CIBERSEGURIDAD

Por qué las comunicaciones de seguridad son más importantes que nunca.

0 81 4 minutos de lectura

Ellie Hurst, directora de comunicación de marketing y medios de Advent-IM y finalista en la categoría Cyber ​​Writer en los Security Serious Unsung Heroes Awards 2019.



Me uní a la industria de la seguridad hace poco más de ocho años y mi puesto es el de Jefe de Marketing, Medios y Comunicaciones para una consultoría de seguridad holística independiente.

Trabajar en un rol de comunicación significa que uno puede ver una amplia variedad de desafíos comerciales. Trabajar en una función de comunicaciones en el sector de la seguridad significa que puedo ver una amplia variedad de desafíos, en una amplia variedad de funciones, en una amplia variedad de funciones de seguridad o silos. Mi iniciación en la seguridad parece que acaba de comenzar y cada día es un día escolar. Sócrates tenía razón y la única sabiduría verdadera es saber que no sabes nada.

La mala noticia es que, en términos generales, la comunicación de seguridad está fallando. Con esto me refiero a que a los usuarios todavía se les venden amuletos cibernéticos mágicos, las empresas y los equipos de seguridad todavía no hablan el mismo idioma, la seguridad todavía lucha por ser entendida en la sala de juntas y en los negocios en general y FUD todavía gobierna las oleadas editorial y de marketing … con algunas excepciones notables (consulte la lista de finalistas de los premios Security Serious Unsung Heroes Cyber ​​Writer).

¿Estamos atrapados en la locura de hacer las mismas cosas una y otra vez y esperar un resultado diferente? Bueno, los niveles de incidentes y violaciones de seguridad, en una variedad de estudios, aparentemente están en un crecimiento de dos dígitos, al igual que el gasto en seguridad cibernética. Ahora, no soy un matemático, pero claramente algo no está funcionando y la forma en que comunicamos la seguridad debe asumir su parte justa de responsabilidad.

Todo esto está sucediendo en el contexto de un panorama de amenazas cada vez más volátil y niveles sin precedentes de demanda y expectativas de los profesionales de la seguridad. Las empresas han separado la seguridad de muchas maneras y, sin embargo, al mismo tiempo, esperan que la seguridad tenga un impacto positivo en los usuarios finales y sin decir, no, a nada.

Los usuarios no comprenden realmente, posiblemente por falta de formación y conciencia, el papel que desempeñan en la seguridad de su organización. Esto no significa que sean «usuarios estúpidos», sino que el punto ciego de la seguridad son con frecuencia las personas y las empresas rara vez invierten suficiente tiempo o dinero en crear usuarios conscientes y bien capacitados. Lamentablemente, esto tiende a convertirlos más en una amenaza y menos en una línea de defensa adicional. Si alguna vez hubo una función incomprendida y ampliamente subestimada, es la seguridad y la relación actual de las empresas con la seguridad simplemente no es sostenible. La pregunta es ¿qué hacemos al respecto?

Todos sabemos que la comunicación va en ambos sentidos y la seguridad no siempre es su mejor amiga cuando se trata de hablar con empresas y juntas directivas. Una investigación compilada por Osterman1, hace un tiempo que creo que todavía es válida, preguntó a los líderes empresariales y profesionales de la seguridad cómo se comunican entre sí y cuáles fueron los resultados. Como trascendió, los resultados fueron más aterradores que un producto. diseño de presentación en una exposición de seguridad; los líderes dijeron que necesitaban informes que fueran menos técnicos y más perspicaces, al tiempo que negaban que tuvieran algún problema para comprender lo que se les estaba dando actualmente.

Al mismo tiempo, los profesionales de la seguridad dijeron que sabían que sus juntas directivas no entendían lo que se les estaba dando, pero que los directores no se comunicaban con ellos sobre lo que realmente querían. El resultado fue que muchos encuestados sintieron que el riesgo en realidad no se redujo como resultado de sus interacciones … te deja preguntándote qué pensaban todos que estaban haciendo realmente, ¿no es así? Mientras hablamos de investigación, es posible que también se pregunte por qué la mayoría de los miembros de la junta y los altos ejecutivos responsables de la gestión del riesgo cibernético de sus organizaciones pasaron menos de un día el año pasado enfocados en problemas de riesgo cibernético.

¿Porque hemos adoptado la tecnología mucho más fácilmente que su seguridad? ¿Porque la seguridad es un problema de otra persona? ¿Porque la seguridad siempre dice que no, por lo que siempre son los últimos en llegar y se ven obligados a adaptar una solución? Al menos podemos empezar a ver por qué, en parte, un mayor gasto no se ha equiparado con una reducción de incidentes. La naturaleza unida de los ciberdelincuentes y su riqueza de herramientas efectivas y cada vez más perfeccionadas no se puede minimizar, por supuesto.

Mi visión de las comunicaciones de seguridad ve a los profesionales de la seguridad apoyados por sus usuarios, porque esos usuarios entienden el papel que juegan en la seguridad diaria. Las juntas directivas son libres de admitir y hablar sobre qué informes necesitan ver y cómo deben verlos; aumentando su interacción y conexión con las estrategias de seguridad que se vuelven cada vez más favorables al negocio. También los profesionales de la seguridad actúan como asesores expertos y valiosos para sus negocios y adaptan sus propias comunicaciones, asegurando los mejores resultados en lugar de utilizar el mismo léxico de seguridad, de forma multilateral.

Encontrar formas de hacer esto, preferiblemente de una manera neutral en cuanto a costos, es un desafío. Siento que los equipos de comunicaciones ofrecen parte de la solución a algunos de los problemas que he expuesto brevemente aquí. Usarlos para ayudar a crear presentaciones e informes de la junta de seguridad, materiales de capacitación en seguridad y comunicación entre departamentos, significa que a. el léxico empresarial puede ser adoptado por la seguridad, haciendo que sus comunicaciones sean más efectivas y reduciendo el riesgo mediante la comprensión y b. se puede construir un léxico de seguridad apropiado y moverlo a través del negocio con cada comunicación; tablero y usuario, por igual.

Creo que el futuro pertenece a quienes abrazarán el cambio comunicativo; líderes, usuarios y profesionales de la seguridad. No va a ser fácil, pero nada que realmente valga la pena lo es. #Solo digo

¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬ __________________________________________________________________________________
1. Osterman Research (2016) para Bay Dynamics «Cómo se sienten realmente las juntas directivas acerca de los informes de seguridad cibernética» y «Informar a la junta, donde los CISO y la junta están perdiendo la marca»
2. Encuesta de percepción de riesgo cibernético global de Microsoft Marsh 2019

Publicaciones relacionadas

5 consejos para mantener segura su red inalámbrica

La mayoría de los profesionales de la ciberseguridad se sienten sobrecargados de trabajo

Irán Cyberattack Scare explotado por Microsoft Phishing Scam

Los piratas informáticos pueden bloquear de forma remota casi CUALQUIER máquina: el malware secuestra el equipo de oficina para crear dispositivos espías

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar