CIBERSEGURIDAD

Desglosando la conciencia de seguridad de TI

0 69 7 minutos de lectura


Desglosando la conciencia de seguridad de TI

Por: Peter Lindley, investigador de seguridad, InfoSec Institute
Es un fundamento aceptado de la seguridad de TI: el punto más débil es casi siempre el usuario. La mayoría de las encuestas e informes anuales de seguridad mostrarán que los incidentes provocados por el usuario representarán el porcentaje más alto de los notificados o detectados. Y de la misma manera, el mejor “beneficio por su inversión” para la prevención de incidentes de seguridad es invariablemente el programa de concientización sobre seguridad.
Pero, ¿qué es exactamente un programa de concientización sobre seguridad? ¿Qué debería incluir?
Una vez fui designado para una organización recién formada como su Gerente de Seguridad de TI. Me asignaron la tarea de implementar y administrar un Sistema de gestión de seguridad de la información (SGSI) para el nuevo cuerpo.
Un equipo de consultores había desarrollado una serie de políticas de seguridad de TI y procedimientos operativos de seguridad (SyOps) como parte del SGSI antes de mi nombramiento. Estos incluyeron una Política de seguridad del sistema general principal con varias políticas detalladas específicas para áreas particulares (por ejemplo, una política de notificación de incidentes) respaldada por una serie de SyOps, algunos de los cuales eran específicos de función.
Un requisito clave estaba claro: integrar las responsabilidades y buenas prácticas incluidas en las políticas y procedimientos dentro de la cultura de la nueva organización.
Pero, ¿cómo podría lograrse esto de la mejor manera?
Al evaluar esto, quedó claro que, además de considerar la pregunta planteada anteriormente, en cuanto a qué debería incluir un programa de concientización sobre seguridad, era igualmente importante preguntarse qué no debería ser incluido?
Las políticas y procedimientos de seguridad de TI tienden a no ser tan legibles como los últimos Lee Child, Stephenie Meyer, EL James o Fyodor Dostoyevsky (¡elimínelos según corresponda a sus gustos literarios!). Es poco probable que escuche a alguien describir su política de acceso remoto como «imposible de interpretar», por ejemplo.
Las políticas de seguridad de TI tienden a ser documentos turgentes con muchas secciones detalladas mezcladas con jerga técnica. Esto puede ser inevitable hasta cierto punto, por ejemplo, para garantizar el cumplimiento de las normas y directrices adecuadas y para cubrir los requisitos legales pertinentes. Sin embargo, el resultado final es que es poco probable que la mayoría de los usuarios lean su Política de seguridad de TI de principio a fin.
Este fue de hecho el caso de las políticas y procedimientos que heredé. Estos incluían muchos párrafos largos dedicados a, por ejemplo, las disposiciones vigentes para administrar la seguridad del cableado, los servicios públicos de energía, etc.
Entonces, realicé un ejercicio para repasar todas las políticas y procedimientos y extraer solo los puntos clave que serían relevantes para todos los usuarios en términos de su trabajo diario. Esto llevó algo de tiempo, pero al final de este proceso había identificado una lista de requisitos clave que podrían organizarse en 3 áreas amplias: lo que el usuario «no debe hacer»; lo que el usuario «debe hacer» y lo que el usuario «debe conocer».
Este conjunto de puntos clave formaría, por tanto, la base del programa de concienciación sobre seguridad.
Entonces, ¿por dónde empezar?
Fue una suerte para mí que, como una nueva organización establecida en un sitio de campo verde, el equipo de gestión del proyecto hubiera organizado una capacitación inicial para su nuevo personal. Me puse en contacto con el equipo de formación y logré obtener su consentimiento para la adición de una breve presentación sobre la política de seguridad de TI que impartiría como parte del curso de iniciación.
Desarrollé un conjunto de diapositivas basadas en los «pros y contras» clave, etc. mencionados anteriormente, destacando los mensajes clave. También redacté notas adjuntas para ayudar a explicar por qué el usuario necesitaba «hacer» algo, o evitar hacer algo, aclarando el posible impacto adverso para la organización (o el miembro individual del personal) que de otro modo podría surgir.
También utilicé este contenido para redactar algunas páginas sobre la política de seguridad informática que se agregarán al paquete de introducción que se entregó a todos los asistentes a la capacitación.
