¿Se ha preguntado alguna vez cómo conseguir que los usuarios se comprometan con la seguridad informática? La seguridad informática es una parte vital del funcionamiento y la competitividad de una organización. Su negligencia puede, en el peor de los casos, interrumpir temporalmente la actividad o incluso paralizarla definitivamente. El error humano es la principal causa de los incidentes de seguridad. Pero, ¿cómo pueden las organizaciones mejorar su resiliencia en materia de seguridad informática en lo que respecta a los usuarios y cómo conseguir que participen?
Integrar la formación en el día a día
En algunas organizaciones, la formación en seguridad informática se ha seguido gestionando de manera que, durante la incorporación, se entrega un conjunto de directrices de seguridad junto con otros materiales de orientación para su lectura, y después puede que no se vuelva a abordar de ninguna manera. Algunos empleados pueden llevar varios años sin recibir formación en materia de seguridad informática. Es posible que las directrices ni siquiera se hayan revisado desde la creación de la primera versión publicada y, por tanto, contengan información obsoleta.
Hoy en día, hay muchos sistemas de formación en seguridad informática disponibles para las organizaciones. Los más populares son los sistemas de formación basados en simulaciones de phishing, que a menudo incluyen, además de los correos electrónicos de simulación de phishing, breves microformaciones continuas sobre diferentes aspectos de la seguridad informática. El principio básico de funcionamiento de los sistemas es la formación continua regular, para que los temas no se olviden y se mantenga la concienciación de los usuarios.
Matt Linton, de Google, escribió hace algún tiempo un post que también fue noticia aquí en Finlandia, en el que criticaba la utilidad de las simulaciones de phishing por correo electrónico. Estoy de acuerdo con él en que las formaciones que envían correos de phishing simulados a los usuarios sin funciones de notificación no son un método eficaz. Cuando un usuario hace clic en un enlace del mensaje de simulación, recibe un paquete de formación en seguridad y la desaprobación del departamento de TI. No es la manera más óptima de involucrar a los usuarios. Los sistemas que tienen funciones de notificación disponibles y recompensan los informes involucran a los usuarios en los esfuerzos conjuntos de seguridad, ya sea en simulaciones de práctica o en casos reales de phishing.
¿Y qué hay de las propias directrices de seguridad de la organización?
A menudo, la situación es que los materiales de formación en seguridad se encuentran en alguna biblioteca de archivos de SharePoint, y no hay ningún seguimiento de qué usuarios han confirmado la lectura de los materiales y cuándo lo han hecho. Además, casi sin excepción, los sistemas de formación en phishing mencionados anteriormente no permiten importar los materiales de formación internos propios de la organización.
La empresa de software finlandesa Agendium tiene una excelente solución para esto. Su producto llamado Digiturvamalli es un sistema de gestión de seguridad que permite gestionar de manera integral la seguridad en las organizaciones. Una de las áreas del sistema es el mantenimiento, publicación y seguimiento de las directrices de seguridad para los usuarios de la organización. El sistema ayuda a mantener actualizadas las directrices y permite convertirlas en tareas que los usuarios pueden confirmar, por ejemplo, a través de Microsoft Teams.
¿Qué constituye las buenas prácticas de seguridad desde la perspectiva de los usuarios de la organización?
- Compromiso de la dirección
- La implementación de la cultura de seguridad debe venir de la dirección
- Sin un compromiso genuino de la dirección con la seguridad, es muy difícil crear una cultura de seguridad exitosa en la organización
- Estrategia de seguridad
- Identificar los requisitos externos e internos que afectan a nuestra organización
- Implementar la seguridad sistemáticamente, por ejemplo, siguiendo un marco como ISO27001, aunque no se nos exija específicamente
- Explicaciones claras y revisión con los usuarios sobre por qué se hacen las cosas y cómo afectan a la organización y sus empleados
- Implementar un sistema de gestión de seguridad
- Clarifica y ayuda a la organización en el desarrollo sistemático de la seguridad
- Formación continua en phishing y microsesiones de seguridad para usuarios
- Ayuda a los usuarios a identificar y reportar correos de phishing reales
- Proporciona concienciación continua sobre seguridad a los usuarios
- Involucrar a los empleados de la organización en los esfuerzos conjuntos para mejorar la seguridad
- Hacer que sea lo más fácil posible para los usuarios reportar incidentes de seguridad
- ¡Premiar, no castigar la participación!
Es un cliché, pero es cierto. El nivel de seguridad de una organización es tan fuerte como su eslabón más débil. Y casi sin excepción, el mayor riesgo es el comportamiento humano. Al involucrar a los usuarios en los esfuerzos conjuntos de seguridad, reducimos significativamente este riesgo.
En Above IT ayudamos a las organizaciones a crear una cultura de seguridad exitosa. ¡Contáctenos a continuación para hablar más!