Cómo crear un entorno de ciberseguridad positivo y eficaz en lugar de una cultura de la vergüenza


Puedes atrapar más moscas con miel que con vinagre. Aprenda algunos consejos para establecer una cultura de ciberseguridad de refuerzo positivo en lugar de un juego de culpa y vergüenza.

Dedos apuntando a un hombre, culpándolo

Imagen: Nicoleta Ionescu / Shutterstock

Una vez trabajé en un entorno en el que se prohibía agregar usuarios a grupos privilegiados de Lively Listing, excepto a través de una solicitud oficial aprobada por los administradores de las personas. Esto fue monitoreado cuidadosamente, y en una ocasión se envió un correo electrónico a un grupo masivo de personas indicando que se había violado la política y que alguien que fue nombrado directamente en el correo electrónico había actualizado un grupo sin permiso.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Varios gerentes amonestaron al remitente por llamar al presunto perpetrador, y uno produjo la misma solicitud que autorizó el cambio, exonerando al individuo y provocando vergüenza para el acusador, quien se disculpó. Sin embargo, todo ese hilo de correo electrónico debería haber sido una discusión privada cara a cara con el empleado y su gerente.

Este episodio muestra el camino equivocado para abordar la ciberseguridad. Otra son las pruebas, como enviar correos electrónicos de phishing originados por la empresa a destinatarios internos para ver si pueden ser engañados para que hagan clic en enlaces que luego los llevan a una página que los regaña por enamorarse del contenido. Eso simplemente crea un muro entre los usuarios finales y los departamentos de TI / seguridad, lo que hace que sea menos probable que los usuarios respeten a estos grupos. El refuerzo positivo es la clave para alentar a los empleados a querer cumplir por su propio bien y el de la empresa, en lugar del temor a represalias o vergüenza. Incluso el uncomplicated reconocimiento de la administración por informar correos electrónicos de phishing o completar la capacitación puede ser suficiente para crear un entorno positivo que promueva los principios de seguridad cibernética en toda la organización.

Los expertos en ciberseguridad están de acuerdo. Sai Venkataraman, director ejecutivo de SecurityAdvisor, una empresa de capacitación y automatización de concienciación sobre seguridad, dijo: «La cultura de la ciberseguridad es casi imposible de cuantificar debido a la ausencia de herramientas de medición. Muchas empresas intentan cuantificar el elemento humano de su postura de seguridad enviando a los empleados ataques simulados para demostrar cuán susceptibles son los trabajadores al phishing, la ingeniería social, la suplantación de identidad y otros tipos de piratería. La lógica defectuosa que usan los líderes de seguridad para justificar estas tácticas es que las simulaciones ayudan a identificar a los usuarios de alto riesgo y aseguran el presupuesto para un presupuesto adicional. superan los beneficios, ya que las simulaciones avergüenzan a los trabajadores y posicionan a los equipos de seguridad como antagonistas en lugar de aliados «.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Venkataraman dijo que avergonzar a la gente no tiene sentido. «La vergüenza rara vez logra algo positivo y, desde una perspectiva de seguridad, se ha desacreditado por completo. Simulaciones de phishing y otros &#39¡Te pillé!&#39 Los ataques de formación en seguridad son un ejemplo de cultura de la vergüenza. La experiencia nos ha enseñado que atacar a nuestros empleados no aumenta la resiliencia cibernética sino que posiciona a los equipos internos de TI de manera negativa a los ojos de los empleados de la organización, lo que hace que sea más desafiante involucrar a las personas en iniciativas estratégicas. En todo caso, estas aburridas sesiones de formación hacen que sea menos probable que los empleados vean al equipo de TI como una fuerza para el bien dentro de la empresa. Los mejores líderes en seguridad implementan tácticas y tecnologías que crean una experiencia sin fricciones para los empleados «.

En lugar de tratar de avergonzar y luego coachear a los empleados, los líderes de TI y seguridad deberían crear una estrategia de seguridad sin fricciones destinada a apoyar a los trabajadores durante su mayor momento de necesidad, dijo Venkataraman. «Los enfoques de capacitación en seguridad del tipo &#39cortador de cookies&#39 no funcionan durante un período de tiempo prolongado. Este enfoque a menudo no se dirige a los usuarios en riesgo cuando un ataque potencial está en progreso o se ejecuta con la frecuencia suficiente para permanecer en la mente de empleados.»

VER: Trabajar a una distancia segura, de forma segura: el trabajo remoto en sitios industriales conlleva un riesgo cibernético adicional (TechRepublic)

Johanna Baum, fundadora y directora ejecutiva de Strategic Security Remedies, un proveedor de servicios de consultoría en seguridad de la información, estuvo de acuerdo. «La vergüenza es siempre una mala manera de motivar a un individuo oa las masas. No funciona para sus hijos (todos lo hemos intentado) y no se traduce bien en ninguna otra población. Podría desencadenar algunos respuestas, pero fomenta el resentimiento a largo plazo y una reserva reprimida de mala voluntad «.

Ella ofreció una forma diferente. «El enfoque debe ser aumentar el aprendizaje typical y la inteligencia de amenazas individual de cada usuario. Es difícil, requiere mucha paciencia, pero es mucho más efectivo que tender una trampa y burlarse a gran escala del transgresor. Nadie quiere publicar su resultados de las pruebas internas de ciberseguridad «.

La inteligencia de seguridad typical del usuario y los ejecutivos promedio es bastante baja, por lo que es raro ver a alguien aireando su ropa sucia, dijo. «Discutir abiertamente las iniciativas de seguridad, ayudar a su equipo a internalizar el impacto global y promover la evangelización de la seguridad a gran escala como un imperativo organizacional, en lugar de un mandato de TI, contribuye en gran medida a proteger la organización, ciertamente mucho más allá que el empleado despedido que fue el ejemplo de la prueba fallida de phishing del juego de la vergüenza «.

Ver también



Enlace a la noticia unique