Para las presentaciones, traté de mantener las cosas ligeras, alenté las preguntas y evité las diapositivas con mucho texto.
Por supuesto, referirse a incidentes de actualidad (de los que nunca parece haber escasez) ayuda a centrar la atención en el impacto potencial cuando las cosas van mal. Aunque personalmente siempre trato de hacerlo sin recurrir a la exageración del panorama de amenazas, que ha tendido a ser el foco de muchas de las presentaciones que he tenido que soportar en conferencias a lo largo de los años. (Básicamente, el enfoque a menudo parece ser: pensar en algo desagradable y poner «ciber» delante de él: «ciber-terrorismo», «ciber-asesinato». Luego, busque algo vagamente relevante pero no particularmente convincente o bien documentado » incidente «a calzador como ejemplo. ¿Qué sigue? ¿» Cyber-golpe «?» Cyber-Armageddon «?» Cyber-Bad Hair Day «? Quién sabe? Las amenazas a la seguridad de TI son reales y lo suficientemente generalizadas sin la necesidad de la hipérbole y alarmante que suelen caracterizar las presentaciones, en particular las destinadas a comercializar herramientas o productos de seguridad. Pero estoy divagando….).
Brindar algunos consejos y orientación que también sean relevantes para el personal en lo que respecta al uso personal de TI en el hogar también ayuda a mantener el interés y puede ser beneficioso para ambos, tanto para el miembro del personal como para la organización matriz. La promoción de buenas prácticas en torno al uso de las redes sociales sería un buen ejemplo, en particular para asegurarse de que el personal sepa que no debe usar la contraseña oficial de su cuenta de trabajo como la misma contraseña para su sitio de redes sociales. No es necesario exagerar para resaltar el riesgo de que la información contenida en el sitio de redes sociales se vea comprometida y, a su vez, exponga otros sitios oficiales como consecuencia. Se encuentran disponibles varios ejemplos bien documentados.
Uno de los beneficios clave de realizar presentaciones de concienciación sobre seguridad no tiene tanto que ver con el contenido, sino que el personal ahora puede poner un rostro (y un número de teléfono y una dirección de correo electrónico) al nombre cuando se trata de su Gerente de Seguridad de TI. Sabrán a quién contactar si tienen alguna inquietud o necesitan orientación sobre problemas de seguridad de TI y, lo que es más importante y un mensaje clave en cualquier programa de concientización sobre seguridad, a quién deben informar cualquier incidente de seguridad, ya sea real o sospechoso. Este es un factor clave que generalmente falta en la capacitación en línea.
Otra área que incluiría en la capacitación de concienciación sobre seguridad se relaciona con el rol del gerente de línea. Los gerentes de línea normalmente están en la mejor posición para supervisar el cumplimiento del personal con las políticas y los procedimientos de seguridad y, por ejemplo, para garantizar que se informe cualquier incidente de seguridad dentro de su área de responsabilidad. En la organización para la que entregué el programa de concientización sobre seguridad, esta responsabilidad se agregó a la descripción formal del trabajo de aquellos con un rol de gerencia de línea. Subrayé esto durante las presentaciones de capacitación al tiempo que dejé en claro mi disponibilidad para brindar asesoramiento, orientación y apoyo cuando sea necesario.
Todo el personal nuevo fue (y está) obligado a asistir a la capacitación inicial, y más tarde se organizaron sesiones de «limpieza» para aquellos que no pudieron asistir a las sesiones iniciales.
La retroalimentación sobre la capacitación en seguridad se obtuvo a través de cuestionarios completados por los asistentes, y esto fue muy positivo. La gran cantidad de llamadas telefónicas y correos electrónicos que recibí del personal en busca de aclaraciones en los días y semanas posteriores a las presentaciones de capacitación confirmó aún más su éxito. También se acordaron planes de actualización con el equipo de capacitación.
Por supuesto, un programa de concientización sobre seguridad es más que solo presentaciones de capacitación, e implementé una serie de otras medidas para complementar los recordatorios de capacitación.
Uno de los más importantes fue el desarrollo de un área de seguridad informática en la intranet de la organización.
