Tweet Chat: El factor humano en la seguridad
En nuestro primer Tweet Chat del gurú de la seguridad de TI, nos acompañaron Javvad Malik, la Dra. Jessica Barker, Mo Amin, Ed Tucker y Lisa Forte mientras debatían el factor humano en la seguridad. Estas figuras destacadas de la comunidad de la ciberseguridad, que tienen una gran experiencia y están en la mejor posición para hablar sobre la importancia del elemento humano, son profundamente apasionadas por este tema tan discutido.
¿Demasiada tecnología?
Comenzamos con una pregunta que se centró en la tecnología y el papel fundamental que desempeña en la cibernética actual. Se podría decir que las organizaciones se han vuelto demasiado dependientes de este componente de seguridad. ¿Pero por qué? Bueno, la comunidad ciertamente siente que la tecnología ofrece un elemento de conveniencia que quizás los humanos no puedan brindar.
A1. Sí, y sobre todo porque las personas y los procesos son difíciles, o se ve que lo son. Más difícil que conseguir un presupuesto y comprar una brillante caja mágica. Lo mejor fusiona personas, procesos y tecnología en una estructura interconectada, porque eso es lo que es en toda la empresa. #ITSecGuru https://t.co/T72OK5wr8K
– Ed Tucker (@Teddybreath) 9 de junio de 2020
Bueno, esto comenzó yendo directamente a la yugular.
Estoy de acuerdo en que existe una gran dependencia de la tecnología. Con demasiada frecuencia buscamos resolver los problemas de las personas con la tecnología. Cuando una conversación suele ser suficiente. cc @LisaForteEs @drjessicabarker @infosecmo @Teddybreath https://t.co/anHQIgxVhb
– Javvad Malik v2.0 (@ J4vv4D) 9 de junio de 2020
A1: La tecnología es inherente a la seguridad; también lo son las personas y los procesos. Los dos últimos se pasan por alto porque puede resultar más fácil concentrarse en la tecnología. A menudo, la atención se centra en las causas superficiales de las infracciones (por ejemplo, la última vuln) en lugar de en las causas fundamentales (por ejemplo, un desarrollo inseguro o un diseño deficiente del sistema). #ITSecGuru https://t.co/0FypiiHtiS
– Jess (@drjessicabarker) 9 de junio de 2020
Eres el eslabón más débil, adiós
Los seres humanos también tienen el estigma adicional de que se les llame el «eslabón más débil» dentro de la seguridad, por lo que esta dependencia de la tecnología puede parecer justificada. Sin embargo, al ignorar o no abordar esta mentalidad, las organizaciones esencialmente pierden la oportunidad de resolver un problema crítico dentro de la seguridad general de su organización, especialmente porque el factor humano es esencial para cualquier negocio. Construir educación y conciencia desde dentro es clave.
R2: Es fácil pasar el dinero y el análisis de la causa raíz es difícil para la mayoría de las organizaciones. El personal no debería tener la carga de que le digan “que esté seguro”. Continuar con esa retórica solo genera desconfianza en el personal. #ITSecGuru https://t.co/nbGeaUsXz0
– Mo Amin (@infosecmo) 9 de junio de 2020
Mucho de esto ha surgido de una posición de arrogancia. Los profesionales de la seguridad se sienten mejores que los demás y no miran hacia adentro para ver dónde pueden estar sus propios defectos. #ITSecGuru https://t.co/WdKhxlxQCj
– Javvad Malik v2.0 (@ J4vv4D) 9 de junio de 2020
R2: En los días del servicio de asistencia técnica, siempre existía la broma de los errores de ID10T: los usuarios finales eran criticados porque simplemente no sabían. Fracasamos como profesionales de la ciberseguridad si no educamos a todos. Comprender las medidas básicas de higiene cibernética. #ITSecGuru
– James (@James_McQuiggan) 9 de junio de 2020
¿Qué recursos deben priorizarse?
Luego preguntamos si las empresas están invirtiendo sus recursos en los lugares equivocados para abordar la seguridad y si el cumplimiento estaba impulsando esto. Con las regulaciones globales de seguridad y privacidad de los datos que castigan severamente a quienes no cumplen, existe una gran posibilidad de que muchos tomadores de decisiones empresariales crean erróneamente que cumplir automáticamente significa que la empresa está asegurada.
El cumplimiento puede marcar la casilla. En algunas industrias es necesario, pero no significa que sea suficiente. Concéntrese en los activos que necesitan protección y tenga un plan para lo que suceda si todo sale mal y usted es violado #itsecguru https://t.co/MADA2N2SGE
– Lisa Forte (@LisaForteUK) 9 de junio de 2020
Un error que veo a menudo es invertir primero en tecnología sin comprender primero el panorama de amenazas y el apetito (y las prioridades) de riesgo empresarial. Comprenda cuáles son los problemas reales y qué es importante, luego invierta los recursos que agreguen el mayor valor. #ITSecGuru https://t.co/wwk1ebvqd1
– Javvad Malik v2.0 (@ J4vv4D) 9 de junio de 2020
A3: Falta de gobernanza y gestión de riesgos eficaces tanto de sus inversiones como de sus recursos. Las organizaciones deben lograr un equilibrio entre cumplimiento y desempeño.
