Es muy importante establecer políticas de seguridad e implementar distintas soluciones que nos ayuden a estar más seguros, pero de muy poco valen si no creamos y fomentamos una cultura en seguridad dentro y fuera de nuestra empresa.
El eslabón más débil de la cadena
Seguramente habrán escuchado frases como: “La cadena se rompe por el eslabón más débil”. Dentro del ámbito de la seguridad se utiliza mucho este tipo de frases para hacer referencia al usuario, ya que podemos tener un entorno súper seguro y muchísimas herramientas de monitoreo, pero si el usuario no utiliza la tecnología en forma consciente y segura es muy probable que tengamos una brecha de seguridad. De esta manera, nuestra empresa puede ser víctima de diferentes amenazas, como por ejemplo: un Ransomware que nos secuestre nuestros propios datos y no podamos acceder a ellos sin pagar un rescate, un engaño donde se le entreguen datos sensibles a un ciberdelincuente o bien acceso físico a un intruso a un área restringida, y muchos ejemplos más.
Es por todo ello que debemos crear una cultura segura tanto dentro como fuera de nuestra empresa.
Por dónde comenzar
Una muy buena forma de comenzar es incluir un programa de concienciación dentro de nuestra estrategia de seguridad y así poder alcanzar a todas y cada una de las personas que componen nuestra empresa.
Ahora Uds. se preguntaran (o no 🙂 ) por qué hacemos tanto hincapié en “dentro y fuera de la empresa”. La respuesta es simple: a una persona se la puede entrenar para que utilice en forma segura y consciente las herramientas y recursos tecnológicos de su empresa, pero de nada sirve si no hace lo mismo con los propios. Un ejemplo de esto sería:
Un usuario obtuvo un muy buen entrenamiento dentro de su empresa, donde tomó conciencia en el uso seguro de los recursos de la misma. Ahora, se encuentra más atento y es más cuidadoso en su trabajo. Pero cuando se retira del trabajo, recibe solicitudes de amistad en Facebook, aceptándolas aún sin conocer al emisor de cada una, hace públicas fotos en las redes sociales (incluso algunas tomadas desde dentro de la empresa), descarga cualquier tipo de aplicación (oficial y no oficial) en su celular, se conecta a cuanta red inalámbrica encuentre y navega con su notebook por cualquier sitio dando aceptar a cuánto cartel se le presente.
Si bien exageramos, muchas personas actúan de esta manera, y descuidan sus recursos personales. Esto ocurre porque el usuario ha sido instruido en el uso de herramientas de la empresa, pero no en el uso de redes sociales o dispositivos personales. Esto es una gran brecha de seguridad, ya que los ciberdelincuentes no se limitan sólo a los recursos de la empresa, sino que, si el objetivo es claro, se enfocarán en los recursos personales de cada usuario y hasta objetivos satélites como familiares o amigos de los mismos.
Programa de Concientización
A continuación detallamos algunas de las acciones que pueden llevar adelante para poder cubrir distintos frentes y así lograr mayor visibilidad, sustentabilidad y rendimiento del programa:
Evaluación inicial
Es muy importante comenzar evaluando el conocimiento o la percepción que los empleados poseen con respecto a la seguridad. Para esto, se deben realizar diferentes test, como por ejemplo:
- campañas de simulación de phishing,
- campañas de simulación de malware,
- encuestas,
- evaluaciones,
- engaños telefónicos,
- intentos de intrusión.
La información resultante nos servirá para poder realizar una comparativa de estado a medida que avanzamos con las diferentes acciones del programa de concientización.
Concienciación y entrenamiento
Una vez que conocemos dónde estamos parados, debemos concientizar y entrenar a todos los usuarios. Para tener éxito en este aspecto, debemos contar con material ameno y adaptado a la cultura de los usuarios. El material debe ser presentado en forma original, divertida y simple de asimilar, combinando por ejemplo Newsletters, Game Based Learning, Presentaciones Interactivas, Videos, Infografías, Charlas y Talleres.
Evaluación del progreso
De forma similar a la evaluación inicial, se debe poner a prueba periódicamente a los usuarios para poder medir el cambio de comportamiento y la asimilación de conocimientos de cada uno de ellos.
Registros de auditoría
Ya sea para dar cumplimiento a normativas internas o externas, todas las acciones de concientización realizadas con cada uno de los usuarios, deberán ser registradas.
Volver a comenzar
Es un error pensar en la seguridad como una solución que se implementa y funciona en forma desatendida, yo diría que es todo lo contrario, cuando implementamos una solución, estamos recién comenzando. Todas y cada una de las acciones que realicemos necesitan un seguimiento, ajuste o cambio.
La tecnología está en constante evolución como así también las amenazas, nada es estático y mucho menos debemos serlo nosotros.
Conclusiones
Al finalizar mis charlas me gustar hacer una analogía, la cual comparto a continuación:
Seguramente cuando éramos niños muchos de nosotros cruzábamos la calle sin prestar atención, nos daba lo mismo cruzar por la esquina que por mitad cuadra y que el semáforo estuviera en rojo o en verde. Esto sucedía porque no teníamos conciencia sobre las amenazas existentes (ejemplo: automóviles que pudieran atropellarnos) ni tampoco sobre nuestra integridad física. Por suerte tuvimos a nuestros familiares o amigos que nos enseñaron a cruzar por la senda peatonal, esperar que el semáforo se pusiera en rojo y mirar hacia ambos lados.
Hoy en día es impensable que una persona adulta cruce caminando una calle o avenida por cualquier lugar, sin mirar y con el semáforo de los automóviles en verde. La misma no realiza un gran esfuerzo mental para poder cruzar en forma segura ya que lo hace de una manera natural, esto mismo debemos lograr para con nuestra vida digital (tanto personal como laboral) incorporando de a poco hábitos seguros y utilizando la tecnología en forma consciente hasta lograr que estas acciones se vuelvan totalmente naturales.
Emiliano Piscitelli – emiliano.piscitelli@vhgroup.net
Twitter: @emilianox
Deja una respuesta