4 consejos para construir una cultura de seguridad sólida

0
104

Los equipos de seguridad no pueden proteger lo que no pueden ver. Si bien las herramientas de monitoreo están mejorando, los usuarios finales y los gerentes empresariales deben informar a los equipos de TI y de seguridad lo que están haciendo con los datos en diferentes aplicaciones y, lo más importante, cuando algo sale mal.

Una cultura de culpa y temor cuando se trata de seguridad significa que los usuarios finales no dirán si están utilizando una aplicación no autorizada, si han hecho clic en un enlace malicioso o han visto actividad inusual, hasta que sea demasiado tarde. Los equipos de seguridad deben empoderar a los usuarios con una cultura de responsabilidad personal, para que traten la seguridad de los datos de la misma manera que abordan otras políticas de la compañía como la salud y la seguridad.

Una cultura de culpa fomenta la falta de seguridad
Ver a los humanos como un eslabón débil y crear un entorno donde los empleados temen represalias por fallas de seguridad, no es una buena manera de dirigir una empresa. Sin embargo, algunas organizaciones han tomado medidas extremas para castigar a las víctimas de estafas. Una empresa de medios en Escocia despidió y demandó a uno de sus empleados después de que cayó en una estafa de phishing y entregó casi 200 mil libras [250 mil dólares] a estafadores que se hacían pasar por el director ejecutivo de la compañía y solicitaban que se realice un pago. Brian Krebs publicó sobre instancias de empleados que fueron despedidos por fallar las pruebas de simulación de phishing.

Este tipo de cultura de culpa solo hace que sea menos probable que los empleados hablen cuando algo sale mal… y pone los datos en riesgo. «Las personas que manejan la información no pueden ser el eslabón débil”, señala Mark Parr, CISO de KPMG UK. «Quiero que la gente se sienta cómoda y que, si han cometido un error, me lo puedan decir. Se trata de generar confianza y que mis colegas sientan que realmente estoy ahí para apoyarlos, y no con un palo para golpearlos si algo sale mal”.

Para ayudar a construir esta confianza entre la seguridad y el personal, KPMG ha iniciado un programa que reconoce al personal por destacar los problemas de seguridad dentro de la empresa. «Quiero desarrollar esa cultura donde la gente está feliz de contarme o informar a nuestro servicio de asistencia si hay un problema o algo ha sucedido”, comenta Parr. «Tenemos un sistema interno donde podemos reconocer al personal, y otros miembros del personal pueden verlo. Si alguien viene a mí y me dice: ‘Me di cuenta de esto y es un problema’, le haré saber a su gerente de línea que tal persona dio un paso adelante”.

Dado el vínculo entre los sistemas, aplicaciones y dispositivos empresariales y personales -ya sea a través de BYOD, personas que acceden a correos electrónicos personales desde computadoras de trabajo o viceversa, o que usan cuentas SaaS personales para fines empresariales- la mala seguridad personal es otro factor de ataque en una organización, advierte Graeme Park, jefe de operaciones de seguridad global del minorista de comercio electrónico británico The Hut Group (THG). Depende de la empresa combinar el nivel correcto de controles con educación, sin recurrir a tácticas de temor. «Se trata de reeducación y de hacer que la seguridad sea accesible, en lugar de recurrir al atacar”, indica Park.

Como ejemplo, Park describe los proxies web como «usar un martillo para abrir una nuez”, y señala que un mejor enfoque sería registrar todo, incluir advertencias si los usuarios visitan sitios que infringen la política, y requerir que el usuario proporcione una justificación sobre el motivo por el que necesita visitar esa página. «Los está educando sobre seguridad, mientras que aplica control al mismo tiempo, haciéndolos pensar y justificar sus acciones”, señala. «Si las personas lo logran, tomarán decisiones conscientes de si lo que están haciendo es correcto, seguro y se alinea con la política”.

