J.S. Held refuerza su experiencia en contabilidad forense e investigaciones financieras y expande su gama de servicios en Canadá con la adquisición de ADS Forensics
LEER MÁSA medida que atravesamos el 2023, persisten nuevos y viejos desafíos cibernéticos, pero las oportunidades de mejora están presentes. Para el próximo año, debemos asumir lo siguiente:
Para los usuarios habituales, esta realidad puede resultar desalentadora. Puede que incluso se sientan displicentes ante las responsabilidades relacionadas con la cibernética, preguntándose: "Bueno, ¿y qué quieren que haga yo al respecto?".
Los expertos en cibernética simplemente quieren que todo el mundo ayude a "proteger la casa" creando una organización y un entorno más resistentes. En esta serie, J.S. Held aporta información tanto para los profesionales de la seguridad como para los usuarios del día a día, con sugerencias para identificar cómo evitar fallos internos y/o un colapso central o una brecha en los sistemas de información. ¿Cómo? Mediante un enfoque federado basado en la responsabilidad personal.
Este artículo de dos partes se enfoca en qué pueden hacer los usuarios cotidianos para ayudar a proteger los datos, mediante el apoyo del liderazgo y de un programa de seguridad informática consolidado y bien mantenido. En concreto, esta miniserie identifica cómo resolver un punto conflictivo clave, garantizando que los usuarios sepan por qué y cómo se están ejecutando las acciones, y cómo manejar dos condiciones variables, los cambios en el lugar de trabajo y las tácticas de los agentes maliciosos.
Empezamos por identificar a los responsables.
Los líderes en seguridad de la información y gestión de riesgos suelen centrarse en "el programa" de la empresa, pero ellos, como todos los demás, también son usuarios cotidianos de la tecnología y los activos de datos. Las diferencias de conocimientos entre los dos grupos pueden ser grandes aunque los riesgos para ambos sean similares. Además, las prioridades difieren entre estos dos grupos, pero el cuidado y la responsabilidad no deberían hacerlo.
En esto radica el meollo de la cuestión de la ciberseguridad: comprender los matices entre los grupos de interés. Si comprendemos este problema, podremos gestionar muchos de los desafíos asociados.
De cara al futuro, cabe esperar que los responsables de la seguridad de los datos concentren sus esfuerzos en la migración y la integración en la nube, la transformación digital, el aumento de la supervisión y la automatización, el uso del software como servicio (SaaS) y las iniciativas en toda la empresa, como la "creación de ciberresiliencia" o el aumento de las pruebas y la capacitación. Y no olvidemos la polémica sobre si Zero Trust reemplazaría a la VPN.
Pero estos esfuerzos, por bienintencionados que sean, ¿son los que más repercuten en los usuarios? En el mejor de los casos, tal vez. Los usuarios cotidianos tienen sus propias prioridades y, en algunos casos, estas pueden ir en contra de las mejores prácticas de seguridad de la información. Por lo tanto, una prioridad para los directores, funcionarios, gerentes y el CISO debe ser ayudar a los usuarios cotidianos a encontrar ese equilibrio; es un buen negocio y es bueno para la seguridad.
Todos estos esfuerzos de seguridad deben plantearse la siguiente pregunta: "¿Cómo ayudan los usuarios cotidianos a reducir la huella de riesgo de la organización?".
La clave está en reconocer que la solución no reside únicamente en el programa de empresa, aunque el programa sea sin duda la base. Más bien, la solución reside en que los usuarios cotidianos interioricen y valoren una buena higiene cibernética como medio para proteger su propio trabajo, mejorando al mismo tiempo la posición de riesgo de la organización.
Algunos usuarios pueden practicar hábitos "más seguros" que otros, pero esas tendencias suelen derivarse de la experiencia y la función. Los usuarios cotidianos pueden tener tendencias que contribuyan o dificulten los buenos hábitos de higiene cibernética. Por ejemplo:
El resultado interesante es que, a pesar de las diferencias de comportamiento, ambas situaciones podrían provocar el mismo tipo de pérdida de datos. Entonces, ¿dónde está el terreno común? En el interés personal.
"Coma verduras", por sí solo, rara vez ha sido un argumento convincente. La gente es curiosa y quiere entender "por qué". Practicar una buena higiene cibernética no es muy diferente. Los ejemplos ilustrativos ayudan. Estos son solo algunos:
En resumen, se puede decir a los usuarios cotidianos cómo lograr una buena higiene cibernética (por ejemplo, seguridad de las contraseñas, evitar usar sistemas o dispositivos no autorizados por la empresa, supervisión razonable, formación, etc.), pero nada de eso explica por qué una buena higiene cibernética es valiosa para el usuario y la organización.
Practicar una buena higiene cibernética no es solo una cuestión del presente; es una cuestión permanente que influye en las posturas de seguridad y riesgo. Los CISO y otros responsables de seguridad que adopten enfoques basados en "premios y castigos" (reprimendas conductuales) y en "soluciones mágicas" (tecnología) se quedarán atrás. Para alterar positivamente el comportamiento, los usuarios cotidianos tienen que ser partícipes y comprender por qué sacrificar algo de comodidad y eficiencia inicial puede reportar protecciones y recompensas a largo plazo. Los responsables de las empresas, los riesgos y la seguridad también deben tenerlo en cuenta.
En la segunda entrega de esta serie de dos partes, nos centraremos en la necesidad de proteger los espacios de trabajo remotos e híbridos y en los conocimientos que ayudan al usuario a prevenir los ataques.
Nos gustaría dar las gracias a nuestros colegas George Platsis y Ron J. Yearwood, Jr., CISSP, CISM, CIPM, por sus conocimientos y experiencia, que fueron de gran ayuda en esta investigación.
George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.
Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.
El ecosistema de la seguridad moderna es diverso y cambiante, un lugar donde el riesgo cibernético es prioritario para los líderes de todos los niveles, y las amenazas a la seguridad/privacidad de la información y los datos evolucionan a la velocidad...
Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…
Esta miniserie identifica cómo resolver un punto conflictivo clave, garantizando que los usuarios sepan por qué y cómo se están ejecutando las acciones, y cómo manejar dos condiciones variables, los cambios en el lugar de trabajo y las tácticas de los...