Cómo promover la seguridad

8 consejos para integrar a los usuarios a su causa

0
41

Las cifras no son alentadoras: informes recientes han concluido que la mayoría de los empleados no saben mucho sobre las mejores prácticas de ciberseguridad.

El tercer informe anual sobre el estado de la privacidad y la seguridad, publicado en el 2018 por la empresa de educación y capacitación en seguridad, MediaPRO, encontró que el 75% de los 1.024 empleados estadounidenses encuestados carecen de concientización cibernética.

Mimecast también informó hallazgos similares. La compañía, que se especializa en la gestión de correo electrónico basado en la nube, le encargó a Google Consumer Research encuestar a mil empleados en varios sectores, y descubrió que alrededor del 25% de ellos desconocía las ciberamenazas más comunes, como los ataques de phishing y ransomware.

Además, Mimecast descubrió que aproximadamente la mitad de los encuestados afirmaron que sus empleadores no tenían capacitación obligatoria en ciberseguridad, un 10% que afirmó que sus empleadores tenían capacitación opcional, y un 10% que solo recibió capacitación formal en ciberseguridad durante su proceso de incorporación.

Dadas esas estadísticas, no es de extrañar que los expertos en ciberseguridad sigan considerando a los seres humanos como el eslabón más débil en las capas de seguridad destinadas a proteger los sistemas de una organización y los datos que contienen.

Esa posición puede no ser un misterio. Pero hay algo que ha desconcertado a muchos jefes de seguridad: cómo lograr que más trabajadores se preocupen por la seguridad y se involucren más activamente en la protección de sus organizaciones.

Los expertos afirman que, de hecho, existen estrategias que los CISO pueden seguir para comercializar mejor el mensaje de la seguridad y movilizar a los empleados a unirse a su misión de seguridad -estrategias que van a apoyar, habilitar y capacitar a los trabajadores en lugar de asustarlos con historias de pesimismo cibernético.

«Se trata de ganarse los corazones y las mentes de las personas, dándoles una razón para preocuparse. Se trata de ayudar a las personas a comprender cómo se benefician”, afirma Joe Nocera, director de la práctica de Ciberseguridad y Privacidad de PwC. «Los CISO que afirman lo que la gente no debe hacer, no son buenos para ayudar a impulsar el cambio y generar apoyo. Y vender en base al miedo, la incertidumbre y la duda no genera apoyo para el programa de seguridad. Los CISO tienen que comunicar cómo es que la seguridad ayuda al negocio”.

Para marketear mejor el valor de la seguridad y ganar adeptos para la causa, a continuación, presentamos ocho estrategias comprobadas que pueden lograrlo:

Hágalo breve
Tony Velleca, CISO de la empresa de servicios y soluciones de TI, UST Global, afirma que las prolongadas clases sobre protocolos de seguridad serían una carga para los trabajadores de su empresa, que están lo suficientemente ocupados con sus tareas cotidianas. Por lo tanto, se alejó de las sesiones de entrenamiento a gran escala y adoptó cortas explosiones dirigidas de aprendizaje. Ahora lanza estafas simuladas no anunciadas, como ataques de phishing, todos los meses, creando campañas falsas diseñadas para engañar a los empleados en función de sus roles laborales. «Hacemos que parezca algo muy real, por lo que nos hemos vuelto más sofisticados”, explica Velleca. Si alguien cae en la trampa, el trabajador recibe una alerta de inmediato y se le ofrece un breve curso de actualización sobre protocolos de seguridad (con la opción de verlo más tarde). Ese enfoque breve y dulce transmite el mensaje sin generar resentimiento por parte de los empleados hacia el equipo de seguridad, puesto que no les quitarán mucho de su tiempo.

Hágalo personal
Los jefes de seguridad que desean ganarse a los trabajadores deben conectarse con los empleados como individuos, mostrándoles cómo al seguir los pasos de seguridad puede ayudarles en sus propios trabajos específicos y en sus propias vidas privadas. «Cuanto más pueda personalizar la experiencia, mejor. Si lo hace real para ellos y les muestra cómo los impacta o impacta sus capacidades para hacer sus trabajos, entonces entienden cómo se benefician ellos y por qué deberían preocuparse por eso”, afirma Nocera. Eso podría significar enseñarles a los trabajadores cómo mantener seguros a sus hijos en línea, así como la manera de manejar de forma segura los datos del cliente mientras están en la oficina. Velleca agrega: «Eso cambia la percepción de que el equipo de seguridad son los malos y pasan a ser vistos como ayudantes”.

Identifique a los embajadores
Lear Corp., fabricante de asientos y sistemas eléctricos para automóviles, transmite su mensaje de seguridad a sus más de 161 mil empleados por medio de carteles, videos, podcasts, artículos, señalización digital y lecciones interactivas, a menudo aprovechando Yammer para llegar a la comunidad activa de la compañía que usa esa plataforma

Pero el CISO, Earl Duby, no se detiene allí. Él y su equipo de seguridad crearon un programa de Embajador de Conciencia de Seguridad en junio del 2017, utilizando el programa para distribuir material educativo y reconocer a los trabajadores que ejemplifican la conciencia de seguridad o las mejores prácticas con «monedas de desafío”.

