3 consejos para crear una cultura de seguridad



Con los ciberataques cada vez más frecuente y costoso, sin mencionar los desafíos adicionales inherentes a asegurar una fuerza laboral remota, es más importante que nunca que las organizaciones construyan una cultura de seguridad. Esto, por supuesto, no es algo nuevo que decir y, sin embargo, sigue siendo necesario decirlo. Entonces, ¿por qué no hemos resuelto esto todavía?

Parte de esto es que el trabajo nunca se detiene. Es como llevar un estilo de vida saludable independientemente de cuán en forma y saludable esté, nunca llegará a un punto en el que pueda dejar de tomar decisiones saludables y mantenerse saludable. Lo que lo hace más desafiante es tratar de lograr que toda una organización participe en la toma de todas las pequeñas decisiones para mantenerse seguro.

No seas el equipo del «No»

Los equipos de seguridad a menudo se ven como el equipo del «no», o como el médico que le dice que realmente debe eliminar por completo los alimentos salados. Puede estar de acuerdo en common, pero ¿cuán realista es que nunca vuelva a comer alimentos salados? Si las reglas son demasiado restrictivas o hacen que las tareas sean significativamente más difíciles, la gente engañará al sistema. Tenemos que encontrar la manera de tener más zanahoria y menos palo. Tenemos que allanar el camino para los empleados para que la seguridad no sea una tarea.

Es absolutamente importante que haya capacitación sobre ataques de phishing, use autenticación de dos factores y cambie las contraseñas regularmente. Pero, ¿cómo podríamos simplificar este proceso? Soy un gran admirador de las empresas que dan a los empleados una suscripción a un administrador de contraseñas. Esto resuelve una de esas preocupaciones al tiempo que podría decirse que simplifica un poco la vida de los empleados. Se trata mucho de construir una calle de doble sentido en lugar de ser una puerta reforzada. Esto nos permite comenzar a construir procesos junto con otros departamentos que tengan sentido para su flujo de trabajo. Estos procesos cambiarán de una empresa a otra, pero la clave aquí es buscar formas de mejorar la seguridad y al mismo tiempo mejorar el flujo de trabajo para los empleados en common.

Abraza la agilidad

Una de las principales razones por las que se pasan por alto los equipos de seguridad es que dificultan la agilidad. No hay ningún lugar donde esto sea más cierto que en el equipo de desarrollo. He trabajado en el espacio SaaS durante algún tiempo, y la capacidad del equipo de desarrollo para entregar, y entregar rápidamente, es el núcleo de lo que determinará el éxito o el fracaso de una empresa.

Sin embargo, los desarrolladores son conocidos por encontrar formas de eludir los protocolos de seguridad porque los protocolos ralentizan la rapidez con la que pueden iniciar aplicaciones. Si bien algunos equipos de seguridad pueden ver esto como una falla del equipo de desarrolladores, yo lo veo como una falla del programa de seguridad. Las empresas de SaaS deben poder entregar aplicaciones a la velocidad de los negocios y al mismo tiempo ser seguras. El trabajo del equipo de seguridad es ser el entrenador de seguridad de la organización y eso implica implementar políticas que no obstaculicen la capacidad del desarrollador para hacer su trabajo.

Como ejemplo, los desarrolladores a menudo usan código abierto para evitar recrear funciones que ya existen y son fáciles de conectar. Sin embargo, el peligro de esto es la fuente de este código. Hay un montón de código malicioso por ahí, y hemos visto que incluso algunos de los desarrolladores más talentosos son víctimas de él. Para evitar esto, las organizaciones deben priorizar la creación de repositorios internos de código examinado que los desarrolladores puedan extraer. Si la organización no tiene el tamaño para crear su propio repositorio interno, debe buscar proveedores que proporcionen bibliotecas de códigos escaneados. De esta manera, el flujo de trabajo del desarrollador no se ve obstaculizado, pero se vuelve más seguro.

Romper los silos

Otro paso clave es construir la cultura para que la seguridad pertenezca a todos dentro de la organización. Cualquiera que toque una computadora debe ser consciente de la seguridad. Si bien los equipos de seguridad deben poder trabajar con diferentes departamentos e integrarse de manera efectiva en sus flujos de trabajo, aún debe ser un esfuerzo de colaboración. Cuando se trata de habilitar a los equipos de desarrollo, recomiendo crear un programa campeón de seguridad (o enlace de seguridad). Esto le da a la seguridad un asiento en la mesa mientras los desarrolladores diseñan aplicaciones y planifican el trabajo.

Establecer este programa lo antes posible en su organización aumentará su conocimiento de lo que sucede dentro de los diferentes equipos de desarrollo y garantizará que la seguridad no se convierta en un cuello de botella en la canalización de entrega de program. Encontrar personas de otros departamentos que compren este modelo es tan bueno como el oro para los profesionales de la seguridad, ya que los consejos siempre son más fluidos cuando no provienen directamente del equipo de seguridad.

El desafío, por supuesto, es encontrar personas que estén dispuestas a asumir el trabajo adicional de abogar por la seguridad, pero en ausencia de un campeón, buscar al menos enlaces con los diferentes departamentos. La simple verdad es que los equipos de seguridad están demasiado reducidos para ser la única protección contra los actores malintencionados, por lo que necesitamos obtener la aceptación del resto de la organización.



Enlace a la noticia unique