Cómo se ve una buena cultura de seguridad
Si una cultura de culpa es mala, ¿cómo es una buena cultura de seguridad? «Es aquella en donde las personas entienden intuitivamente los riesgos asociados con sus actividades diarias, y conocen y tienen la confianza para poder mitigar o manejar ese riesgo”, señala Parr de KPMG. «Tenemos que alejarnos totalmente de la idea de ‘todo está bien, el CISO se ocupa de eso por nosotros’”.

Estas son las cuatro áreas clave en las que Parr y Park creen que los CISOs deberían concentrarse para proporcionar una cultura de seguridad sólida.

1. Hacer accesible la seguridad: Desde que Parr se volvió CISO hace poco más de un año, KPMG UK ha pasado por una travesía para cambiar su enfoque de educación y cultura de seguridad para garantizar que los 16 mil empleados de la empresa en 27 ubicaciones se encuentren al mismo nivel en cuanto a conciencia de seguridad. «Una buena [cultura] se logra cuando las personas se sienten seguras y cómodas con la seguridad de la información, y no sienten que es una ciencia o un arte oscuro”, asegura Parr.

Un aspecto clave en la creación de una cultura orientada hacia la seguridad es hacer que sea fácil que la audiencia se relacione con ésta, por lo que el contenido de educación de seguridad de KPMG se ha puesto en un lenguaje simple y fácil de entender con escenarios diseñados para que sean aplicables al personal. «Quiero que la gente piense lo mismo acerca de la seguridad de la información en el hogar como lo harían en el trabajo; y establecer escenarios de la vida real y proporcionarles a las personas una dirección clara ha sido clave para lograrlo”, indica Parr.

«Si una persona es parte del personal de atención al público que está ayudando a los clientes a mudarse a una de nuestras suites de presentación de clientes, o está realizando una auditoría, o se encuentra en el equipo técnico que está ayudando a los clientes con un problema técnico, el idioma es el mismo, y todos pueden absorberlo de la misma manera”.

Brindarles a las personas esa base hace que sea más fácil de entender para el usuario final y, a su vez, significa que se toman la seguridad de la información de la empresa más en serio, ya que pueden visualizar las consecuencias de equivocarse. «La rendición de cuentas es una verdadera clave del éxito para mí”, señala Parr. «Si las personas sienten que entienden por qué son responsables del manejo y la gestión de los datos, entonces estoy en lo correcto”.

2. Proporcionar capacitación continua de concientización: Como parte de este cambio cultural, KPMG ha pasado de las presentaciones y evaluaciones en un momento dado, a lo que Parr describe como «un ritmo constante de concientización”a través de eventos, capacitación, videos y podcasts. «Mirar una presentación de PowerPoint, hacer clic lo más rápido posible y responder 20 preguntas al final esperando aprobar realmente no demuestra nada. Solo muestra la capacidad para retener cierta información de las diapositivas. Lo que quiero es que la gente entienda que están disponibles algunas reglas y guías, que sepan lo que pueden y no pueden hacer, y el rol que deben desempeñar”.

«Comienza con el lanzamiento de un documento de políticas muy simple y fácil de leer, que se ha condensado en una página solo para llamar la atención de las personas cuando tienen un momento para leerlo”, comenta Parr. «Luego [siguen] pequeños videos de viñeta de tres minutos que pueden ver cuando están en el metro camino al trabajo. Se trata de mantener en marcha el ritmo continuo de actividad, para que las personas siempre estén conscientes”.

Si bien medir la cultura puede ser difícil, Parr ha trabajado con el equipo de aprendizaje y desarrollo de la compañía para crear métricas de compromiso sobre la cantidad de personal de la empresa que escucha podcasts, ve los videos e interactúa con el contenido de seguridad que el equipo está produciendo. Esto puede ayudar a proporcionar un indicador de si el material está cumpliendo su propósito entre el personal.

«También tengo que seguir pensando en nuevas formas de interactuar con nuestro personal”, agrega, «no solo tratar de golpearlos en la cabeza con seguridad, sino realmente involucrarlos en lo que estoy tratando de lograr”.