«En ese momento, todo el mundo estaba preocupado por prevenir el impacto del ransomware WannaCry. Vimos la oportunidad de cambiar la marca de Seguridad de la Información como algo que todos deberían llevarse a casa con ellos. Queríamos transmitir el mensaje de que la lucha contra las ciberamenazas une e involucra a todos -no se trata solo de Lear o de cualquier empresa individual. Lo que es más importante, queríamos considerar la Seguridad de la Información como un problema humano, no tecnológico, y centrarnos más en las personas de Lear, y en cómo brindarles las herramientas que necesitan para luchar contra los cibercriminales (a los que a menudo nos referimos como cibermatones)”, afirma Duby.

Enliste a otros ejecutivos
Cuando se trata de marketear el mensaje de seguridad, Bryan Willett no ve la necesidad de hacerlo solo. Willett, CISO de Lexmark, compañía global de soluciones de imágenes, afirma que ha trabajado para garantizar que sus colegas de la alta gerencia respalden las políticas y procedimientos de seguridad de la compañía, con el fin de poder ayudar a vender el mensaje de seguridad a sus propios equipos. «Para poder obtener ayuda en sus reuniones de área o en las reuniones con todos los empleados, necesito tener al CEO y a todos los líderes empresariales alineados con la misión de la seguridad y, de esa forma, reiterar el enfoque en la seguridad y la privacidad. Si no logro que el liderazgo se involucre con la difusión de la misión y los objetivos, entonces puedo hablar todo lo que quiera, pero no generaré un impacto”, afirma Willett.

Muestre el valor
Los clientes de Lexmark valoran la seguridad en sus socios comerciales, al punto que muchos clientes solicitan información sobre las estrategias de seguridad de Lexmark. Como tal, Willett afirma que sabe que un programa de seguridad sólido tiene valor comercial, y que no tiene reparos en calcular y articular ese valor cuando discute los requisitos de seguridad existentes o las nuevas iniciativas. «La seguridad ha sido una de las principales preocupaciones de nuestros clientes durante mucho tiempo, y nuestro liderazgo superior lo sabe. Saben que queremos tomar las medidas de seguridad necesarias para que nuestros clientes tengan confianza en los productos que estamos ofreciendo», señala Willett, y agrega que enmarcar la seguridad en términos de ese valor comercial, le ayudó a crear apoyo para diversas inversiones en seguridad, incluidas las certificaciones ISO.

Sea receptivo
La infraestructura de seguridad de Willett envía alertas sobre amenazas potenciales, como lo hacen los sistemas de seguridad en la mayoría de las organizaciones. Pero, a diferencia de algunas áreas de seguridad, el equipo de Willett se enfoca en reaccionar rápidamente al riesgo tecnológico y responder a los empleados involucrados en el incidente. «Tenemos guiones que se envían a los empleados cuando vemos que sucede algo. Les damos acciones para que tomen ahora y también les damos más información sobre los antecedentes -como una explicación de cómo pudo haber ocurrido esto y qué pasos podrían tomar para evitar que vuelva a suceder”, explica Willett, añadiendo que él concibe a este alcance como un «entrenamiento situacional”. Willett afirma que la información de divulgación se envía por correo electrónico para incidentes más rutinarios, mientras que llega personalmente por parte del área de seguridad cuando se trata de asuntos más complejos. De cualquier manera, ese alcance ayuda a posicionar la función de seguridad como útil. «La información trata de educarlos en el momento en que ocurrieron los eventos. Es eficaz y los empleados aprecian la orientación”, afirma Willett.

Construya buena voluntad
«Su trabajo como oficial de seguridad es lograr que hacer negocios con usted sea lo más fácil posible”, afirma Jason Taule, vicepresidente de estándares y CISO de HITRUST; anteriormente, CISO de FEI, CSC, General Dynamics y más. Él y otros líderes de ciberseguridad están de acuerdo en que, dentro de sus organizaciones, los CISO que desean generar buenas vibras alrededor de la seguridad deben ganarse esa buena voluntad. No basta con solo promover la conciencia de seguridad, sino también se necesita trabajar con la empresa y permitirles a sus colegas empresariales hacer su trabajo de forma segura, sin tener que saltar a través de aros. Como afirma el viejo dicho, la mejor publicidad es un cliente satisfecho.

Empodere a los empleados
Duby afirma que, observando parcialmente la cantidad de compromiso que ven en toda la fuerza laboral de la compañía, su equipo de seguridad rastrea la efectividad de sus esfuerzos de concientización en seguridad. Por ejemplo, observan la actividad dentro de su grupo de Yammer y monitorean cuántas personas comparten iniciativas de concientización. También realizan un seguimiento del volumen de problemas de seguridad con los informes provenientes de los trabajadores, reconociendo que cuantas más personas denuncien sus sospechas, más conscientes están y ven a la seguridad como un socio en el proceso. Lear también tiene un mes de concientización sobre seguridad, con eventos y actividades planificadas durante las cuatro semanas; octubre del 2019 marcará el tercer mes de Concientización de Seguridad anual de la compañía.

Duby afirma que, en este evento de un mes de duración, la educación continua del equipo de seguridad y los esfuerzos de divulgación, así como el trabajo de su área para reconocer a los trabajadores que tienen una mentalidad de seguridad, tienen como objetivo empoderar a los empleados. Y esa sensación de empoderamiento ayuda a los trabajadores a ver la seguridad bajo una luz positiva. «Nuestro programa ofrece a las personas un sentido de oportunidad individual, no solo para ganar una moneda o proteger una empresa, sino para participar en una lucha increíblemente importante para proteger a las personas de los ciberataques”, afirma Duby. «El programa defiende una misión que es más inspiradora de lo que podrían ser las políticas”.

Mary K. Pratt, CSO