¿Cuáles de sus empleados son los más propensos a exponer a su empresa a un ataque cibernético?
Por Kon Leong
Harvard Business Review
Seguridad y Privacidad
Cuando el poeta Alexander Pope dijo por primera vez "errar es humano", probablemente no se dio cuenta de cuán clarividentes eran esas palabras al capturar el mundo de la ciberseguridad. Sí, la causa raíz de la mayoría de las infracciones de seguridad se puede remontar a las acciones humanas, o la falta de ellas. Sin embargo, el mayor error es creer que la ciberseguridad se puede lograr simplemente corrigiendo el mal comportamiento.
Hoy, la ciberseguridad se ha expandido mucho más allá de su dominio tradicional de amenazas externas, tipificado por hackers externos que atacan las vulnerabilidades de la red. Ahora incluye amenazas internas, que son mucho más complejas y difíciles de gestionar, como lo evidencian algunas brechas internas recientes muy serias, como las relacionadas con Edward Snowden y Chelsea Manning. La naturaleza de las amenazas internas se puede categorizar como maliciosa, accidental o negligente, y representa un 39% de todas las infracciones de datos según una investigación reciente.
Con el comportamiento de los empleados desempeñando un papel cada vez más importante en el estado de seguridad cibernética de su organización, aquí hay algunas ideas generales sobre el lado humano de la ciberseguridad que pueden ayudar a dar forma al enfoque correcto para su empresa:
Repensar la capacitación de los empleados.
Para las amenazas externas, existe la batería habitual de defensas contra virus, malware, phishing y ataques de red. Sin embargo, muchas de estas defensas a menudo se ven comprometidas por el comportamiento humano errante o laxo, lo que hace que la capacitación de los empleados sea aún más crítica. En esta área, la capacitación en toda la empresa sobre las mejores prácticas para manejar la última amenaza de seguridad es un enfoque común; Desafortunadamente, estas pautas a menudo son descuadradas, pasadas por alto o totalmente ignoradas. Además, la nota estándar sobre seguridad a menudo no captura los matices presentados por amenazas de seguridad más dinámicas, que a menudo son internas. Por ejemplo:
Para los usuarios más resistentes, uno puede emplear una variedad de técnicas creativas de entrenamiento que involucran interacción de los empleados, retroalimentación y discusión. Por ejemplo, tome el método de gamificación: uno podría complementar una presentación de seguridad cibernética con un juego de detección de actividad sospechosa, que obliga a los empleados a desarrollar habilidades receptivas. Además, involucrar a los empleados en la capacitación práctica fomenta la aceptación y la rendición de cuentas.
Cabe señalar que en todos los casos de capacitación en seguridad cibernética, se trata de un tren, un entrenamiento y una repetición. Con demasiada frecuencia, las organizaciones realizan un solo seminario y luego esperan que sea suficiente. Dada la afluencia constante de nuevos empleados en cualquier organización y el cambio constante en las amenazas a la seguridad, la capacitación periódica debería ser obligatoria.
Identificar usuarios de alto riesgo e intervenir.
El comportamiento humano básico es muy difícil de reprogramar. Por lo tanto, la capacitación debe ser aumentada mediante la actualización constante de la tecnología, que ahora ha evolucionado para detectar el comportamiento errante. El avance de la tecnología apenas ha comenzado a resolver lo que parecían problemas insolubles en seguridad y gobernabilidad, y se espera que estas nuevas capacidades, como el análisis predictivo y la inteligencia artificial, monitoreen e influencien mejor el comportamiento humano. Al emplear un tipo moderno de análisis que permite a las organizaciones analizar documentos para contenido confidencial, revisar las acciones de los usuarios y rastrear el flujo de datos en toda la empresa, las partes interesadas en ciberseguridad ahora pueden identificar muchos indicadores comunes de actividad negligente o maliciosa, que incluyen:
Dale forma al usuario humano y no al revés.
Cabe señalar que el sistema perfectamente seguro a menudo es perfectamente inutilizable. Hemos visto muchos casos en los que las mejores intenciones en seguridad dieron como resultado una adopción limitada. Por ejemplo, el cifrado PKI que utiliza certificados individuales, un método de encriptación potencialmente aplicado a mensajes y otras transacciones que autentican al destinatario utilizando una "clave" digital, puede ofrecer una excelente seguridad granular. Sin embargo, debido a que requiere más pasos por parte del usuario final y el administrador, nunca llegó a ser ampliamente adoptado. Si la seguridad implica un esfuerzo extra por parte del usuario final, se vuelve más difícil obtener participación.
