Consejos de seguridad de Microsoft …



El director de educación y conciencia de seguridad de Microsoft comparte su enfoque para ayudar a capacitar a los empleados en prácticas defensivas.

Conferencia RSA 2020 – San FranciscoEl proceso de desarrollar e implementar un programa de concientización sobre seguridad cibernética es complicado. ¿Cómo haces cumplir los entrenamientos regulares? ¿Cómo convencer a los empleados para cambiar sus comportamientos? ¿Cómo se enseñan las mejores prácticas de seguridad cuando las personas de su organización utilizan más aplicaciones y servicios a diario?

«Se nos pide que hagamos muchas cosas nos empujan en muchas direcciones», dijo Ken Sexsmith, quien dirige la educación y la conciencia de seguridad en Microsoft, en una sesión en la Conferencia RSA de esta semana. «Estamos utilizando la misma tecnología, pero estamos ocupados haciendo varias cosas. Tenemos que encontrar formas de hacer que las personas se interesen y se motiven a hacer las cosas de manera diferente a como lo hicieron».

No es tarea fácil para una empresa con 250,000 empleados y 441,000 dispositivos administrados por Intune que llegan a la purple. Microsoft maneja 630 mil millones de solicitudes de autenticación cada mes y organiza 1.04 millones de reuniones mensuales de Teams, además de 1.23 millones de llamadas mensuales de Groups. Genera un terabyte de datos de Online de las cosas de la cadena de suministro (IoT) en un día y procesa 128,000 chats de Helpdesk.

«En última instancia, lo que estamos tratando de hacer es proteger nuestros datos», explicó Sexsmith. «No es diferente de cualquier otra compañía».

Microsoft comenzó con una «estrategia de seguridad electronic» para dar una strategy de cómo la educación afectó a la organización. «Los empleados quieren saber cómo se relaciona su trabajo con la estrategia más amplia», dijo. El enfoque cubre la garantía, la gestión de la identidad, el estado del dispositivo, los datos y la telemetría, la protección de la información y la gestión de riesgos, donde la educación y la conciencia entran en juego.

«Los humanos son el firewall: la última línea de defensa para lo que estamos haciendo», agregó. Los ataques de hoy se han desplazado al individuo, con un enfoque más fuerte en el phishing de credenciales y las amenazas basadas en la identidad. El nivel de sofisticación de los adversarios ha evolucionado, dijo Sexsmith, y los días de recibir correos electrónicos con errores ortográficos y gramaticales deficientes han terminado. «Los atacantes se están volviendo inteligentes al igual que estamos aumentando nuestra tecnología y volviéndonos más inteligentes», señaló.

Sexsmith se sumergió profundamente en tres aspectos del programa de educación y concientización de Microsoft: capacitación en seguridad y cumplimiento basada en roles, campañas de concientización y plataformas de información donde las mejores prácticas, educación, información y protección se comparten a través de las intranets de la compañía.

Se requiere que los empleados de toda la empresa tomen tres cursos internos de capacitación: Estándares de conducta empresarial, Fundamentos de seguridad y Privacidad 101. Algunas capacitaciones dependen del rol por ejemplo, se requiere que los ingenieros tomen un curso de capacitación en seguridad técnica llamado Strike.

La motivación es clave
El desafío clave es crear un curso de capacitación atractivo y relatable que enseñe efectivamente a los empleados los conceptos que necesitan saber, dijo Sexsmith.

Sexsmith señaló algunos trucos que united states en sus programas. Una de ellas es la «Teoría de la prueba social», un concepto social y psicológico que explain cómo las personas copian el comportamiento de otras personas si sus colegas están haciendo un entrenamiento, usted también lo hará. La gamificación también ayuda: «La gente quiere aprender la gente quiere dominar las habilidades, pero también hay una naturaleza competitiva en torno a eso», dijo. Algunos entrenamientos usan films que hacen que los conceptos de seguridad sean más accesibles.

Un problema, dijo, es que las lecciones que no se refuerzan no se retienen. Los humanos olvidan la mitad de la nueva información aprendida en una hora y el 70% de la nueva información en un día. «A la hora del almuerzo, vas a olvidar el 50% de las cosas que estoy diciendo aquí», bromeó a su audiencia matutina.

Para combatir esto, Microsoft utiliza una plataforma de refuerzo de entrenamiento llamada Elephants Don&#39t Neglect para ayudar a los empleados a desarrollar la memoria muscular en torno a nuevos conceptos. Durante la brecha entre las capacitaciones, el programa envía a los participantes dos correos electrónicos diarios con un enlace a preguntas adaptadas al curso. Tienen 60 segundos para responder a cada pregunta si se equivocan, reciben más información sobre el tema. Un tablero personalizado muestra sus puntajes y su progreso a lo largo del tiempo.

«Se trata del compromiso y permanecer con eso hasta que lo domines, y ahí es cuando te conviertes en el más eficiente», dijo Sexsmith.

Luego está la aplicación de conceptos, que se realiza a través de simulaciones de phishing. «Aquí es donde el caucho se encuentra con el camino», agregó. Los correos electrónicos falsos, diseñados para parecer que provienen de Microsoft, les dan a los empleados la oportunidad de aplicar sus nuevos conocimientos. Podrían hacer clic en un correo electrónico y aún así tener la oportunidad de informarlo, o seguir y compartir sus credenciales.

En estas campañas de prueba, Sexsmith combina private y profesional mediante la creación de correos electrónicos de phishing temáticos en torno al Día del Impuesto, la limpieza de primavera, el mes de concientización sobre ciberseguridad y el Viernes Negro. Los cibercriminales hacen lo mismo, y esto ayuda a los empleados a tener una thought de los diferentes tipos de correos electrónicos de phishing que pueden ver.

Contenido relacionado:

Kelly Sheridan es la Editora de own de Dim Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia original