¿Su estrategia de ciberseguridad es víctima de estos seis errores comunes?

Aquí hay una prueba sorpresa para los profesionales de la seguridad cibernética: ¿Su equipo de seguridad considera a los empleados de su organización como sus aliados o sus enemigos? ¿Creen que los empleados son el eslabón más débil de la cadena de seguridad? Pongámoslo más amplio y sin rodeos: ¿Su equipo asume que los usuarios no tienen ni idea?

Sus respuestas a esas preguntas pueden variar, pero un artículo reciente de la científica informática del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), Julie Haney, destaca un problema generalizado dentro del mundo de la seguridad informática: muchos especialistas en seguridad albergan conceptos erróneos sobre los usuarios legos de la tecnología de la información y estos conceptos erróneos pueden aumentar el riesgo de infracciones de seguridad cibernética de una organización. Estos problemas incluyen comunicaciones ineficaces para los usuarios no profesionales y la incorporación inadecuada de los comentarios de los usuarios sobre la usabilidad del sistema de seguridad.

«Los especialistas en seguridad cibernética son profesionales capacitados y dedicados que realizan un gran servicio para protegernos de las amenazas cibernéticas», dijo Haney. «Pero a pesar de tener las intenciones más nobles, la fuerte dependencia de la tecnología de su comunidad para resolver los problemas de seguridad puede disuadirlos de considerar adecuadamente el elemento humano, que juega un papel importante en la seguridad utilizable y efectiva».

El elemento humano se refiere a los factores individuales y sociales que afectan la adopción de la seguridad por parte de los usuarios, incluidas sus percepciones de las herramientas de seguridad. Una herramienta o enfoque de seguridad puede ser poderoso en principio, pero si los usuarios perciben que es un obstáculo y tratan de eludirlo, los niveles de riesgo pueden aumentar. Un informe reciente estimó que el 82 % de las infracciones de 2021 involucraron al elemento humano, y en 2020, el 53 % de los incidentes cibernéticos del gobierno de EE. UU. se debieron a que los empleados violaron las políticas de uso aceptable o sucumbieron a los ataques de correo electrónico.

Haney, que tiene una combinación comparativamente inusual de experiencia tanto en seguridad cibernética como en computación centrada en el ser humano, escribió su nuevo artículo, «Los usuarios no son estúpidos: Se anularon seis trampas de seguridad cibernética», para ayudar a las comunidades de usuarios y de seguridad a convertirse en aliados para mitigar los riesgos cibernéticos. .

“Necesitamos un cambio de actitud en ciberseguridad”, dijo Haney. «Hablamos con los usuarios en un idioma que realmente no entienden, agobiándolos y menospreciándolos, pero aún así esperamos que sean profesionales estelares de la seguridad. Ese enfoque no los prepara para el éxito. En lugar de ver a las personas como obstruccionistas , necesitamos empoderarlos y reconocerlos como socios en ciberseguridad».

El documento detalla seis trampas que amenazan a los profesionales de la seguridad, junto con posibles soluciones:

