Perspectivas

Ciberhigiene en 2023: Parte 1 -- Obtener la aceptación de los usuarios

El informe de riesgo global inaugural de J.S. Held examina los posibles riesgos y oportunidades comerciales en 2024

LEER MÁS cerrar Creado con Sketch.
Inicio·Perspectivas·Artículos

Introducción

A medida que atravesamos el 2023, persisten nuevos y viejos desafíos cibernéticos, pero las oportunidades de mejora están presentes. Para el próximo año, debemos asumir lo siguiente:

  1. Los desafíos del pasado no han sido superados, y seguimos lidiando con ellos.
  2. El uso de la tecnología y la innovación se encuentran en un creciente estado de fluctuación, impulsado por factores externos (por ejemplo, cambios en los hábitos de trabajo, una gran cantidad de datos, la comercialización de la inteligencia artificial, etc.).

Para los usuarios habituales, esta realidad puede resultar desalentadora. Puede que incluso se sientan displicentes ante las responsabilidades relacionadas con la cibernética, preguntándose: "Bueno, ¿y qué quieren que haga yo al respecto?".

Los expertos en cibernética simplemente quieren que todo el mundo ayude a "proteger la casa" creando una organización y un entorno más resistentes. En esta serie, J.S. Held aporta información tanto para los profesionales de la seguridad como para los usuarios del día a día, con sugerencias para identificar cómo evitar fallos internos y/o un colapso central o una brecha en los sistemas de información. ¿Cómo? Mediante un enfoque federado basado en la responsabilidad personal.

Este artículo de dos partes se enfoca en qué pueden hacer los usuarios cotidianos para ayudar a proteger los datos, mediante el apoyo del liderazgo y de un programa de seguridad informática consolidado y bien mantenido. En concreto, esta miniserie identifica cómo resolver un punto conflictivo clave, garantizando que los usuarios sepan por qué y cómo se están ejecutando las acciones, y cómo manejar dos condiciones variables, los cambios en el lugar de trabajo y las tácticas de los agentes maliciosos.

Empezamos por identificar a los responsables.

Cómo diferenciar las responsabilidades empresariales de las individuales

Los líderes en seguridad de la información y gestión de riesgos suelen centrarse en "el programa" de la empresa, pero ellos, como todos los demás, también son usuarios cotidianos de la tecnología y los activos de datos. Las diferencias de conocimientos entre los dos grupos pueden ser grandes aunque los riesgos para ambos sean similares. Además, las prioridades difieren entre estos dos grupos, pero el cuidado y la responsabilidad no deberían hacerlo.

En esto radica el meollo de la cuestión de la ciberseguridad: comprender los matices entre los grupos de interés. Si comprendemos este problema, podremos gestionar muchos de los desafíos asociados.

De cara al futuro, cabe esperar que los responsables de la seguridad de los datos concentren sus esfuerzos en la migración y la integración en la nube, la transformación digital, el aumento de la supervisión y la automatización, el uso del software como servicio (SaaS) y las iniciativas en toda la empresa, como la "creación de ciberresiliencia" o el aumento de las pruebas y la capacitación. Y no olvidemos la polémica sobre si Zero Trust reemplazaría a la VPN.

Pero estos esfuerzos, por bienintencionados que sean, ¿son los que más repercuten en los usuarios? En el mejor de los casos, tal vez. Los usuarios cotidianos tienen sus propias prioridades y, en algunos casos, estas pueden ir en contra de las mejores prácticas de seguridad de la información. Por lo tanto, una prioridad para los directores, funcionarios, gerentes y el CISO debe ser ayudar a los usuarios cotidianos a encontrar ese equilibrio; es un buen negocio y es bueno para la seguridad.

Tendencias de higiene cibernética a corto plazo que conviene tener en cuenta

Todos estos esfuerzos de seguridad deben plantearse la siguiente pregunta: "¿Cómo ayudan los usuarios cotidianos a reducir la huella de riesgo de la organización?".

La clave está en reconocer que la solución no reside únicamente en el programa de empresa, aunque el programa sea sin duda la base. Más bien, la solución reside en que los usuarios cotidianos interioricen y valoren una buena higiene cibernética como medio para proteger su propio trabajo, mejorando al mismo tiempo la posición de riesgo de la organización.

  1. En otras palabras, la clave es que la "higiene cibernética " (como práctica) debe verse como un beneficio positivo para el usuario cotidiano, no como una tarea o un proceso engorroso o restrictivo. Para lograrlo, conviene que los usuarios cotidianos -o, más concretamente, los observadores de la primera línea y los defensores de la última instancia- interioricen el impacto de estas tres preguntas: ¿Cómo afecta a la empresa el comportamiento digital de un individuo?
  2. ¿Por qué es necesario proteger los espacios de trabajo remotos e híbridos?
  3. ¿Qué conocimientos pueden utilizarse para prevenir los ataques tradicionales y los nuevos?

Interiorizar los beneficios de una buena higiene cibernética

Algunos usuarios pueden practicar hábitos "más seguros" que otros, pero esas tendencias suelen derivarse de la experiencia y la función. Los usuarios cotidianos pueden tener tendencias que contribuyan o dificulten los buenos hábitos de higiene cibernética. Por ejemplo:

  • Un grupo de usuarios puede tener un deseo inherente de privacidad y querer practicar hábitos más seguros, pero son analfabetos tecnológicos, por lo que suponen un riesgo si cometen errores.
  • Otro grupo de usuarios puede tener una aptitud natural para el uso tecnológico pero dar poco valor a la privacidad y la seguridad, lo que supone un riesgo por falta de cuidado.

