Al hablar de ciberseguridad en la mayoria de los casos asociamos con inversiones en tecnología, en pocos acerca de procesos internos pero, ¿qué pasa con el entrenamiento y concienciación sobre el tema dentro de nuestra organización? En esta entrada hablaremos sobre ello.
REGLAS QUE SE ROMPEN SIN CONSECUENCIAS
Actualmente las empresas a menudo dicen que la seguridad cibernética es una prioridad, especialmente después de todas las fugas masivas de datos de las que hemos estado escuchando día a día. Pero la pregunta es, si es prioritario, ¿por qué son tan pocas organizaciones realizan entrenamiento en ciberseguridad a sus empleados?
Independientemente de la industria o el tamaño de la empresa, la mayoría de ellas no están implementando ningún tipo de formación en ciberseguridad, ni siquiera en la orientación de los empleados. Existen otros casos en que el entrenamiento existe pero orientado al empleado recién contratado sin hacer refuerzos futuros.
Es importante poseer un programa regular de formación en el rubro incluyendo constantes actualizaciones, la recomendación es que debe realizarse una ves por mes durante todo el año ya que el panorama de amenazas evoluciona y el entrenamiento recibido puede ser obsoleto dentro de semanas o meses o incluso ser olvidado rapidamente.
El siguiente paso después de implementar un programa regular de entrenamiento en ciberseguridad es implementar políticas y procedimientos para hacer cumplir lo aprendido. Se debe contar tambien el apoyo del área de recursos humanos para responsabilizar a los empleados en dado caso de no utilizar los procedimientos adecuados de protección.
RESULTADOS EN EL MUNDO REAL
Tom de Sot, CIO de Digital Defense ejemplifica claramente la forma en que el entrenamiento a los usuarios puede ser la diferencia al evitar una brecha:
"El mayor tiempo que me ha tomado hackear el sistema de una empresa es a través de correos electrónicos phishing y fueron minutos. En específico 10, los cuales transcurren después de haber enviado el correo. Cuando se hacen pruebas en sitio y se estudia bien a la compañia (lo cual un buen hacker siempre debe hacer), estamos dentro de una hora, esta es una clara ilustración de la necesidad de una mejor capacitación en seguridad"
"Otro ejemplo, en un trabajo de ingeniería social que realicé en una gran empresa de petróleo y gas, pude entrar en la organización y acceder a la red en menos de una hora. Nadie me detuvo o me interrogó. Si bien tenían un programa de capacitación en seguridad de la información, nadie estaba haciendo cumplir las prácticas que se enseñan. Como pude penetrar tan rápidamente en su red, el CIO tuvo una ultima entrevista conmigo antes de dejar la organización, aunque ese no era el plan inicial"
" Trabajamos con un empresa de retail muy grande. Durante el proceso de capacitación en seguridad cibernética realizamos una prueba de ingeniería social a los empleados. La formación que estabamos realizando debía de haber sido lo más importante para los empleados ya que estaban pasando por ella pero pude entrar rapidamente al edificio corporativo y obtener acceso a la red. La persona que me dejó entrar a la oficina incluso dijo que ella estaba en la capacitación en el momento de mi llegada y aunque sabía que no debía dejar entrar a personas no identificadas me permitió el acceso sin repercusiones para nadie. Este es un ejemplo clave de por qué hay menos probabilidad de que los empleados estén atentos a las prácticas de seguridad que la compañía si no se hacen cumplir las reglas"
"En pocas palabras, debe haber algún tipo de política vigente que estipule las consecuencias de no adherirse a las normas de seguridad, esto puede ser por ejemplo una sesión asesoramiento, pero no veo ninguna empresa haciendo esto. De no existir los empleados consideran que la capacitación es simplemente un "trámite" interno a cumplir, ignoran lo que han aprendido, o no toman el entrenamiento en absoluto, alegando que están demasiado ocupados. Para ser eficaces, las empresas necesitan dejar de tratar el entrenamiento de ciberseguridad como un pendiente mas a cumplir en una lista y tomarlo en serio. Una vez que esto suceda, los empleados lo daran la importancia adecuada también"
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Tom DeSot/ DarkReading/2017