– Hastiado InfoSec Pro (@edwardmccabe) 9 de junio de 2020
Las empresas no aprecian los costos o la complejidad de la seguridad ni los riesgos. Los especialistas en seguridad no hacen un buen trabajo al comunicar y conciliar esto con la alta dirección.
– 😷 Tim Morgan 🖤 (@tjcmorgan) 9 de junio de 2020
¿Qué es más perjudicial: poco conocimiento o poca seguridad?
A continuación, llegó el momento de averiguar qué era lo que la comunidad de seguridad consideraba más peligroso para una empresa: una fuerza laboral inconsciente de los cibernéticos o un sistema de seguridad mal configurado. Bueno, eso depende…
R4: Esto es la gallina y el huevo: ¡es más probable que una fuerza laboral inconsciente cibernética tenga sistemas mal configurados y no se entere! #ITSecGuru https://t.co/L3TKNMCSSB
– Jess (@drjessicabarker) 9 de junio de 2020
Creo que ambos plantean claramente riesgos, pero los usuarios que desconocen la sensibilidad de los datos, las amenazas planteadas por los atacantes y las tácticas comunes empleadas lo dejan a usted (y a ellos personalmente) mucho más vulnerables. #itsecguru https://t.co/St5lKl92rv
– Lisa Forte (@LisaForteUK) 9 de junio de 2020
A4 Depende de su entorno y de la clasificación de los datos que se guardan en el sistema. Pero, en general, su personal debe tener un conocimiento general de los riesgos a los que se enfrenta su empresa y cómo pueden ayudar a mantenerla segura. #ITSecGuru https://t.co/vGlRXyYH9h
– Mo Amin (@infosecmo) 9 de junio de 2020
A4. Ah …… .depende (¡FINALMENTE!)
Cada uno de ellos representa parámetros de riesgo. Debilidades o vulnerabilidades que podrían o no ser explotadas, o controles que podrían o no ser efectivos. Ninguno es más grande que el otro sin contexto. #ITSecGuru https://t.co/igJQkXZBF3
– Ed Tucker (@Teddybreath) 9 de junio de 2020
Los líderes de seguridad / CISO toman nota
¿Dónde se equivocan los CISO y los líderes de seguridad cuando intentan obtener suficiente respaldo de la sala de juntas para permitirles construir un programa de seguridad? está claro que tienen una batalla cuesta arriba para convencer a la gerencia sobre cómo invertir cuando se trata de seguridad.
A5: Utilice el lenguaje correcto, evite la jerga técnica y concéntrese en los problemas desde el ángulo que resuene con su «audiencia». Familiarícese con los informes anuales de su organización, comprenda las prioridades comerciales y considere la cultura organizacional más amplia. #ITSecGuru https://t.co/HWKzGwQsUv
– Jess (@drjessicabarker) 9 de junio de 2020
Q5. ¿Cuáles son los errores comunes que cometen los CISO cuando intentan obtener suficiente respaldo de la sala de juntas cuando intentan construir un programa de seguridad? #ITSecGuru
– Gurú de seguridad de TI (@IT_SecGuru) 9 de junio de 2020
Es necesario invertir, pero conviértalo en la inversión adecuada
Pero, ¿qué pasa si se realizan inversiones? Seguimos viendo violaciones de datos y ciberataques exitosos que afectan a organizaciones de todos los tamaños. Entonces, ¿por qué no deberíamos perder la esperanza? ¿Dónde deberían centrar sus esfuerzos los CISO y los líderes de seguridad?
Da un paso atrás y examina dónde está tu riesgo real. Esto ayudará a invertir tiempo y dinero de manera más inteligente. Realmente me gusta el enfoque @rogeragrimes aborda esto en su libro «Defensa de la seguridad informática basada en datos»
Muchos CISO necesitan priorizar mejor y esto ayudará #ITSecGuru https://t.co/qejuhcDlIg
– Madsqu1rrel (@ErichKron) 9 de junio de 2020
¡¡¡Esta pelea no ha terminado !!! ¡Necesitamos invertir para que los atacantes trabajen tan duro por su dinero como nosotros por el nuestro! Necesitamos un plan por si nos atacan y tenemos que probar ese plan. ¿Dónde están los activos que “arruinan la vida”? Concéntrese en ellos. #itsecguru https://t.co/r4pTEP68U8
– Lisa Forte (@LisaForteUK) 9 de junio de 2020
Concéntrese en lo básico. Ocurrirán incidentes. Estar preparado.
