y todos los demás empleados sean receptivos al tema de la seguridad de TI? Las empresas deben confiar en la capacitación en conciencia de seguridad que, sin predicar, transmita los conocimientos necesarios de manera práctica y, sobre todo, comprensible. Los empleados no deberían tener la impresión de que son el eslabón más débil en la cadena de defensa cibernética , como dice la socióloga Jessica Barker. Dio un discurso de apertura en DeepSec 2017 en Viena. Una de las cosas que pidió fue una discusión más positiva y alentadora sobre la seguridad de TI, porque a los usuarios no se les debe dar la impresión de enfrentarse a problemas irresolubles.

Los gerentes de TI deben atraer a los empleados al problema dándoles la sensación de que están involucrados activamente en la defensa cibernética. Los empleados también deben entender por qué la seguridad de TI es esencial para las empresas medianas. Los ataques exitosos, por ejemplo, pueden conducir a problemas económicos e incluso a la ruina financiera de una empresa mediana. En el peor de los casos, el lugar de trabajo también podría verse amenazado. Una vez que los empleados han adquirido una comprensión básica de la necesidad, están listos para los pasos de capacitación que se adaptan a sus necesidades.
 

Cómo funciona la conciencia de seguridad

En primer lugar, los gerentes de TI deben determinar el estado actual de los conocimientos de seguridad. Muchos cursos de capacitación sobre concientización de seguridad comienzan con una prueba para determinar el nivel actual de conocimiento. Esto no debe apuntar a los empleados picota. Se trata de identificar las mayores brechas de conocimiento y planificar una serie práctica de unidades de capacitación. Muchos programas de capacitación están diseñados para durar un período prolongado de tiempo, por ejemplo, dos años. Luego se requiere que los empleados completen las sesiones de capacitación individuales según lo planeado. Los módulos de capacitación separados que ofrecen muchos proveedores, como G DATA CyberDefense, concluya con una breve comprobación del estado del aprendizaje. Esto permite la revisión del contenido de la sesión de capacitación, para que los empleados puedan verificar si han entendido el tema. La unidad se puede repetir si es necesario. Los alumnos también pueden aplicar los conocimientos adquiridos directamente, a través de un ejemplo de correo electrónico de phishing, por ejemplo.

La repetición frecuente consolida el conocimiento entre los empleados. Las unidades deben diseñarse de tal manera que puedan integrarse fácilmente en el trabajo diario. Los cursos de e-learning son particularmente adecuados para este propósito. Las sesiones de entrenamiento a menudo se pueden completar en cualquier momento. Las sesiones de capacitación cara a cara que llevan mucho tiempo desmotivan a los empleados y afectan enormemente sus arreglos laborales. La formación basada en el aprendizaje electrónico suele ser de corta duración y utiliza los últimos métodos de aprendizaje. Por ejemplo, los videos se usan en las unidades en lugar de textos largos, lo que hace que el contenido sea más fácil de absorber.

Las combinaciones que involucran un enfoque de gamificación pueden proporcionar un impulso adicional a la motivación. Los estudiantes de seguridad informática particularmente diligentes pueden ser recompensados ​​con pequeños obsequios. Por otro lado, los empleados que aprenden más lentamente no deben sentirse desanimados. Ellos también pueden estar más motivados por la gamificación. Sin embargo, no es solo la empresa la que se beneficia del conocimiento impartido. Los empleados también pueden transferir fácilmente este conocimiento a su uso privado de computadoras y teléfonos inteligentes , por ejemplo, eligiendo contraseñas seguras y, en el caso de cuentas de usuario en línea, buscando la autenticación de dos factores al iniciar sesión.
 

La conciencia de seguridad vale la pena

Los críticos señalan que la conciencia de seguridad es difícil de medir y que el llamado ROSI (Retorno de la inversión en seguridad) no se puede lograr. En algunos programas de capacitación, como la Capacitación de concientización sobre seguridad de G DATA , se puede medir el nivel de conocimiento de los empleados. Los gerentes de TI pueden ver qué individuo ha completado qué unidades de aprendizaje, y esto proporciona mensurabilidad. Sin embargo, la inversión claramente se ha amortizado tan pronto como un empleado evita incluso un ataque a través de su comportamiento cauteloso. Los altos costos del tiempo de inactividad del sistema y la larga limpieza se eliminan. Además, las empresas también pueden asegurarse de que sus empleados cumplan con el Reglamento de Protección de Datos de la UE y evitar así multas costosas.

Conclusión: conciencia de seguridad: no hay alternativa

Bruce Schneier y los otros críticos están equivocados al dudar de la efectividad del entrenamiento. Sin embargo, es cierto que lograr una mejor seguridad de TI no es una tarea fácil y clara. Si los gerentes de TI prestan atención a los posibles obstáculos, la conciencia de seguridad se establecerá en la empresa y proporcionará un valor agregado real para la seguridad de TI. Los empleados cautelosos pueden cortar un ciberataque de raíz antes de poner a prueba los sistemas de TI. Esto hace que los sistemas de TI sean significativamente más seguros y que todos los datos críticos estén mejor protegidos. Las empresas que no involucran a sus empleados en la seguridad de TI pierden una gran oportunidad y se exponen a riesgos cibernéticos innecesariamente altos. 

Comentarios

comments

Powered by Facebook Comments