Cómo los equipos de TI pueden usar la ‘reducción de daños’ para obtener mejores resultados de ciberseguridad



Es un hecho bien conocido que los humanos son, y seguirán siendo, uno de los eslabones más débiles en las defensas cibernéticas de cualquier empresa. Los administradores de seguridad han tratado de ayudar en la situación a través de pruebas de phishing aleatorias y capacitación, ultimátums, eliminando el handle community sobre un dispositivo determinado e incluso nombrando y avergonzando a las almas desafortunadas que hicieron clic en el enlace incorrecto en un correo electrónico.

Los resultados han sido mediocres en el mejor de los casos, como lo demuestra el hallazgo en el «Informe de investigaciones de violación de datos de 2022» (DBIR) de Verizon de que la gran mayoría de las violaciones comienzan con phishing e ingeniería social.

Kyle Tobener, vicepresidente y jefe de seguridad y TI de Copado, dice que no tiene por qué ser así. En cambio, las empresas pueden seguir el ejemplo de la comunidad médica y encontrar un enfoque mucho más efectivo a través del principio de reducción de daños. Eso esencialmente significa adoptar un enfoque en minimizar o mitigar los malos resultados del mal comportamiento en lugar de intentar eliminar el mal comportamiento por completo.

Cómo se aplica la reducción de daños a la ciberseguridad

En una sesión la próxima semana en Black Hat United states titulada «Reducción de daños: un marco para una orientación de seguridad eficaz y compasiva«Tobener planea discutir esta nueva forma de pensar sobre el comportamiento, la educación y la conciencia del usuario cuando se trata de amenazas cibernéticas.

«La reducción de daños es un tema importante en el espacio de la atención médica, pero en realidad no se ha abierto camino tanto en la seguridad de la información», le dice a Dim Looking through, y agrega que, como sobreviviente de cáncer y hermano de alguien que luchó contra la adicción a las sustancias, aprendió sobre la reducción de daños de primera mano.

«Desafortunadamente, lo que vemos sigue siendo en su mayoría orientación basada en la abstinencia en muchos escenarios por parte de personas de seguridad», dice.

Para ilustrar el contraste entre los dos enfoques, usa el ejemplo del anuncio del Tremendous Bowl que llamó la atención en febrero de Coinbase, que presentaba un código QR que rebotaba alrededor de la pantalla, como un pong.

«Si ibas a Twitter, justo después de eso, había miles de personas de seguridad diciendo que deberías nunca makes use of un código QR si no sabe de dónde es ese código QR», dice. «Esa guía no es efectiva en absoluto. Estoy seguro de que millones de personas usaron ese código QR, y si su enfoque es brindar orientación que no es práctica o pragmática, que la gente no va a seguir, entonces será muy ineficaz y estará desperdiciando una oportunidad. para educar a esas personas de una manera que sea realmente útil».

En un enfoque de reducción de daños, la respuesta habría sido suponer que las personas iban a hacer clic en un elemento tan intrigante (y, de hecho, los códigos QR están tan extendidos en su uso en general que pedirles a las personas que nunca los usen es un uncomplicated no). -arrancador), y construye una estrategia defensiva con eso en mente.

«Educarlos sobre qué buscar una vez que hagan algo como usar un código QR», explica Tobener. «¿Cómo sabes que el sitio net al que fuiste es seguro? Si solo le dices a la gente que no haga algo, y luego lo hacen y van al sitio web, y no están preparados para buscar señales de alerta, van a estar peor de lo que estarían».

Cómo implementar la reducción de daños

En su charla Black Hat, Tobener planea abordar la implementación de la reducción de daños en un contenido de seguridad cibernética con un enfoque triple, comenzando por fomentar la aceptación de que los comportamientos de toma de riesgos están aquí para quedarse.

«Creo que este es un enfoque muy pragmático que mucha gente de seguridad no está dispuesta a adoptar vienen con la mentalidad de que el riesgo se puede erradicar, lo cual simplemente no es realista», señala. «Al igual que la guerra contra las drogas no fue efectiva, la Prohibición no fue efectiva, y los programas DARE y ‘asustado directamente’ demostraron ser más dañinos que útiles en los niños».

Después de obtener la aceptación de los equipos de seguridad y los poderes fácticos sobre la imposibilidad de prevenir acciones de riesgo, el siguiente paso es priorizar la reducción de las consecuencias negativas de esos comportamientos de riesgo y comprender qué batallas librar cuando se trata de políticas de seguridad corporativa.

«Por ejemplo, en un contexto empresarial, es posible que tenga un administrador de contraseñas empresarial que se supone que todos deben usar», explica Tobener. «Pero habrá personas que no quieran usar el administrador de contraseñas proporcionado por la empresa porque no están familiarizados con él y quieren usar el suyo propio. En lugar de hacer que dejen de hacer lo que están haciendo, considere si usar su propio administrador de contraseñas es mejor que no usar ningún administrador de contraseñas. En otras palabras, ¿hay peces más grandes para freír?»

El tercer aspecto que planea cubrir en esta sesión de Black Hat United states of america es el de la compasión.

«La pieza closing del marco es un poco extraña para la ciberseguridad, pero es realmente importante en el espacio de reducción de daños: Abrazar la compasión mientras se brinda orientación», dice. «Este es probablemente el concepto más difícil de entender para la gente de seguridad e incluso para la gente de atención médica, que es mejorar la situación de las personas, ser compasivo y brindar apoyo, incluso si los estás apoyando haciendo lo que consideras que está mal. cosa.»

Al igual que el estigma social hace que las personas eviten el tratamiento por drogas en lugar de aceptarlo, la actitud dura y el enfoque conflictivo de algunos equipos de seguridad cibernética hacia los usuarios hará que sea menos probable que las personas quieran hacer lo correcto, explica. Por ejemplo, en el ejemplo anterior del administrador de contraseñas de Shadow-IT, los equipos podrían enviar correos electrónicos amenazantes a los infractores o incluso involucrar a los gerentes de línea o podrían llegar a un compromiso, ofrecer capacitación fácil de usar o, en general, tomar una táctica de «estamos con usted, no contra usted» al discutir el problema.

«Al ser solidario y compasivo, les demuestras que los aceptas por lo que están haciendo, y que incluso sabiendo que no es perfecto ahora, tienen la oportunidad de mejorar en el futuro», dice Tobener. «A menudo, cuando eres compasivo con las personas, ellas se educarán a sí mismas y tomarán mejores decisiones a largo plazo».

Se espera que la sesión brinde a los asistentes conclusiones prácticas sobre cómo convertirse en un profesional de la seguridad más efectivo para ayudar a los usuarios que no lo escuchan.

«Estoy realmente cansado de ver en Twitter a la gente diciéndole a la gente ‘haz esto o te mereces las consecuencias'», dice Tobener. «Estoy tratando de elevar la conciencia de seguridad a un lugar donde dejemos de decirle a la gente que no haga cosas, y en su lugar digamos, está bien, no deberías hacer esto, pero si lo haces, así es como puedes hacerlo de manera más segura».



Enlace a la noticia first