Fuera del dilema: cómo la seguridad de TI se vuelve más comprensible para todos nosotros

La primera parte de esta pequeña serie de blogs trató sobre las razones por las que la seguridad de TI es tan difícil de entender para muchos usuarios. Hay soluciones a este problema y de eso trata este artículo.

Recordamos: la seguridad de TI es un tema técnico complejo que muchos de nosotros los usuarios de Internet encontramos difícil de entender. Como resultado, muchos de nosotros no lidiamos lo suficiente o no nos ocupamos en absoluto de la ciberseguridad y descuidamos la protección de nuestra propia identidad digital. Los atacantes tienen facilidad para espiar información personal o saquear dinero.

Una pelota está en nuestras manos

Por supuesto, generalmente depende de nosotros los usuarios tratar el tema en detalle, porque todos usamos dispositivos habilitados para Internet. Por lo tanto, también debemos saber que hay peligros al acecho en la web y cómo nos protegemos de ellos. Estas dos oraciones se leen muy bien y suena simple. Pero si esta fuera ya la solución al complejo problema, este artículo podría terminar exactamente en este punto. Pero usted, querido lector, ya sospecha que este no es el caso. Desafortunadamente, no es tan simple como parece.

Como expliqué en la primera publicación del blog sobre este tema, a los humanos generalmente nos gusta elegir la forma fácil de llegar a un destino. Constantemente evitamos las dificultades. Esto significa que una simple llamada como «Por favor, trate más con la seguridad de TI para el beneficio de su propia seguridad» es bien intencionada, pero se desvanece de manera ineficaz. ¿Por qué? La respuesta: No vemos ninguna razón para hacerlo realmente. Primero debemos salir de nuestra zona de confort y entender el verdadero problema. Además, y esto es enormemente importante, tenemos que relacionarnos con nosotros mismos. ¿Por qué me afecta a mí también?

Un ejemplo: El periódico dice que una gran serie de robos se está produciendo actualmente en la ciudad vecina. Los perpetradores entran en casas y apartamentos para robar joyas, dinero y otros objetos de valor. La mayoría de la población de las ciudades vecinas está menos interesada en esta noticia, aunque la banda de ladrones podría activarse en su propio lugar de residencia y posiblemente también en el distrito. ¿Podría tal vez ser una víctima de robo y son mis precauciones de seguridad realmente suficientes? No todos se hacen estas preguntas y se sorprenden gravemente en caso de robo, y luego piensan si, por ejemplo, las cerraduras de las puertas son realmente seguras. Es obvio que los ladrones pronto podrían hacer un desastre en la puerta de mi balcón o patio para irrumpir en mi casa.

La realidad no es una granja de ponis

Todos tenemos que aceptar el hecho de que, además de muchas ventajas de Internet, también hay delincuentes que quieren hacernos daño y enriquecerse. No importa si operamos en un entorno privado o profesional. Todos somos objetivos potencialmente interesantes para los ciberdelincuentes. Esta es la clave del conocimiento y la base para la seguridad de TI.

El «método de aprendizaje a través del dolor» utilizado por algunos usuarios, que en este caso crea conciencia sobre la seguridad de TI con una palanca a través del daño del cibercrimen, está desactualizado. La palabra clave de hoy es conciencia de seguridad. Los usuarios tienen que aprender dónde acechan exactamente los peligros y cómo se protegen a sí mismos y a su empresa contra ellos. La seguridad de TI debe ser sacada de la abstracción y comunicada en un lenguaje simple para que la información, el núcleo, se vuelva comprensible. El Dr. Steffen Hessler de la Ruhr-Universität se ocupa del nivel lingüístico sobre el tema de por qué la TI y la seguridad de TI son difíciles de entender. La comunicación a menudo se queda corta: los hechos se transmiten de manera demasiado concisa y complicada.

La salida de la miseria

A menudo se pide que la informática se convierta en una asignatura obligatoria para aumentar la competencia digital de los alumnos. Según una encuesta representativa de Bitkom, casi tres cuartas partes de la población en Alemania lo demandan. Las escuelas secundarias deben enseñar informática a partir del quinto grado. Ciertamente, esto aumenta la alfabetización digital del cuerpo estudiantil, pero esto no significa necesariamente que también sean sensibles a las amenazas cibernéticas y sepan lo que tienen que hacer para protegerse del malware y los ataques. TI e informática no son lo mismo que la seguridad de TI. De la misma manera, los grupos de mayor edad se benefician menos de ella.

Lo que se necesita es la creación de conciencia de seguridad.  Esto se logra, por ejemplo, a través de cursos de capacitación especiales sobre el tema de la seguridad informática. Por lo tanto, los empleados de las empresas se ocupan del complejo de temas, como la forma en que aprenden las reglas de protección contra incendios u otros requisitos operativos. Esto hace que la fuerza laboral sea consciente de que las amenazas cibernéticas representan una amenaza grave y que el factor humano juega un papel decisivo en esto. Las medidas técnicas de seguridad son esenciales para la seguridad integral de TI, pero tienen sus límites. Este es especialmente el caso cuando los delincuentes confían en métodos como la ingeniería social para atacar a una empresa directamente a través de los empleados, por ejemplo, en forma de correos electrónicos de phishing. Los eventos cara a cara únicos o la información pura que los gerentes de TI comunican a la fuerza laboral a través de intranet o correo electrónico no son muy útiles y no son convenientes. Se necesita un concepto de aprendizaje integral y sostenible que involucre permanentemente a los empleados como parte de la ciberdefensa.

Es recomendable utilizar el e-learning con unidades cortas que se puedan completar, por ejemplo, entre dos reuniones o además de la contabilidad. Tal concepto se utiliza en los G DATA Security Awareness Trainings y en la simulación de phishing. En más de 35 cursos, los empleados aprenden conocimientos a través del Viaje de Aprendizaje para hacer frente a las amenazas cibernéticas y reaccionar correctamente en una emergencia.

La seguridad de TI no es un proyecto de una sola vez

El portavoz del Chaos Computer Club (CCC) y activista de la red Linus Neumann ha acuñado el dicho: «La seguridad informática no es un estado, sino un proceso». Esto demuestra que todos tenemos que mantenernos en la pelota cuando se trata de este tema. Aprendemos a lo largo de nuestras vidas y este también debe ser el caso con la seguridad de TI. Los ciberdelincuentes están constantemente desarrollando nuevas estrategias y vectores de ataque, y debemos prepararnos para eso. Con el know-how necesario y una conciencia de las amenazas cibernéticas, ya estamos consiguiendo un largo camino.

Por supuesto, depende de la política, pero también de las asociaciones y la industria, poner permanentemente el tema de la seguridad informática en la parte superior de la agenda y mantenerlo allí para proteger a la población contra las amenazas cibernéticas y mantener las infraestructuras críticas funcionando permanentemente. Como empresa de seguridad, en G DATA CyberDefense estamos comprometidos con esta misión y trabajamos todos los días para hacer que el mundo digital sea un poco más seguro. Al final, sin embargo, la seguridad personal de TI está en manos de nosotros los usuarios y somos responsables de protegernos a nosotros mismos, a nuestra familia y amigos. Depende de nosotros hacer nuestra parte, porque la seguridad comienza con todos, y no se puede sacudir eso.

Enlace: Cómo la seguridad de TI se vuelve más comprensible para todos nosotros | G DATOS (gdata.de) Blog de G DATA  Kathrin Beckert-Plewka