1. Asumiendo que los usuarios no tienen ni idea. Aunque las personas cometen errores, menospreciar a los usuarios puede resultar en una relación poco saludable de «nosotros contra ellos» entre los usuarios y los profesionales de ciberseguridad. La investigación sobre los no expertos revela que los usuarios simplemente están abrumados y, a menudo, sufren fatiga de seguridad. Una posible solución consiste en establecer relaciones positivas con los usuarios y empoderarlos para que sean socios activos y capaces en materia de ciberseguridad.
2. No adaptar las comunicaciones a la audiencia. Los profesionales de la seguridad a menudo usan una jerga técnica que reduce la participación de la audiencia y es posible que no adapten las lecciones de manera que atraigan lo que les importa a los usuarios en su vida diaria. Varias estrategias pueden ayudar, desde centrarse en mensajes en un lenguaje sencillo hasta presentar información en múltiples formatos y solicitar la ayuda de la oficina de asuntos públicos de una organización.
3. Creación involuntaria de amenazas internas debido a la mala usabilidad. Los usuarios que ya están al límite debido a presiones de tiempo u otras distracciones pueden convertirse ellos mismos en amenazas sin darse cuenta, ya que se vuelven propensos a tomar malas decisiones. (Por ejemplo, las políticas de contraseñas complejas pueden inspirar malas decisiones, como usar la misma contraseña en varias cuentas). La descarga de la carga de seguridad del usuario puede ayudar, por ejemplo, explorando si el servidor puede filtrar más el correo para que haya menos phishing. pasan los correos electrónicos. Además, al probar nuevas soluciones de seguridad, probar el enfoque primero con un pequeño grupo de usuarios puede revelar una posible confusión que se puede corregir antes de una implementación más amplia.
4. Tener demasiada seguridad. «Demasiado» implica que una solución de seguridad puede ser demasiado rígida o restrictiva para el contexto laboral específico. Si bien usar siempre las herramientas más seguras disponibles suena inteligente en principio, algunos usuarios pueden encontrar la complejidad resultante sofocante para el trabajo diario, lo que los lleva a violar las políticas de seguridad con más frecuencia. En lugar de una postura de «talla única», realizar una evaluación de riesgos utilizando un marco de gestión de riesgos puede ayudar a determinar qué nivel de ciberseguridad se adapta mejor a un entorno determinado.
5. Dependiendo de medidas punitivas o mensajes negativos para lograr que los usuarios cumplan. El refuerzo negativo es común dentro de las organizaciones hoy en día: los ejemplos incluyen deshabilitar cuentas de usuario si no se completó la capacitación en seguridad y avergonzar públicamente a las personas que causan incidentes de seguridad cibernética. Ya sea que estas medidas funcionen o no a corto plazo, generan resentimiento hacia la seguridad a largo plazo. En cambio, ofrecer incentivos positivos para los empleados que respondan a las amenazas de manera adecuada puede mejorar las actitudes hacia la seguridad, al igual que adoptar un enfoque de colaboración con los usuarios que luchan.
6. No considerar medidas de efectividad centradas en el usuario. Dado que los empleados a menudo encuentran que la capacitación en seguridad es una actividad aburrida, ¿cuánto están reteniendo realmente? Sin comentarios directos de los usuarios e indicadores concretos de comportamiento, las organizaciones pueden tener dificultades para responder esa pregunta. Es útil pensar en métricas concretas como identificadores de síntomas, como llamadas a la mesa de ayuda que revelan los puntos débiles de los usuarios e incidentes como clics de phishing que pueden mostrar dónde los usuarios necesitan más soporte. Después de identificar los síntomas, los equipos de seguridad pueden usar encuestas, grupos focales u otras interacciones directas con los usuarios para determinar la causa raíz de los problemas y mejorar sus soluciones.

Haney enfatizó que no todos los profesionales de la seguridad tienen estos conceptos erróneos; ciertamente hay equipos y organizaciones de seguridad que están logrando avances positivos en el reconocimiento y tratamiento del elemento humano de la seguridad. Sin embargo, estos conceptos erróneos siguen siendo frecuentes dentro de la comunidad.

Haney dijo que aunque el problema de descuidar el elemento humano ha sido bien conocido durante años (su artículo cita evidencia de encuestas de la industria, publicaciones gubernamentales y publicaciones de investigación de seguridad utilizable, así como el trabajo original de su grupo de investigación), existe una brecha entre los hallazgos de la investigación. y practica.

«Ha habido mucha investigación sobre este tema, pero la investigación no está llegando a las manos de las personas que pueden hacer algo al respecto. No saben que existe», dijo. «Trabajando en NIST, donde tenemos una conexión con todo tipo de expertos en TI, vi la posibilidad de cerrar esa brecha. Espero que llegue a sus manos».

Esta historia se vuelve a publicar por cortesía del NIST. Leer la historia original aquí.