Un miembro del equipo de promoting confundido compra nerviosamente $ 1,000 en tarjetas de regalo de Amazon después de recibir instrucciones de compra por mensaje de texto del «jefe». Todo el equipo de ventas acepta cookies sin pensar mientras visita los sitios world-wide-web de la competencia y se salta las divulgaciones de privacidad cuando descarga nuevas aplicaciones para recopilar información comercial. Su teléfono vibra y es un cliente. Exigen saber por qué la información confidencial del cliente está en un documento de Google no seguro.
Estos escenarios que provocan pánico son familiares para la mayoría de los líderes de seguridad y TI modernos y comparten algo en común. Cada falla hipotética es el resultado de que los empleados, y el público electronic en su conjunto, se sientan adormecidos por una falsa sensación de seguridad con respecto a sus comportamientos en línea.
Si bien los líderes de TI y seguridad son conscientes del panorama acelerado de las amenazas digitales, los empleados están menos preparados, lo que crea un riesgo para todas las organizaciones.
El teatro de seguridad distrae de las mejoras constantes
Hemos visto la introducción de importantes leyes de privacidad para frenar el aumento de las amenazas digitales, que apoyo plenamente. Sin embargo, leyes radicales como RGPD y reglamentos establecido en estados unidos han tenido un efecto o resultado más como teatro de seguridad que como protecciones reales.
¿Qué es el teatro de seguridad?? Es un conjunto de reglas o pautas que ofrecen la apariencia de seguridad pero no la garantizan. Los usuarios tampoco están libres de culpa. El teatro de seguridad también puede ocurrir cuando los consumidores se vuelven apáticos acerca de las protecciones bien intencionadas. Por ejemplo, si bien las notificaciones de cookies demuestran transparencia sobre cómo y dónde los sitios world wide web rastrean y usan los datos de los clientes, ¿alguien lee las declaraciones de privacidad completas? ¿Los usuarios entienden las consecuencias de lo que hacen clic? ¿O están demasiado inundados con notificaciones para darse cuenta?
Hasta que la alfabetización digital y los estándares de seguridad sean obligatorios en los planes de estudios escolares, la mejor manera de asegurarse de que sus empleados conozcan bien los riesgos de sus acciones en línea es reformular el pensamiento a través de una mejor capacitación y educación en seguridad.
Como líder en tecnología, sabe que cada empleado es un punto final capaz de invitar al riesgo a la organización. Pero eso también significa que los empleados también pueden convertirse en salvaguardas contra las amenazas, cuando están adecuadamente preparados y en el espacio mental correcto.
Retire el humo y los espejos
Además de las herramientas de seguridad y capacitación obligatorias y de rutina, la mejor manera de garantizar que los empleados estén atentos a los riesgos potenciales es ayudarlos a replantear su mentalidad en línea y alentarlos a aprovechar el pensamiento crítico para evaluar y defenderse contra amenazas internas y externas. Ayudar a los empleados a desarrollar una comprensión más saludable de lo que está en juego cuando interactúan en línea, y el valor de la información con la que interactúan una vez allí, puede fortalecer los hábitos digitales y desarrollar un pensamiento más consciente y proactivo cuando se enfrentan a una amenaza o incluso antes de que ocurra.
Aquí hay tres cambios de mentalidad para empezar:
- Comprender el valor basic de los datos. Los empleados, y la mayoría de los consumidores en línea, no piensan mucho antes de presionar «aceptar todo» al encontrar cookies. Del mismo modo, los usuarios hojean o incluso omiten los avisos de privacidad en las aplicaciones o cuando se suscriben a los servicios. Estos comportamientos pueden parecer superficiales porque este tipo de notificaciones de seguridad son constantes cuando interactuamos en línea, y porque «aceptar» a menudo no parece el intercambio de valor que es. Si puede ayudar a los empleados a comprender el valor de sus datos, es más probable que se den cuenta de lo valiosa que es cada decisión en línea y piensen de manera más crítica antes de hacer clic y aceptar. Teniendo en cuenta que uno de cada tres trabajadores estadounidenses tiene poca o ninguna habilidad para usar dispositivos digitales, un componente importante que falta para una seguridad más sólida es la capacitación en alfabetización digital en el lugar de trabajo que se enfoca en las amenazas específicas que enfrenta su organización e industria.
- Actúa con intención. Cuando las personas se dan cuenta del valor de sus datos, están más atentos y los protegen. Pero sus empleados también deben sentirse alentados a hacer preguntas sobre los riesgos de manera proactiva y formular mejores formas de protegerse. Por ejemplo, sus equipos deben tener acceso y estar familiarizados con un program de comunicación estandarizado para cuando reciban mensajes de texto o correos electrónicos de phishing. En lugar de simplemente eliminar estas amenazas, todos los empleados deben hacer capturas de pantalla de las comunicaciones, enviar imágenes al departamento a cargo de la seguridad y alertar de inmediato a los miembros del equipo sobre el texto. Un ojo perspicaz para las amenazas de seguridad es solo el primer paso a continuación, sus empleados deben sentirse preparados para manejar actividades sospechosas cuando se encuentren.
- Siga las mejores prácticas de datos, sin importar el contexto. Es importante determinar si sus empleados entienden que los datos de los clientes son sagrados sin importar cuán lejos estén de sus clientes reales. Un buen ejemplo de este concepto proviene de mi trabajo en tecnología lawful. Los clientes de nuestro bufete de abogados tratan diariamente con sus clientes temas que incluyen divorcio, bancarrota, compras complejas de bienes raíces y más. Naturalmente, estos procedimientos legales cubren una gran cantidad de datos personales y confidenciales almacenados en nuestra plataforma. Nos tomamos muy en serio la protección de esta información, sabiendo que una violación de esta información no se puede deshacer y puede arruinar vidas, y trabajamos para mejorar nuestros mecanismos de protección. La protección contra las amenazas requiere un esfuerzo de equipo. Como resultado, alentamos a nuestros clientes de bufetes de abogados a asegurarse de que todos sus empleados entiendan su papel en la protección de la información privada. Informamos a los clientes sobre las mejores prácticas de seguridad, como usar un administrador de contraseñas y habilitar la autenticación de dos factores, evitar enviar o compartir documentos desde cuentas o dispositivos no seguros y establecer planes de contingencia si se comparte accidentalmente información confidencial del cliente.
Cuando los empleados entienden cómo sus comportamientos diarios, por pequeños que sean, pueden exponer datos confidenciales, es menos probable que introduzcan riesgos en primer lugar. Mientras se esfuerza por capacitar a los empleados sobre cómo proteger los datos en cada escenario, crear un hábito de vigilancia reduce la cantidad de resolución reactiva de problemas requerida en primer lugar.
Mejorar la comprensión basic y el respeto de sus empleados por el valor de los datos protege a su organización de las amenazas digitales. Pero sin reforzar esta comprensión a través de cambios de mentalidad continuos, el statu quo y el teatro de seguridad de las notificaciones de privacidad repetitivas harán que los empleados se sientan más complacientes. Con la complacencia viene el riesgo, entonces, ¿sus empleados están pensando críticamente sobre sus comportamientos en línea?
¿Y también estás pensando críticamente al respecto?