Para ayudar a impulsar el compromiso, los mensajes regulares por parte de los líderes de la organización alientan a las personas a mirar, leer y escuchar los materiales de seguridad. Los «oficiales de seguridad de la información empresarial”se encuentran en áreas operativas de la empresa como expertos en la materia de seguridad de la información. Ellos animan al personal de manera más directa a participar.

3. Asociarse con empleados en Shadow IT: Reprobar a los empleados por usar aplicaciones no autorizadas, conocidas como Shadow IT, es igualmente desaconsejable como despedirlos por fallas de seguridad. «Shadow IT viene siendo un problema desde hace mucho tiempo”, comenta Park. «Los drivers detrás de esto representan la omnipresencia de los sistemas de TI; ya sea software o hardware, en el hogar y en cualquier otro lugar”.

«La gente no es mala; no están tratando de usar Shadow IT para eludir deliberadamente la política o la seguridad de la compañía. Por lo general, solo quieren hacer su trabajo mejor, más rápido, de manera más fácil”, señala Park. «Es una falla de TI y seguridad; podemos pasar de ser un bloqueador a ser un facilitador para asegurarnos de que las personas tengan las herramientas que necesitan para hacer su trabajo”.

Park dice que Shadow IT puede abarcar desde servicios SaaS o aplicaciones de escritorio no autorizadas, hasta lo que él describe como «sombras más pequeñas, pero igual de impactantes” como integraciones en Slack o JIRA, extensiones de navegador, o incluso dispositivos similares a Amazon Alexa en redes corporativas. Cualquiera sea la forma, TI y seguridad deben estar más abiertos a aceptarla, porque el temor a represalias por eludir la política de la empresa resultará en que los usuarios nunca le dirán a TI lo que están haciendo.

«Necesitamos ser más inteligentes al respecto. Va a suceder de todos modos. Si existe un riesgo limitado al usar algunas de estas herramientas externas -digamos, una herramienta de diseño que alguien quiere usar para branding y gráficos que no está particularmente clasificada- hay un riesgo potencialmente limitado en un escenario como ese. Debe poder otorgarles a las personas un cierto grado de flexibilidad”, asegura Park.

4. Demostrar cómo se ve lo correcto: Cambiar la cultura de seguridad dentro de una empresa también significa un cambio de mentalidad del equipo de seguridad. De la misma manera que el personal quiere que un CSO sea un buen comunicador y líder, el equipo de seguridad debe hacer lo mismo y ser visible y accesible.

«La seguridad no ha hecho un buen trabajo en los últimos diez años para ser un concepto accesible y comprensible”, comenta Park. «Luchamos por hablar en términos claros, luchamos por articular el riesgo sin articular problemas técnicos fundamentales”.

En cambio, él asegura que la seguridad necesita transmitir sus mensajes de una manera más similar a las advertencias de salud y seguridad. «Es muy fácil explicarle a alguien por qué no debe subir una escalera sin equipo de protección personal (PPE), pues el impacto es muy visible y obvio. Explicarle a alguien por qué no puede usar Dropbox cuando debería usar SharePoint, es un poco más difícil de entender porque no parece que tenga el mismo impacto”.

«Realmente necesitamos involucrarnos, educarnos y asegurarnos de que las personas entiendan lo que están haciendo, entiendan lo que sucede si pierden ciertos documentos o propiedad intelectual, y al mismo tiempo empoderarlos”, señala Park. «Existe un valor enorme en plantear el problema a través de un contexto personal”.

Parr ha estado trabajando con los equipos de seguridad para cambiar su mentalidad y convertirse en embajadores y campeones del tipo de cultura de seguridad que está tratando de inculcar en el resto de la empresa. «Están demostrando cómo se ve lo correcto”, asegura. «Durante mucho, mucho tiempo, la seguridad de la información era vista como la parte del negocio que apagaba la maravillosa y brillante idea que alguien tenía. No es así. Estoy ahí para ayudar a la empresa a comprender de manera integral cómo podemos operar y avanzar, pero de manera segura”.

Dan Swinhoe, CSO