El resultado interesante es que, a pesar de las diferencias de comportamiento, ambas situaciones podrían provocar el mismo tipo de pérdida de datos. Entonces, ¿dónde está el terreno común? En el interés personal.

Explíqueles por qué, no cómo

"Coma verduras", por sí solo, rara vez ha sido un argumento convincente. La gente es curiosa y quiere entender "por qué". Practicar una buena higiene cibernética no es muy diferente. Los ejemplos ilustrativos ayudan. Estos son solo algunos:

  • Manténgase al margen de una posible investigación. Demuestre el valor de separar el uso profesional y personal de los activos (piense en la iniciativa "Traiga su propio dispositivo"). Si su empresa sufre un ataque, la investigación requerirá información de la mayoría de las fuentes relacionadas con la empresa. Si mezcla datos personales y profesionales en su dispositivo personal, puede ser objeto de investigación. Es cierto que con la separación estricta se renuncia a cierta comodidad, pero en caso de ataque, la probabilidad de que se recabe información personal (desde la perspectiva de "Traiga su propio dispositivo") como parte de la investigación o en respuesta a una citación judicial es relativamente baja. La mayoría de los usuarios cotidianos no quieren ni necesitan la angustia de que su información privada y personal pase a formar parte de un proceso judicial.
  • Proteja a la empresa para proteger su puesto de trabajo. Explique la relación riesgo/beneficio de la inversión, la innovación, la investigación y el desarrollo, y cómo estas actividades son el alma de una organización. La pérdida de la propiedad intelectual puede suponer la diferencia entre tener seguridad laboral durante los próximos 10 años en una gran empresa o tener que actualizar el currículum porque la que fue una gran empresa ahora está en quiebra.
  • Evite los dedos acusadores. Muestre su apoyo a procesos sólidos de gestión de cambios y validación. Hacerlo limita los errores de configuración y los escenarios de accidentes como "la puerta quedó abierta de par en par". Haga hincapié en que "enlazar" estas tareas minimiza la probabilidad de que su usuario haya sido la causa de la brecha..

Conclusión

En resumen, se puede decir a los usuarios cotidianos cómo lograr una buena higiene cibernética (por ejemplo, seguridad de las contraseñas, evitar usar sistemas o dispositivos no autorizados por la empresa, supervisión razonable, formación, etc.), pero nada de eso explica por qué una buena higiene cibernética es valiosa para el usuario y la organización.

Practicar una buena higiene cibernética no es solo una cuestión del presente; es una cuestión permanente que influye en las posturas de seguridad y riesgo. Los CISO y otros responsables de seguridad que adopten enfoques basados en "premios y castigos" (reprimendas conductuales) y en "soluciones mágicas" (tecnología) se quedarán atrás. Para alterar positivamente el comportamiento, los usuarios cotidianos tienen que ser partícipes y comprender por qué sacrificar algo de comodidad y eficiencia inicial puede reportar protecciones y recompensas a largo plazo. Los responsables de las empresas, los riesgos y la seguridad también deben tenerlo en cuenta.

En la segunda entrega de esta serie de dos partes, nos centraremos en la necesidad de proteger los espacios de trabajo remotos e híbridos y en los conocimientos que ayudan al usuario a prevenir los ataques.

Reconocimientos

​​​​​​​Nos gustaría dar las gracias a nuestros colegas George Platsis y Ron J. Yearwood, Jr., CISSP, CISM, CIPM, por sus conocimientos y experiencia, que fueron de gran ayuda en esta investigación.

Más sobre los colaboradores de J.S. Held

George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.

George can be reached at [email protected] o llamando al +1 321 346 6441.

Encuentre su experto.

Esta publicación es solo para fines educativos y de información general. Puede contener errores y se proporciona tal cual. No tiene el propósito de brindar asesoramiento específico, legal o de otro tipo. Las opiniones y los puntos de vista no son necesariamente los de J.S. Held o sus afiliados, y no debe asumirse que J.S. Held se suscribe a cualquier método, interpretación o análisis en particular simplemente porque aparece en esta publicación. Negamos cualquier representación y/o garantía con respecto a la exactitud, puntualidad, calidad o aplicabilidad de cualquiera de los contenidos. Usted no debe actuar, o dejar de actuar, en función de esta publicación, y renunciamos a toda responsabilidad con respecto a tales acciones o falta de acción. No asumimos ninguna responsabilidad por la información contenida en esta publicación y rechazamos cualquier responsabilidad o daño con respecto a dicha información. Esta publicación no sustituye el asesoramiento legal competente. El contenido del presente documento puede ser actualizado o modificado de otro modo sin previo aviso.

Usted también podría estar interesado en
Perspectivas

Seguridad cibernética e interrupción de la actividad comercial: fundamentos para su prevención y mitigación

El ecosistema de la seguridad moderna es diverso y cambiante, un lugar donde el riesgo cibernético es prioritario para los líderes de todos los niveles, y las amenazas a la seguridad/privacidad de la información y los datos evolucionan a la velocidad...

Perspectivas

Protección de los datos en la nube y mitigación de los riesgos cibernéticos asociados con una fuerza laboral remota

Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…

Perspectivas

Ciberhigiene en 2023: Parte 2 -- Higiene cibernética para espacios de trabajo remotos e híbridos

Esta miniserie identifica cómo resolver un punto conflictivo clave, garantizando que los usuarios sepan por qué y cómo se están ejecutando las acciones, y cómo manejar dos condiciones variables, los cambios en el lugar de trabajo y las tácticas de los...

 
PERSPECTIVAS DE LA INDUSTRIA
Manténgase al día con las últimas investigaciones y anuncios de nuestro equipo.
Nuestros expertos