Organizaciones que avanzan poco para abordar …



La mayoría de los esfuerzos de concienciación sobre la seguridad empresarial siguen siendo poco entusiastas, según muestra una nueva encuesta de SANS.

Aunque los errores humanos, como caer en estafas de phishing que dan como resultado el compromiso de los datos o el robo de credenciales, siguen siendo uno de los principales riesgos de seguridad para las organizaciones en la actualidad, pocos parecen estar progresando mucho en abordar el problema.

La sexta y última edición del informe anual de concientización sobre seguridad del Instituto SANS, publicado el martes, muestra que las iniciativas empresariales para minimizar el riesgo humano continúan siendo poco más que un esfuerzo de medio tiempo en muchas organizaciones.

La encuesta de más de 1.500 profesionales involucrados en la formación de conciencia de seguridad encontró que el 75% dedica menos de la mitad de su tiempo a esa tarea. Cuando se asignó la responsabilidad de la función, generalmente se la asignó al personal con antecedentes demasiado técnicos y sin las habilidades suficientes para involucrar a la fuerza laboral en términos fáciles de entender.

«En common, la tendencia de los datos es la misma» que en años anteriores, dice Lance Spitzner, director de conciencia de seguridad de SANS y coautor del informe. «La conciencia sigue siendo un esfuerzo de medio tiempo, razón por la cual tantas organizaciones luchan por proteger de forma eficaz el comportamiento de los empleados y, en última instancia, gestionar el riesgo humano».

La falta de tiempo y de private sigue planteando grandes desafíos para las organizaciones que buscan construir un programa maduro de concientización sobre seguridad. la encuesta encontró. Las organizaciones que habían progresado en el cambio de comportamientos de los empleados con sus programas de concientización tenían al menos 2.5 empleados equivalentes a tiempo completo dedicados a la misión. Las organizaciones con los programas de concienciación más maduros tenían al menos 3,5 empleados a tiempo completo.

Sin embargo, SANS encontró que el porcentaje de organizaciones que informaron que tenían personal de cualquier tamaño dedicado a tiempo completo a la función de conciencia de seguridad era bajo.

«Aproximadamente el 10% de las organizaciones, representadas por nuestros encuestados, tienen a alguien dedicado a tiempo completo» a la conciencia de la seguridad, dice Spitzner. «Eso es related a lo que hemos visto en las encuestas anteriores, por lo que no hay un cambio true allí».

En la mayoría de los otros casos, cuando una organización tiene a alguien trabajando en conciencia de seguridad, esa persona está en TI o seguridad y ya tiene muchas otras responsabilidades, señala. La encuesta SANS encontró que los salarios, en promedio, eran más altos para las personas en otros roles que manejan la conciencia de seguridad a tiempo parcial ($ 106,00) que para las personas dedicadas al puesto a tiempo completo ($ 96,000).

Al igual que en encuestas anteriores, SANS encuestó a los encuestados sobre sus antecedentes y roles antes de trabajar en conciencia de seguridad: más de 800 de los 1,500 profesionales encuestados tenían experiencia en seguridad de la información o tecnología de la información antes de comenzar a trabajar en conciencia de seguridad. Menos del 20% tenía una formación no técnica, como advertising and marketing, comunicaciones, legal y recursos humanos.

El problema de tener personas con antecedentes demasiado técnicos que realizan la capacitación es que pueden tener más dificultades para comunicarse y enseñar los fundamentos de seguridad a las personas sin conocimientos técnicos. Aunque un cierto nivel de experiencia técnica es esencial para trabajar en la conciencia de la seguridad, los expertos en el campo a menudo pueden percibir la seguridad como algo fácil de entender simplemente porque es parte de su vida diaria, observó SANS en su informe.

«El riesgo humano es un problema de personas, por lo que se necesita una solución humana» para abordarlo, dice Spitzner.

Sin embargo, eso no significa que las habilidades blandas completamente no técnicas por sí solas sean suficientes para un rol de conciencia de seguridad.

«El profesional de la concienciación debería ser una extensión del equipo de seguridad», señala Spitzner. «Esto significa que deben tener una comprensión básica de la ciberseguridad, los modelos y marcos involucrados, y quizás una comprensión básica de la tecnología y los atacantes involucrados».

También necesitarían tener pasión por aprender y ayudar y tener fuertes habilidades para comunicarse y asociarse con otros, dice.

El enfoque correcto
SANS dijo que las organizaciones deben asegurarse de que cualquier persona que pongan a cargo de la función de conciencia de seguridad tenga un título que enfatice el aspecto de riesgo humano del rol, por ejemplo, «oficial de riesgo humano». A menudo, los líderes organizacionales tienden a discutir el rol en el contexto de la conciencia, la capacitación, el compromiso o la influencia.

Pero esos términos se centran en lo que se está haciendo en lugar de por qué debe hacerse, dice Spitzner. «Administrar el riesgo humano» encaja mejor, dice, porque «se alinea con las prioridades estratégicas de seguridad del liderazgo y explica por qué la conciencia debe ser una extensión del equipo de seguridad».

SANS descubrió que los programas de concientización sobre seguridad generalmente obtienen el mayor apoyo de los equipos de seguridad de la información y TI, así como de recursos humanos, auditoría y liderazgo sénior. Por el contrario, la mayor oposición a estos esfuerzos generalmente existía dentro de los equipos operativos y el grupo financiero, probablemente porque estas son dos áreas más afectadas por los programas de concienciación sobre seguridad.

Para abordar las preocupaciones del grupo financiero, SANS recomienda que los líderes de seguridad se concentren en el valor de los programas de concienciación sobre seguridad. Una forma de hacerlo sería considerar el costo de infracciones pasadas o fallas de cumplimiento y compararlo con el costo del programa de concientización sobre seguridad. De manera identical, para abordar las preocupaciones de los grupos operativos, el grupo de concientización sobre seguridad debe enfocarse en formas de reducir las horas de trabajo perdidas debido a la capacitación, por ejemplo, reduciendo la cantidad de temas en los que enfocarse.

«La conciencia no es más que otro regulate de seguridad, uno diseñado para gestionar el riesgo humano», dice Spitzner. «Los equipos de seguridad deben tratarlo como tal».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial