Ciberseguridad: culpar a los usuarios no es la respuesta


Un enfoque punitivo hacia los empleados que informan violaciones de datos intensifica los problemas.

istock-1166333977.jpg

Imagen: iStock / iBrave

Los expertos advierten que, cuando se trata de ciberseguridad, culpar a los usuarios es una strategy terrible. Hacerlo probablemente resultará en crear una situación aún peor. «Muchas organizaciones han adoptado una cultura de la culpa en lo que respecta a la seguridad de los datos «, comenta Tony Pepper, director ejecutivo de Egress Software Technologies, en un intercambio de correo electrónico.» Creen que las acciones tienen consecuencias y que alguien tiene que ser responsable «.

«En los casos en que los empleados informan sobre incidentes de pérdida de datos que causaron accidentalmente, es bastante común que se enfrenten a graves consecuencias negativas», continúa Pepper. «Esto, obviamente, crea una cultura de miedo, lo que conduce a una falta de autoinforme, lo que a su vez, agrava el problema. Por lo tanto, muchas organizaciones desconocen la escala de sus problemas de seguridad».

Los comentarios de Pepper se basan en hallazgos recopilados por la firma independiente de investigación de mercado Arlington Investigate. Los analistas entrevistaron a más de 500 gerentes de nivel remarkable de organizaciones dentro de los sectores de servicios financieros, salud, banca y authorized.

Lo que encontraron los analistas se publicó en el periódico, Informe de seguridad del correo electrónico saliente. Con respecto a los empleados responsables de la pérdida de datos, el 45% de los encuestados reprendería a los empleados, el 25% probablemente despediría a los empleados.

VER: Política de protección contra robo de identidad (TechRepublic Top quality)

Pepper sugiere que, si bien las organizaciones pueden creer que esto disminuye la posibilidad de que la ofensa vuelva a ocurrir, puede tener un efecto diferente y más dañino. Existe la posibilidad de que los empleados no denuncien los incidentes de seguridad para evitar repercusiones por parte de la dirección de la empresa.

«Especialmente en estos tiempos de incertidumbre, los empleados estarán incluso menos dispuestos a autoinformarse, o denunciar a otros, si creen que podrían perder sus trabajos como resultado», agrega Pepper.

Se pone peor

Según los resultados de la encuesta, un alto porcentaje de organizaciones confía en que sus empleados sean el principal mecanismo de detección de violaciones de datos, especialmente cuando se trata del correo electrónico. «Nuestra investigación encontró que el 62% de las organizaciones confían en los informes basados ​​en personas para alertar a la gerencia sobre las filtraciones de datos», menciona Pepper. «Al reprender a los empleados que solo estaban tratando de hacer su trabajo, las organizaciones están socavando el mecanismo de reporte y asegurando que los incidentes no se reporten».

La falta de comprensión genuine de por qué los datos escapan de los confines digitales de una organización hace que sea enormemente difícil para los responsables de la ciberseguridad desarrollar una estrategia defensiva que proteja de manera efectiva los datos de una organización.

Supere el juego de la culpa

Una vez que se entiende que reprender a los empleados es ineficaz, las organizaciones deben buscar crear una cultura de seguridad más positiva. Un beneficio inmediato es la mayor visibilidad de riesgos de seguridad desconocidos hasta ahora.

Otro beneficio es la capacidad de mostrar a los organismos reguladores que la organización ha tomado todas las medidas razonables para proteger los datos confidenciales. Pepper agrega: «Si no sabe dónde están sus riesgos, es difícil implementar medidas razonables. Los reguladores podrían suponer eso durante una investigación de violación de datos e imponer multas y sanciones más altas».

La tecnología tiene un papel

Una vez que se decrease el juego de la culpa, es hora de involucrar a la tecnología. «El primer paso es hacer que los informes sean correctos, utilizando tecnología, no personas, lo que eliminará la presión de los informes por parte de los empleados y colocará la responsabilidad firmemente en manos de los responsables de la ciberseguridad», sugiere Pepper. «Los avances en el aprendizaje automático contextual significan que es posible que las herramientas de seguridad comprendan a los usuarios y aprendan de sus acciones, para que puedan detectar y mitigar comportamientos anormales, por ejemplo, agregar un destinatario incorrecto a un correo electrónico».

Aquí es donde la tecnología marca la diferencia. Evita la pérdida accidental de datos antes de que ocurra. Permite a los empleados ser parte de la solución, y la tecnología brinda al equipo de seguridad una visibilidad imparcial de los riesgos y las amenazas emergentes.

Lo que los equipos de ciberseguridad deben comprender

La educación sobre las posibles consecuencias es critical. Cualquiera que trabaje con los activos digitales de la organización debe comprender los posibles resultados de una violación de datos, por ejemplo, multas reglamentarias o daños a la reputación de la organización.

Es una apuesta segura cuando los usuarios comprenden las consecuencias de enviar por correo electrónico los datos del cliente al destinatario incorrecto o responder a un correo electrónico de phishing, será mucho más probable que denuncien el incidente cuando ocurra. Recuerde: si no se informa un incidente, no hay forma de remediarlo o evitar que vuelva a suceder.

Pepper, en conclusión, ofrece consejos a quienes gestionan la ciberseguridad. «La mejor manera de involucrar a los empleados con la seguridad y asegurarse de que comprendan su importancia es crear una cultura empresarial &#39positiva para la seguridad&#39», explica Pepper. «Los equipos de seguridad deben asegurar a la organización en basic que, si bien las filtraciones de datos deben tomarse en serio, los empleados que notifiquen incidentes accidentales recibirán el apoyo adecuado de la empresa y no enfrentarán repercusiones graves».

Ver también



Enlace a la noticia authentic