Hablamos con Fernando Ramirez, Responsable de Ciberseguridad en Semantic Systems, sobre el valor de la concienciación en seguridad informática.
¿Por qué concienciar? ¿Es realmente el usuario el eslabón más débil?
Permíteme comenzar respondiéndote la segunda pregunta…
Bruce Schneier, por allá cuando transcurría el año 2000 y en medio de su genialidad expresó qué: “recae en los usuarios toda la responsabilidad de la seguridad de los sistemas”, lo cual se convirtió en una máxima y con ello, siento, restó responsabilidad a fabricantes y expertos en seguridad informática haciéndonos pensar que los ordenadores, las máquinas y las aplicaciones eran 100% seguras. Yo, realmente creo que, a hoy, esa aseveración puede ser refutable.
Con la expansión de las telecomunicaciones, Internet y la entrada de las tecnologías hasta la cocina y la sala de nuestros hogares, dicha debilidad, debe ser ahora compartida entre los nuevos requerimientos de seguridad para esas máquinas y los nuevos usuarios de las tecnologías. Así pues, la concienciación de ser interiorizada y puesta en práctica desde, el fabricante, el implementador y el experto de los sistemas y la tecnología, para luego ser transferida al usuario final.
¿Cómo? Con la creación de hardware asegurado desde su fabricación, con la implantación de módulos de seguridad o, quizás con la generación de manuales de uso, como es normal, más, un manual de ciberseguridad o incluso, acompañados de campañas de concienciación y educación en ciberseguridad de la nueva solución implantada. ¡Eso en un mundo ideal! Con lo cual, la tarea final de concienciación es responsabilidad de quienes implementamos la solución final y/o de quienes la usamos.
Con lo anterior y en mi concepto, que igual lo leí en algún lado y ya no me acuerdo. “La eficacia de nuestra Ciberseguridad física y lógica llega hasta donde las personas las utilicen de manera correcta. Y por ello, en la medida en que las plataformas tecnológicas estén mejor bastionadas y administradas. Se mitigan las posibilidades de que una amenaza se materialice ante el error humano.
Entonces; ¿Por qué concienciar?
Porque las personas como usuarios de las tecnologías, somos la primera línea de defensa. Ya sea como usuarios de nuestros propios recursos o como usuarios de los recursos de información de nuestras compañías.
Porque, así como a los dispositivos físicos y lógicos de seguridad e incluso a la IA, les enseñamos que es malo, que es bueno, que permitir y que rechazar. Al ser humano como un firewall/cortafuegos humano les debemos instruir con capacidades similares.
Debemos sumergirle de una manera amable en este mundo que directa o indirectamente y aunque no se desee, ya nos afecta y así, compartir terminologías que como (la nube, la web, el email) ya son cotidianos, también ingeniería social, vector de ataque, riesgo, virus, phishing, amenaza, autenticación y password entre otras, hacen parte íntima de la vida cotidiana.
La capacitación en conciencia y sensibilidad de la Ciberseguridad es la forma más eficaz de proteger nuestra organización y a nuestros empleados de un ciberataque a partir de la Ingeniería Social.
La única defensa acreditada en contra de un ataque de Ingeniería Social es un programa efectivo de concienciación y sensibilización de la Ciberseguridad.
Un empleado que no ha sido capacitado, actualizado y evaluado, en su formación y concienciación de la Ciberseguridad, con alta probabilidad, comprometerá a la organización con simples errores por ingenuidad, negligencia o incluso apatía.
¿Cuáles crees que son las mejores vías y/o métodos para transmitir concienciación sobre un tema qué, coloquialmente se cree muy complejo?
Sensibilizar: ¡Me gusta concebir un ciberataque como una catástrofe!
… y como tal lo es, pues la connotación social de un ciberataque y el daño colateral a las familias de los empleados, sin duda, podría ser catastrófico.
Es aquí, donde hablamos de Cultura de Ciberseguridad y de Concienciación del daño. Así pues, un Programa de Formación en Conciencia de Ciberseguridad debe ser el origen de la colaboración con un fin común. La protección de nuestra organización y consecuentemente la de nuestras familias.
Compromiso de las Directivas: Instaurar la Ciberseguridad como cultura y valor organizacional. Y es que con una buena formación en responsabilidad corporativa frente a la ciberseguridad. Consecuentemente, el usuario en el rol de su vida familiar y personal interiorizará y trasladará esos buenos hábitos a su hogar y su entorno familiar. Y a su vez, en el entorno organizacional, serán las directivas CEO, CFO, HHRR quienes sean el ejemplo a seguir en cuanto a la ciberseguridad y las buenas prácticas.
Pedagogía: así como para impartir cualquier tipo de conocimiento en cualquier campo de la Ciencia. La pedagogía juega un factor relevante. Debemos ser creativos a la hora de diseñar las campañas, el material, los ejercicios y las actividades a impartir y con las cuales deseamos se entregue un mensaje que cale en las personas.
Las actividades lúdicas y diseñadas a la medida de la audiencia siempre van a facilitar la transmisión del mensaje. Debemos ser especialmente detallistas y cuidadosos al crear contenido “ciber complejo” y cómo se lo entregaremos a audiencia con conocimientos y roles que distan de lo tecnológico. Diseñar campañas orientadas a áreas financieras, de recursos humanos o de servicios generales y de logística, si que se convierten en un reto interesante de afrontar para obtener el éxito deseado.
La obligatoriedad y la responsabilidad: siempre nos podremos encontrar caracteres y estado de ánimo diferentes. “ese mensaje me llegó y no era mi día” “tengo cosas más importantes y de mi tarea principal” “estoy cansado de recibir los mismos mensajes, además yo ya sé eso”.
Siempre lo podremos solucionar con técnicas de indagación apreciativa, asertividad etc.…Sin embargo, es necesario resaltar que, es una responsabilidad social y como tal, debe entenderse como una falta grave el no adquirir el conocimiento, las técnicas y las responsabilidades que mitiguen el riesgo cibernético.
Y, ¿Cómo mides la efectividad de esas capacitaciones?
- Reportes desde las plataformas: siempre podremos adquirir servicios y plataformas de concienciación que nos permitan medir los resultados y poder discernir la efectividad vs. los puntos a fortalecer. Grupos de usuarios especialmente vulnerables, metodologías que merecen una revisión. Cambio de liderazgo y/o estrategias. Resultados de las campañas, usuarios descontentos y poco participativos…
- Auditorías: siempre que una compañía cuente con una certificación en seguridad de la información o pretenda adquirirla y conservarla. Deberá desplegar un proyecto claro sobre concienciación, asignar los recursos adecuados y conservarlo como una unidad especial dentro del negocio.
- La ausencia de incidentes de seguridad como tal…
Descarga el ebook gratuito «Formación y concienciación en ciberseguridad»
|
Desde Semantic Systems, ¿Qué soluciones y/o servicios ofrecéis relacionados con la concienciación?
Más allá de la plataforma que usamos para entregar concienciación, desde Semantic Systems ofrecemos nuestras capacidades y experiencia.
Dado que somos un equipo de expertos en Ciberseguridad física y lógica y tenemos un portafolio de servicios orientados a la protección de los activos de información y que, en adición, somos una compañía certificada ISO27001.
Estamos en capacidad de orientar y capacitar al recurso humano a través de técnicas pedagógicas y de coaching y adentrarlos en el camino de la seguridad informática y de las mejores técnicas de evasión a los múltiples ataques a los que diariamente estamos expuestos.
Nuestra plataforma informática de concienciación nos permitirá diseñar campañas dirigidas de manera objetiva y a grupos de interés específico, así como generales.
Podremos enseñar y familiarizar con terminología, brindar noticias sobre ataques de alto impacto y recientes con el ánimo de sensibilizar. También podemos crear campañas de phishing y de engaño tipo ingeniería social, que como sabemos es el arte del engaño como arma…
En la actualidad nuestra unidad de Ciberseguridad lidera la concienciación al interior de Semantic Systems así como un amplio grupo de clientes donde contamos con un buen número de casos de éxito…