– 😷 Tim Morgan 🖤 (@tjcmorgan) 9 de junio de 2020
A6. Las infracciones siempre han ocurrido, pero uno de nuestros mayores problemas es que continuamos operando en teoría, y a menudo en teoría alarmante. Evidencia, hechos, impacto demostrable (bueno y malo). #ITSecGuru https://t.co/Q6iljaal6p
– Ed Tucker (@Teddybreath) 9 de junio de 2020
Construyendo una cultura de seguridad
Para los profesionales de la seguridad que buscan establecer una cultura de seguridad sólida o al menos tener una plataforma desde la que construir, aquí hay algunos consejos de nuestros panelistas:
R7: He dirigido y ayudado a realizar estudios culturales en el pasado, por ejemplo, encuesta + grupo de enfoque. Aunque esto solo proporciona una línea de base de una sola vez, es decir, deberá ejecutar anuales. Necesitamos pasar a un enfoque cuantitativo basado en datos … https://t.co/iWakFQB5MG
– Mo Amin (@infosecmo) 9 de junio de 2020
A7. Implica la seguridad lo menos posible. Involucrar a las personas que ejecutan los procesos comerciales. Promover y fomentar las relaciones, la colaboración, la comprensión, la empatía, la conversación, pero lo más importante, la escucha. Deje que el negocio lo guíe. ¡Es su cultura, no la tuya! #ITSecGuru https://t.co/6ZBtdXPZ1I
– Ed Tucker (@Teddybreath) 9 de junio de 2020
El cambio de cultura / comportamiento lleva tiempo. Así que no espere que las cosas cambien rápidamente. Mida los comportamientos que más significan para usted, entrene, vuelva a medir para ver cómo ha cambiado. Ajustar y volver a entrenar. Piense en ello como una campaña de marketing, no como una de seguridad. #ITsecGuru https://t.co/fgI8e6ONKw
– Javvad Malik v2.0 (@ J4vv4D) 9 de junio de 2020
R7: Escuche a sus colegas en el resto del negocio, comprenda la cultura de su empresa en general (¡no intente simplemente atornillar la cultura de seguridad!) Y reconozca que dentro de una organización habrá muchas subculturas diferentes. #ITSecGuru https://t.co/zopJq2M9gU
– Jess (@drjessicabarker) 9 de junio de 2020
Identificar al personal de alto riesgo (personas con acceso a las cosas buenas) Brindarles capacitaciones más profundas o presenciales. Obtenga una formación de conciencia decente para todos. Utilice pruebas de suplantación de identidad (phishing), pero observe el desarrollo de habilidades, no la detección de personas. Haga que el personal vea el impacto personal del ciberdelito https://t.co/VC3MvTRMQe
– Lisa Forte (@LisaForteUK) 9 de junio de 2020
Para cerrar el chat…
Las preguntas anteriores generaron una gran discusión y proporcionaron información sobre las dificultades, los problemas y los problemas a los que se enfrentan los profesionales de la seguridad cuando intentan abordar la ciberseguridad. Pero la última pregunta aclara el significado y la importancia de tener el elemento humano en la seguridad.
¡Sí! Porque los humanos siempre interactúan con la tecnología. Todos corremos con el mismo hardware. Todos estamos sujetos a vulnerabilidades y sesgos similares, por lo que, en muchos sentidos, con la conciencia y la cultura adecuadas, es uno de los elementos de seguridad más fáciles de solucionar. Conocemos las debilidades https://t.co/S4hleD59Ji
– Lisa Forte (@LisaForteUK) 9 de junio de 2020
A8. Si. Hay humanos en todas partes de la empresa y la seguridad misma. PERSONAS, procesos y tecnología. Si ignora el factor humano, todo el factor humano, fracasará miserablemente. Bueno, más miserablemente. #ITSecGuru https://t.co/26wh2PwLU7
– Ed Tucker (@Teddybreath) 9 de junio de 2020
R8: En mi próximo libro cubro el ciclo de vida de la tecnología y el hecho de que las personas están involucradas en cada etapa: diseño, creación, prueba, uso, abuso y destrucción. Entonces, sí, ¡la seguridad efectiva siempre involucra a las personas! #ITSecGuru #Desvergonzado inspirado por @ J4vv4D 😁
– Jess (@drjessicabarker) 9 de junio de 2020
R8: Básicamente, estamos tratando de influir en la cultura de la organización. Entonces, en resumen, sí. Si bien necesitamos apreciar a las personas, los procesos y la tecnología. Necesitamos profundizar en el lado de las personas … https://t.co/jz41P7hPL5
– Mo Amin (@infosecmo) 9 de junio de 2020
Sí, porque al igual que los autos autónomos, por mucho que tengamos tecnología avanzada, no confiaría completamente en ellos sin el factor humano. Además, involucrar a las personas puede provocar el efecto Ikea … https://t.co/D4cfZNkpCp pic.twitter.com/GwvjB6N08c
– Javvad Malik v2.0 (@ J4vv4D) 9 de junio de 2020
Y si necesita más aclaraciones sobre por qué no deberíamos depender únicamente de la tecnología, le devolveré esta respuesta …
Siempre que tenga humanos en su organización, absolutamente.
Incluso Skynet tuvo que lidiar con el factor humano, solo un poco diferente #ITSecGuru pic.twitter.com/W3uqiIJWIU
– Madsqu1rrel (@ErichKron) 9 de junio de 2020
Si no pudo realizar el Tweet Chat, no se preocupe, simplemente siga al Gurú de seguridad de TI o busque el hashtag #ITSecGuru para ver las preguntas y respuestas.