La ciberseguridad se extiende mucho más allá de los equipos de seguridad y …



La seguridad no se trata de herramientas o tecnología se trata de establecer una conciencia amplia y basic y un sentido de responsabilidad entre todos los empleados.

La pandemia de COVID-19 ha brindado a todos una nueva lección de que la seguridad es realmente el trabajo de todos.

Cuando los gobiernos comenzaron a emitir órdenes de quedarse en casa y las personas se adaptaron a trabajar de forma remota, de repente, Zoom estaba en boca de todos. La plataforma se convirtió en un elemento básico tanto para trabajar desde casa como para mantenerse en contacto con amigos y familiares. Como period de esperar, los investigadores comenzaron a descubrir vulnerabilidades de seguridad y privacidad, y pronto «Zoombombing» entró en la conversación. Si bien Zoom trabajó para asegurar el producto, sus usuarios, muchos neófitos a las videollamadas, tuvieron que descubrir cómo configurar sus instancias de Zoom para evitar que los piratas informáticos secuestraran llamadas.

Tradicionalmente, el concepto de que «la seguridad es trabajo de todos» ha sido una parte esencial de las campañas de educación y sensibilización contra el phishing y otros ataques relacionados con el correo electrónico. Y con razón, ya que estos ataques son a menudo el primer paso para los atacantes que se dirigen a su objetivo remaining. Pero el ejemplo de Zoom muestra que la conciencia y la diligencia son importantes en todos los niveles. Además, en muchas organizaciones, las herramientas de colaboración como Slack están reemplazando el correo electrónico como el método preferido para compartir contenido y datos. En las organizaciones que imponen límites de tamaño en los archivos adjuntos de correo electrónico, por ejemplo, los empleados pueden pasar libremente los archivos 10 veces ese tamaño en las sesiones de Slack.

Un ex CISO de una destacada agencia de inteligencia me dijo una vez: «La vulnerabilidad de ciberseguridad más peligrosa es la forma de vida basada en el carbono». Los atacantes rara vez emplean un asalto frontal a la tecnología para penetrar en redes protegidas. Las personas proporcionan un camino considerablemente más easy y a menudo más rápido para iniciar un ataque. Para los atacantes, las tecnologías cambian y las organizaciones se adaptan a las nuevas vulnerabilidades de seguridad, pero los humanos representan una vulnerabilidad constante que pueden explotar.

Afortunadamente, se están tomando medidas para salvaguardar los entregables contra el mistake humano. Tomemos a los desarrolladores como ejemplo. Los equipos de desarrollo crean el program que impulsa a las empresas de todo el mundo. Ellos cierran la brecha entre el hombre y la máquina. Pero, ¿qué se está haciendo para garantizar que los problemas no lleguen al código que impulsa nuestra pink eléctrica, los marcapasos de nuestros seres queridos o el program que respalda las elecciones nacionales porque los atacantes pueden secuestrarlos a través de vulnerabilidades conocidas?

Hay complementos disponibles para el entorno de desarrollo integrado del desarrollador que buscan vulnerabilidades conocidas como código de desarrollador. Una vez que se identifican las vulnerabilidades, los desarrolladores son notificados de inmediato para que el problema pueda resolverse antes de que se registre el código. Otro aspecto de tales soluciones es la educación. Los desarrolladores pueden identificar los errores repetidos que están cometiendo, aprendiendo a evitarlos en primer lugar.

Los empleados deben aprender que muy pocos ataques ocurren en línea recta. Los hacks a menudo comienzan con pequeños pasos aparentemente intrascendentes que dan a los atacantes un punto de apoyo en algún sistema organizacional. Pero ese punto de apoyo permite que el hack comience en serio, ya que los atacantes pueden pivotar dentro de la purple para llegar a su premio last. La historia tiene numerosos ejemplos de ataques de alto perfil que se originaron con lo que parecían ser infracciones triviales. Las llaves de la segunda puerta pueden estar directamente detrás de la puerta que dejaste desbloqueada.

Priorizar la seguridad no es fácil para alguien cuyo trabajo no involucra datos o sistemas confidenciales. Pero esa actitud cambia cuando los trabajadores se dan cuenta de que hacer sostenga las piezas faltantes que permiten a los atacantes penetrar en los sistemas organizacionales clave. Después de la educación, este es el siguiente paso clave para crear una fuerza laboral alfabetizada en seguridad: asegurarse de que los empleados entiendan que ninguna Los datos o credenciales que exponen, independientemente de cuán intrascendentes parezcan, pueden convertirse en un punto de apoyo para que los atacantes giren hacia premios de mucho mayor valor.

Por esta razón, la estrategia de seguridad de sus proveedores también es su negocio. Haga preguntas para que pueda comprender dónde y cómo se implementan los mecanismos de seguridad. Los ataques a la cadena de suministro de application están en aumento, así que asegúrese de que cualquier proveedor que traiga a su negocio tenga una postura de seguridad sólida. Podría hacer toda la diferencia.

Esta conciencia debe hacer la transición al lugar de trabajo remoto. La conciencia de seguridad se ha convertido en parte de la cultura de la oficina física, ya que muchas oficinas tienen recordatorios visuales y carteles para reforzar los mensajes que reciben los empleados en la capacitación. El acto mismo de trabajar en una oficina es un recordatorio constante de las responsabilidades relacionadas con la seguridad. Inscribirse, sentarse en una silla de oficina e iniciar sesión en la pink de la organización imbuye un sentido de responsabilidad que puede no ser tan prominente cuando los empleados trabajan desde los cómodos confines del hogar en pantalones de chándal.

Trabajar de forma remota también puede hacer que los empleados bajen la guardia con respecto a la protección de datos. La disciplina requerida para mantener segregados los datos y dispositivos relacionados con el trabajo y el hogar se vuelve más difícil de mantener cuando las personas trabajan desde su hogar, con un acceso constante y fácil a los dispositivos personales. Las organizaciones deben recordar a los empleados sus responsabilidades de seguridad mientras trabajan en esta fase de la pandemia.

La conclusión es que la seguridad no se trata de herramientas o tecnología se trata de establecer una conciencia amplia y fundamental y un sentido de responsabilidad entre todos los empleados. Desarrollar esta conciencia crea una fuerza laboral con conocimientos de seguridad independientemente de las circunstancias. La educación es la piedra angular de la creación de conciencia sobre la seguridad, y muchas organizaciones han hecho un trabajo admirable al ayudar a los empleados a aprender a identificar amenazas a la seguridad, como los ataques de phishing. Pero esa conciencia tiene que llegar a un nivel más particular para ser verdaderamente eficaz.

Contenido relacionado:

Jim Ivers es vicepresidente del Grupo de Integridad de Software program de Synopsys. Jim se une a nosotros desde Cigital, donde fue el director de internet marketing y dirigió todos los aspectos de las estrategias de marketing and advertising world, iniciativas de marca y programas de Cigital, así como la gestión de productos y … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia primary