Proofpoint Andrew Rose

Opinión

Construyendo una cultura de seguridad: visión y hoja de ruta para ir más allá de la concienciación

CISO residente de Proofpoint para EMEA.

Guardar

Proofpoint_Andrew Rose (1)
Proofpoint_Andrew Rose (1)

Los líderes en seguridad reconocen que el factor humano está ahora en la primera línea de su lucha contra las violaciones de datos y los ciberataques. Así lo pone de manifiesto el informe 2021 Verizon DBIR que afirma que el 85% de los ciberataques exitoso está influido por algún elemento humano y que la ingeniería social ha sido el patrón de ataque más frecuente a lo largo del año.

Los empleados han sido injustamente etiquetados como "el eslabón más débil", "la primera línea de defensa" o, lo que es aún más preocupante, "la última línea de defensa". Pero todas estas etiquetas son engañosas en cierto modo. La verdad en cuanto a amenazas hoy en día es simple: las personas son su principal superficie de ataque. Cuando la mayoría de los ataques se dirigen específicamente a tu base de usuarios intentando que hagan clic en un enlace malicioso, revelen sus credenciales de acceso, abran un archivo adjunto o que simplemente paguen una factura falsa, la creación de una cultura de seguridad sólida es la mejor opción para detectar y repeler este tipo de ataques. Pero ¿por qué es algo que a la mayoría de los CISOs les cuesta conseguir?

Una de las razones principales es que la cultura debe ser elaborada, diseñada y construida cuidadosamente; y muchos profesionales de la seguridad carecen de una visión del resultado deseado. Muchas empresas ya tienen una cultura intrínseca. Sin embargo, para un profesional de la seguridad, el camino para cambiarla o actualizarla no suele estar muy claro. Podría parecer que con mejorar la formación y la concienciación en materia de ciberseguridad sería suficiente, pero desgraciadamente habría que hacer algo más para cambiar los comportamientos de los empleados.

En la actualidad, la realidad es que la concienciación de los usuarios no conduce a un cambio de comportamiento. El estudio Voice of the CISO demuestra que, aunque el 58% de los CISOs en España piensa que los empleados entienden su papel a la hora de proteger la empresa frente a ciberamenazas, el 68% sigue considerando el error humano como la mayor vulnerabilidad en ciberseguridad de su organización. Entonces, ¿qué se necesitaría para crear una gran cultura de seguridad en las organizaciones?

Una visión

Cualquier CISO quiere que toda la base de empleados de la organización forme parte de su equipo de seguridad ampliado, que sea consciente de las amenazas en ciberseguridad y de su papel tanto en la creación como en la detección y gestión de estas. Necesitan que los empleados demuestren continuamente un comportamiento correcto, tomen decisiones de seguridad sensatas y sepan dar soluciones a los conflictos operativos que surjan. 

  • Los empleados deben comprender el valor de una buena seguridad, el peligro de su ausencia, así como ser capaces de reconocer cuándo pueden recurrir a sus conocimientos y cuándo tienen que comunicar los incidentes.
  • El equipo de seguridad debe dedicar tiempo y atención a garantizar que el personal esté siempre informado sobre las técnicas que pueden utilizar los atacantes para que así pueda reconocer las amenazas en sus múltiples formas. Esta formación debe actualizarse continuamente para seguir el ritmo del panorama actual de las ciberamenazas y de las últimas herramientas y tácticas.

Nada de esto es fácil de conseguir cuando los recursos de la organización son mínimos.  Además, muchos otros colectivos, internos y externos, luchan por la atención del personal o incluso envían mensajes potencialmente conflictivos, como "innovar" frente a "adherirse a las normas".

Una hoja de ruta

Hay tres etapas en el camino hacia una cultura de seguridad exitosa:

  1. El primero es el modelo habitual de un CISO que promueve el mensaje de seguridad entre el personal, tratando de influir en él para que lo entienda y actúe adecuadamente. Esto cumple con los requisitos de cumplimiento y aborda las necesidades básicas de concienciación, pero este esfuerzo continuado tiene unos resultados limitados y no consigue que la situación cambie notablemente. Aquí es donde se encuentran la mayoría de las empresas: el CISO es la única "voz" que influye en el personal para que tome las decisiones correctas.  
  • La segunda etapa representa un avance, un cambio de enfoque, en el que la concienciación se convierte en parte de un objetivo más amplio, el del "cambio de comportamiento".  Basándose en la ciencia del comportamiento, el programa se centra en influir en el personal para que cambie su comportamiento, incluso cuando esté bajo presión. Cuando se alcanza esta etapa, los empleados tienen dos "voces" que influyen en sus acciones: la del CISO y su propia narrativa interna, que marca las expectativas de lo que es un comportamiento aceptable. Esto debería permitir al personal rechazar peticiones y expectativas poco razonables, pero no es infalible: las prioridades de la dirección, el volumen de trabajo o la presión social pueden desbaratar las mejores intenciones del usuario.
  • La etapa final se alcanza cuando se crea un consenso, y la perspectiva de un buen comportamiento en materia de seguridad se convierte en una expectativa de toda la comunidad. La presión de los compañeros aumenta y la desviación del camino seguro se vuelve más inaceptable socialmente. En esta fase, el personal tiene múltiples "voces" que apoyan el comportamiento correcto: el CISO, su voz interna y la voz de todos los que le rodea.

Esta última etapa, en la que la expectativa corporativa es que la seguridad sea una prioridad, es el objetivo final. Para muchos, puede parecer un sueño lejano, incluso inalcanzable; sin embargo, he trabajado en importantes organizaciones de infraestructuras nacionales y he experimentado una cultura de seguridad de primera mano: se consiguen estos objetivos y más, asegurando que las estrategias y decisiones que van en contra de la cultura son cuestionadas independientemente de la antigüedad de su origen.

La cultura de seguridad tiene que ser de toda la empresa y no solo una preocupación del CISO. Cuando todos los empleados asumen su responsabilidad personal en cuanto a la seguridad de la misma manera que, por ejemplo, las aerolíneas o las plataformas petrolíferas lo hacen, entonces disfrutaremos de los verdaderos beneficios de una cultura de seguridad. 

Andrew Rose es CISO interno de Proofpoint en la región de EMEA