En la primera parte de esta miniserie, identificamos que mostrar a los usuarios de todos los días cómo asegurar los datos puede no ser tan importante como resaltar el porqué de la importancia de la seguridad de los datos. El "porqué" ayuda a los usuarios cotidianos a valorar e internalizar la necesidad de higiene cibernética al demostrar el interés personal, lo que puede mejorar la participación. Ahora, cerremos la serie con dos temas pertinentes del 2023.
Los factores externos en evolución, incluida la pandemia, forzaron un cambio en los hábitos laborales: los espacios de trabajo remotos, y subsecuentemente híbridos, se han convertido en la norma y es muy probable que permanezcan. Entre los afortunados que siguieron trabajando durante la cuarentena, muchos convirtieron una parte de su casa, la mesa del comedor o la cama en su nueva oficina.
Los avances de la tecnología, como los dispositivos móviles y las conexiones de internet residenciales de alta velocidad, permitieron la operación de una buena parte de las industrias de servicio. Pero, con los beneficios y la eficacia vienen riesgos potenciales: en este caso, la posible erosión del perímetro de seguridad, que podría generar un impacto financiero y operativo que no se experimentó anteriormente en un entorno donde solo hay oficinas.
Desde una perspectiva financiera, se generan costos mediante la adquisición de herramientas de seguridad (por ejemplo, monitoreo, conexión de VPN, dispositivos). En el futuro, los líderes financieros y de la seguridad de la información, en conjunto, deberán manejar los gastos comerciales y determinar qué soluciones cumplen con las demandas para dar un retorno de la inversión apropiado.
Los impactos operativos para los usuarios cotidianos son el resultado del cambio en los hábitos de trabajo. Un espacio de trabajo profesional tiene controles de seguridad inherentes que no se encuentran en una oficina hogareña, un hotel ni tampoco en un espacio de trabajo híbrido (por ejemplo, los acuerdos de "hoteling" en las oficinas pueden reducir los gastos inmobiliarios, pero también pueden acarrear riesgos de seguridad ocultos o involuntarios). ¿Cómo se minimizan estos riesgos?
Las oficinas en el hogar son convenientes, pero pueden generar un comportamiento más relajado. "¿Quién va a entrar en mi casa y va a meterse en mis archivos digitales de todos modos?"
Bueno, las personas con malas intenciones seguirán un rastro de migas de pan si es atractivo, y un espacio de trabajo remoto es atractivo debido a las potenciales áreas blandas para explotar como:
Si bien muchas cuestiones se pueden mantener mediante programas empresariales, como administración del dispositivo y controles de identidad, se pueden agregar controles adicionales y soporte.
Algunas buenas prácticas para mitigar los riesgos asociados con los trabajadores remotos e híbridos son:
Como se mencionó en la parte 1 de esta serie, para lograr un entorno seguro se necesita más que tecnología; lograr un entorno seguro también requiere del interés personal y la responsabilidad personal. Por lo tanto, si se logran vincular los esfuerzos de control y soporte con el "porqué" de la importancia de la seguridad de los datos, esto permitirá motivar a los usuarios cotidianos para involucrarse personalmente.
Con esto en mente, cerraremos con algunas tácticas para ayudar a los usuarios cotidianos a prevenir los ataques tradicionales y los nuevos.
Cualesquiera sean sus razones, las personas tienen actitudes diferentes hacia la privacidad digital. Pero con un poco de ayuda en el nivel organizativo, quizás se puedan lograr algunas conductas consistentes. Para los líderes de seguridad de la información y gestión de riesgo, tengan en cuenta que al promover la cultura de la privacidad personal, se puede generar un entorno de operación corporativa más seguro.
Recuerde, con la reducción de las protecciones dentro de la oficina, cada usuario expande la superficie de ataque. Incluso los controles informales, como caminar hacia el espacio de trabajo de un compañero, han desaparecido, lo que afecta la forma en que manejamos, tanto la información benigna como la información sensible. Por ejemplo: las charlas junto al dispensador de agua se han reemplazado por mensajes instantáneos en un grupo, pero las charlas junto al dispensador, generalmente, se olvidan con el tiempo, mientras que Internet nunca olvida.
Estos cambios representan brechas para los ataques de ingeniería social. Al haber perdido las instancias de la comunicación cara a cara, los usuarios cotidianos son más sensibles a la manipulación y, si bien, estas recomendaciones pueden parecer simples, son valiosas:
A primera vista, estas tácticas podrían no verse como soluciones francas de seguridad cibernética, pero lo son porque se enfocan en las partes pasadas por alto (en negrita) de la siguiente tríada: personas, procesos y tecnología. Estos tres elementos trabajan en conjunto para lograr una buena higiene cibernética. Los elementos en negrita necesitan atención, ya que la seguridad cibernética se ha enfocado tradicionalmente en la tecnología y suele pasar por alto las personas y los procesos.
Para cerrar, permítanos usar una referencia a los deportes para demostrar cómo una pequeña ganancia progresiva puede generar grandes beneficios: si usted mueve la pelotra tres yardas y media en cada partido, cada posesión termina en un touchdown. Así es como se gana la batalla de la seguridad cibernética.
Nos gustaría dar las gracias a nuestros colegas George Platsis y Ron J. Yearwood, Jr., CISSP, CISM, CIPM, por sus conocimientos y experiencia, que fueron de gran ayuda en esta investigación.
George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.
Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.
Este artículo de dos partes se enfoca en qué pueden hacer los usuarios cotidianos para ayudar a proteger los datos, mediante el apoyo del liderazgo y de un programa de seguridad informática consolidado y bien mantenido.
El ecosistema de la seguridad moderna es diverso y cambiante, un lugar donde el riesgo cibernético es prioritario para los líderes de todos los niveles, y las amenazas a la seguridad/privacidad de la información y los datos evolucionan a la velocidad...
Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…