211service.com
Redescubrir la confianza en la ciberseguridad
Proporcionado por código42
El mundo ha cambiado drásticamente en un corto período de tiempo, cambiando el mundo del trabajo junto con él. El nuevo mundo híbrido de trabajo remoto y en la oficina tiene ramificaciones para la tecnología, específicamente la ciberseguridad, y señala que es hora de reconocer cuán entrelazados están realmente los humanos y la tecnología.
Habilitar una cultura de colaboración acelerada y basada en la nube es fundamental para las empresas en rápido crecimiento, posicionándolas para innovar, superar y ser más astutas que sus competidores. Sin embargo, lograr este nivel de velocidad digital conlleva un desafío de ciberseguridad que crece rápidamente y que a menudo se pasa por alto o se le resta prioridad: riesgo interno , cuando un miembro del equipo accidentalmente, o no, comparte datos o archivos fuera de las partes de confianza. Ignorar el vínculo intrínseco entre la productividad de los empleados y el riesgo interno puede afectar tanto la posición competitiva de una organización como su resultado final.
No puede tratar a los empleados de la misma manera que trata a los piratas informáticos del estado-nación
El riesgo interno incluye cualquier evento de exposición de datos impulsado por el usuario (seguridad, cumplimiento o naturaleza competitiva) que pone en peligro el bienestar financiero, de reputación u operativo de una empresa y sus empleados, clientes y socios. Cada día se producen miles de eventos de exfiltración y exposición de datos impulsados por el usuario, derivados de errores accidentales del usuario, negligencia de los empleados o usuarios maliciosos que intentan dañar a la organización. Muchos usuarios crean riesgos internos accidentalmente, simplemente al tomar decisiones basadas en el tiempo y la recompensa, compartiendo y colaborando con el objetivo de aumentar su productividad. Otros usuarios crean riesgo por negligencia, y algunos tienen intenciones maliciosas, como un empleado robando datos de la empresa llevar a un competidor.
Desde una perspectiva de ciberseguridad, las organizaciones deben tratar el riesgo interno de manera diferente a las amenazas externas. Con amenazas como piratas informáticos, malware y actores de amenazas de estados nacionales, la intención es clara: es maliciosa. Pero la intención de los empleados de crear un riesgo interno no siempre está clara, incluso si el impacto es el mismo. Los empleados pueden filtrar datos por accidente o por negligencia. Aceptar completamente esta verdad requiere un cambio de mentalidad para los equipos de seguridad que históricamente han operado con una mentalidad de búnker: bajo asedio desde el exterior, manteniendo sus cartas cerca del chaleco para que el enemigo no obtenga información sobre sus defensas para usar contra ellos. Los empleados no son los adversarios de un equipo de seguridad o una empresa; de hecho, deben ser vistos como aliados en la lucha contra el riesgo interno.
La transparencia alimenta la confianza: construyendo una base para la capacitación
Todas las empresas quieren evitar que sus joyas de la corona (código fuente, diseños de productos, listas de clientes) acaben en las manos equivocadas. Imagine el riesgo financiero, de reputación y operativo que podría derivarse de la filtración de datos importantes antes de una oferta pública inicial, una adquisición o una convocatoria de ganancias. Los empleados juegan un papel fundamental en la prevención de fugas de datos y hay dos elementos cruciales para convertir a los empleados en aliados de riesgo internos : transparencia y formación.
La transparencia puede sentirse reñida con la ciberseguridad. Para los equipos de seguridad cibernética que operan con una mentalidad antagónica apropiada para las amenazas externas, puede ser un desafío abordar las amenazas internas de manera diferente. La transparencia tiene que ver con generar confianza en ambos lados. Los empleados quieren sentir que su organización confía en ellos para usar los datos de manera inteligente. Los equipos de seguridad siempre deben comenzar desde un lugar de confianza, asumiendo que la mayoría de las acciones de los empleados tienen una intención positiva. Pero, como dice el refrán en ciberseguridad, es importante confiar, pero verificar.
El monitoreo es una parte fundamental de la gestión del riesgo interno y las organizaciones deben ser transparentes al respecto. Las cámaras de circuito cerrado de televisión no están ocultas en los espacios públicos. De hecho, suelen ir acompañados de carteles que anuncian vigilancia en la zona. El liderazgo debe dejar en claro a los empleados que sus movimientos de datos están siendo monitoreados, pero que aún se respeta su privacidad. Hay una gran diferencia entre monitorear datos movimiento y leer todos los correos electrónicos de los empleados.
La transparencia genera confianza, y con esa base, una organización puede enfocarse en mitigar el riesgo al cambiar el comportamiento del usuario a través de la capacitación. Por el momento, los programas de educación y concientización sobre seguridad son un nicho. La capacitación sobre phishing es probablemente lo primero que se le viene a la mente debido al éxito que ha tenido al mover la aguja y hacer que los empleados piensen antes de hacer clic. Fuera del phishing, no hay mucha capacitación para que los usuarios entiendan qué deben y qué no deben hacer exactamente.
Para empezar, muchos empleados ni siquiera saben cuál es la posición de sus organizaciones. ¿Qué aplicaciones pueden usar? ¿Cuáles son las reglas de participación para esas aplicaciones si quieren usarlas para compartir archivos? ¿Qué datos pueden usar? ¿Tienen derecho a esos datos? ¿A la organización siquiera le importa? Los equipos de ciberseguridad lidian con mucho ruido de los empleados que hacen cosas que no deberían. ¿Qué pasaría si pudieras reducir ese ruido simplemente respondiendo estas preguntas?
La capacitación de los empleados debe ser tanto proactiva como receptiva . De manera proactiva, con el fin de cambiar el comportamiento de los empleados, las organizaciones deben proporcionar módulos de capacitación de formato largo y corto para instruir y recordar a los usuarios los mejores comportamientos. Además, las organizaciones deben responder con un enfoque de microaprendizaje utilizando videos de tamaño reducido diseñados para abordar situaciones muy específicas. El equipo de seguridad debe seguir el ejemplo del marketing y centrarse en los mensajes repetitivos entregados a las personas adecuadas en el momento adecuado.
Una vez que los líderes empresariales entender que el riesgo interno no es solo un problema de ciberseguridad, sino que está íntimamente relacionado con la cultura de una organización y tiene un impacto significativo en el negocio, estarán en una mejor posición para superar en innovación, rendimiento y astucia a sus competidores. en el de hoy mundo híbrido de trabajo remoto y en la oficina , el elemento humano que existe dentro de la tecnología nunca ha sido más importante. Es por eso que la transparencia y la capacitación son esenciales para evitar que los datos se filtren fuera de la organización.
Este contenido fue producido por Code42. No fue escrito por el equipo editorial de MIT Technology Review.