Las empresas necesitan interactuar con los usuarios finales para descubrir qué tan lejos de su camino están dispuestos a participar en su actividad diaria para apoyar los esfuerzos de ciberseguridad. En otras palabras, evite los protocolos que dependen de que hagan más de lo que realmente harán.
Adaptarse constantemente a las amenazas cambiantes.
A medida que el foco de la amenaza pasa de hackers externos y vulnerabilidades de red a personal interno y repositorios de contenido (como el correo electrónico, los recursos compartidos de archivos y los sitios de SharePoint), la imagen de seguridad se vuelve mucho más compleja.
Afortunadamente, el rápido avance en las tecnologías de contenido hace que sea más fácil proteger estos repositorios de datos y también aplicar una gobernanza y análisis avanzados para permitir la detección y remediación de comportamientos riesgosos. El advenimiento de estas tecnologías también soluciona otros problemas críticos, como aplicar disciplina al acceso de datos actualmente desenfrenado mediante análisis de datos y cumplir nuevas regulaciones de privacidad, como el Reglamento General de Protección de Datos (GDPR), una nueva regulación de datos que globalmente exige mayores requisitos de privacidad para las organizaciones que manejan datos de residentes de la UE.
Es cierto que errar es humano, y los humanos seguirán cometiendo errores. Pero, cada vez más, la tecnología y las prácticas mejoradas pueden ayudarlo a identificar a los empleados que están en mayor riesgo de exponer a su empresa a un ataque cibernético, antes de que se convierta en un problema importante.
Kon Leong es cofundadora y directora ejecutiva de ZL Technologies, Inc., un proveedor de software y nube para grandes empresas de soluciones de analítica y control de la información. Anteriormente, fue cofundador en varias startups de alta tecnología.
Harvard Business Review
Seguridad y Privacidad
Cuando el poeta Alexander Pope dijo por primera vez "errar es humano", probablemente no se dio cuenta de cuán clarividentes eran esas palabras al capturar el mundo de la ciberseguridad. Sí, la causa raíz de la mayoría de las infracciones de seguridad se puede remontar a las acciones humanas, o la falta de ellas. Sin embargo, el mayor error es creer que la ciberseguridad se puede lograr simplemente corrigiendo el mal comportamiento.
Hoy, la ciberseguridad se ha expandido mucho más allá de su dominio tradicional de amenazas externas, tipificado por hackers externos que atacan las vulnerabilidades de la red. Ahora incluye amenazas internas, que son mucho más complejas y difíciles de gestionar, como lo evidencian algunas brechas internas recientes muy serias, como las relacionadas con Edward Snowden y Chelsea Manning. La naturaleza de las amenazas internas se puede categorizar como maliciosa, accidental o negligente, y representa un 39% de todas las infracciones de datos según una investigación reciente.
Con el comportamiento de los empleados desempeñando un papel cada vez más importante en el estado de seguridad cibernética de su organización, aquí hay algunas ideas generales sobre el lado humano de la ciberseguridad que pueden ayudar a dar forma al enfoque correcto para su empresa:
Repensar la capacitación de los empleados.
Para las amenazas externas, existe la batería habitual de defensas contra virus, malware, phishing y ataques de red. Sin embargo, muchas de estas defensas a menudo se ven comprometidas por el comportamiento humano errante o laxo, lo que hace que la capacitación de los empleados sea aún más crítica. En esta área, la capacitación en toda la empresa sobre las mejores prácticas para manejar la última amenaza de seguridad es un enfoque común; Desafortunadamente, estas pautas a menudo son descuadradas, pasadas por alto o totalmente ignoradas. Además, la nota estándar sobre seguridad a menudo no captura los matices presentados por amenazas de seguridad más dinámicas, que a menudo son internas. Por ejemplo:
- ¿Cómo diferencia un empleado una conversación de correo electrónico de buena fe frente a un cebo de phishing?
- ¿Cuándo debe un empleado hablar sobre la actividad sospechosa de un compañero de trabajo?
- ¿Qué tipos de información pueden y no pueden compartirse, y con quién?
Para los usuarios más resistentes, uno puede emplear una variedad de técnicas creativas de entrenamiento que involucran interacción de los empleados, retroalimentación y discusión. Por ejemplo, tome el método de gamificación: uno podría complementar una presentación de seguridad cibernética con un juego de detección de actividad sospechosa, que obliga a los empleados a desarrollar habilidades receptivas. Además, involucrar a los empleados en la capacitación práctica fomenta la aceptación y la rendición de cuentas.
Cabe señalar que en todos los casos de capacitación en seguridad cibernética, se trata de un tren, un entrenamiento y una repetición. Con demasiada frecuencia, las organizaciones realizan un solo seminario y luego esperan que sea suficiente. Dada la afluencia constante de nuevos empleados en cualquier organización y el cambio constante en las amenazas a la seguridad, la capacitación periódica debería ser obligatoria.
Identificar usuarios de alto riesgo e intervenir.
El comportamiento humano básico es muy difícil de reprogramar. Por lo tanto, la capacitación debe ser aumentada mediante la actualización constante de la tecnología, que ahora ha evolucionado para detectar el comportamiento errante. El avance de la tecnología apenas ha comenzado a resolver lo que parecían problemas insolubles en seguridad y gobernabilidad, y se espera que estas nuevas capacidades, como el análisis predictivo y la inteligencia artificial, monitoreen e influencien mejor el comportamiento humano. Al emplear un tipo moderno de análisis que permite a las organizaciones analizar documentos para contenido confidencial, revisar las acciones de los usuarios y rastrear el flujo de datos en toda la empresa, las partes interesadas en ciberseguridad ahora pueden identificar muchos indicadores comunes de actividad negligente o maliciosa, que incluyen:
- Acceder, mover o eliminar grandes volúmenes de contenido confidencial
- Crear, almacenar o enviar contenido confidencial de forma inapropiada
- Sentimiento extremadamente negativo hacia la organización en los mensajes
Dale forma al usuario humano y no al revés.
Cabe señalar que el sistema perfectamente seguro a menudo es perfectamente inutilizable. Hemos visto muchos casos en los que las mejores intenciones en seguridad dieron como resultado una adopción limitada. Por ejemplo, el cifrado PKI que utiliza certificados individuales, un método de encriptación potencialmente aplicado a mensajes y otras transacciones que autentican al destinatario utilizando una "clave" digital, puede ofrecer una excelente seguridad granular. Sin embargo, debido a que requiere más pasos por parte del usuario final y el administrador, nunca llegó a ser ampliamente adoptado. Si la seguridad implica un esfuerzo extra por parte del usuario final, se vuelve más difícil obtener participación.
Las empresas necesitan interactuar con los usuarios finales para descubrir qué tan lejos de su camino están dispuestos a participar en su actividad diaria para apoyar los esfuerzos de ciberseguridad. En otras palabras, evite los protocolos que dependen de que hagan más de lo que realmente harán.
Adaptarse constantemente a las amenazas cambiantes.
A medida que el foco de la amenaza pasa de hackers externos y vulnerabilidades de red a personal interno y repositorios de contenido (como el correo electrónico, los recursos compartidos de archivos y los sitios de SharePoint), la imagen de seguridad se vuelve mucho más compleja.
Afortunadamente, el rápido avance en las tecnologías de contenido hace que sea más fácil proteger estos repositorios de datos y también aplicar una gobernanza y análisis avanzados para permitir la detección y remediación de comportamientos riesgosos. El advenimiento de estas tecnologías también soluciona otros problemas críticos, como aplicar disciplina al acceso de datos actualmente desenfrenado mediante análisis de datos y cumplir nuevas regulaciones de privacidad, como el Reglamento General de Protección de Datos (GDPR), una nueva regulación de datos que globalmente exige mayores requisitos de privacidad para las organizaciones que manejan datos de residentes de la UE.
Es cierto que errar es humano, y los humanos seguirán cometiendo errores. Pero, cada vez más, la tecnología y las prácticas mejoradas pueden ayudarlo a identificar a los empleados que están en mayor riesgo de exponer a su empresa a un ataque cibernético, antes de que se convierta en un problema importante.
Kon Leong es cofundadora y directora ejecutiva de ZL Technologies, Inc., un proveedor de software y nube para grandes empresas de soluciones de analítica y control de la información. Anteriormente, fue cofundador en varias startups de alta tecnología.
No hay comentarios:
Publicar un comentario