Para la estructura básica de esta área de la Intranet, utilicé los conjuntos de ‘must-dos’; ‘no debe hacer’, etc. mencionado anteriormente. También agregué secciones que cubren áreas específicas, como orientación sobre el uso de Internet y el correo electrónico para reforzar los mensajes clave, por ejemplo, sobre los riesgos de los enlaces o archivos adjuntos en correos electrónicos de fuentes no confiables.
Se implementó otra medida cuando acordé con el director ejecutivo que redactaría recordatorios regulares por correo electrónico que resumieran los mensajes clave de la política de seguridad que luego se emitirían a través de él.
Esto ayudó a reforzar el compromiso del más alto nivel con la necesidad de integrar el cumplimiento de las políticas de seguridad en la cultura de la organización. Estos correos electrónicos incluían enlaces al área de seguridad de la Intranet para proporcionar información adicional, orientación y detalles de contacto para mí como gerente de seguridad de TI.
Estos recordatorios se emitirían cada seis meses, y de forma ad-hoc en respuesta a un incidente en particular o una amenaza reportada, y los altos directivos acordaron incluir los recordatorios como un elemento fijo de la agenda para sus reuniones regulares de equipo o sucursal.
Otros elementos que utilicé como parte del programa de concientización incluyeron carteles con mensajes clave de seguridad de TI que se colocaron en los ascensores del edificio y otros lugares apropiados. También contribuiría ocasionalmente con artículos sobre seguridad informática a la revista interna de la organización.
Finalmente, me di cuenta de que se estaban desarrollando materiales promocionales para ayudar a comercializar la nueva organización y que estos incluirían alfombrillas para mouse con algunos mensajes clave impresos sobre los servicios que brindaría la nueva organización, y que estas alfombrillas para mouse se entregarían a todo el personal. tanto en la organización como en sus clientes.
Me las arreglé para obtener el acuerdo del equipo de marketing de que una pequeña sección de la alfombrilla del mouse se dejaría a un lado para permitirme agregar contenido relacionado con la seguridad. Dado el espacio limitado disponible, esto tuvo que enfocarse en mensajes muy breves pero clave relacionados, por ejemplo, con la protección con contraseña y el uso de ‘Ctrl / Alt / Del’ para bloquear computadoras cuando están desatendidas.
En resumen: un programa de concientización es esencial para ayudar a incorporar una cultura de buenas prácticas en relación con la seguridad de la información dentro de una organización.
Identifique qué mensajes clave de sus políticas y procedimientos de seguridad desea comunicar al personal como punto de partida. Piense en lo que puede excluir para evitar aburrir al personal con cosas que realmente no necesitan saber. Céntrese en lo esencial para ayudar al personal a cumplir con las buenas prácticas de seguridad en su trabajo diario.
Un enfoque útil es hacer una lista de lo que se debe y no se debe hacer. Estos pueden formar la base para una presentación de conciencia de seguridad, pero esté preparado para explicar el razonamiento detrás de cada requisito. Los incidentes de actualidad suelen estar disponibles para ayudar a ilustrar esto, ¡sin necesidad de recurrir a exagerar la amenaza potencial! Anime al personal a hacer preguntas o hacer un seguimiento de cualquier consulta con usted en una fecha posterior.
Se puede desarrollar un área de seguridad de Intranet para proporcionar un depósito útil de orientación de seguridad para ayudar a complementar el programa de concientización.
También son importantes los recordatorios regulares sobre la política de seguridad y las comunicaciones emitidas en respuesta a amenazas o incidentes actuales. Si estos pueden emitirse a través de la alta dirección, esto ayudará a confirmar su compromiso con la seguridad de la información en la organización.
El uso de otros medios o materiales promocionales (carteles, alfombrillas de ratón, etc.) también puede ayudar a reforzar los mensajes clave.

Publicaciones relacionadas

Adopción de medidas para equilibrar el Día Internacional de la Mujer.

La filtración de datos de la NASA demuestra la necesidad de un gobierno de red adecuado.

Twitter contrata a un nuevo CISO: Rinki Sethi

Kits de exploits que cambian de forma y ataques de malware en globo descubiertos en el Informe anual de amenazas de Dell Security

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar