Mes de la ciberseguridad: ¿por qué el usuario es el protagonista?
Mucho se ha dicho acerca de que, en la cadena de la seguridad, el usuario es el eslabón más importante, el más interesante y ¿el más "fácil" de vulnerar para los atacantes?
La premisa inicial que debemos considerar es que los usuarios son los verdaderos “actores principales” de la ciberseguridad de la empresa, ya que resultan ser los que gestionan a diario el activo más importante de una organización: la información.
Para poder decir qué tan “fácil” pueden ser vulnerados nuestros usuarios, tenemos que evaluar si en nuestra organización existe una cultura de seguridad. Ahora bien, ¿cómo podemos analizar o evidenciar esto?
Pasos para evaluar la vulnerabilidad del usuario
Siempre aconsejamos que, primero, exista un marco normativo en la empresa conformado por políticas y procedimientos de seguridad que no solo nos indique los lineamientos en la materia a nivel organizacional sino que, además, establezca las bases de la protección de la información.
Una vez conformado esto, y con las reglas definidas, podemos establecer lo que denominamos “Programa de concientización”, mediante el cual desarrollar un proceso de madurez y una cultura de ciberseguridad, formando, así, a nuestros empleados en esta materia.
Para ello, tenemos que pensar en un proceso continuo llevado a lo largo del tiempo, de alguna manera con un hilo conductor; dejar a un lado aquellas acciones espasmódicas y aisladas que juegan en desmedro de la cultura de seguridad.
Quizás le interese seguir leyendo: Cómo lograr una mirada más amplia de la seguridad de mi empresa
Sin embargo, muchas veces no es tan sencillo pasar esta teoría a la práctica. ¡Pero no todo está perdido! Y, como siempre recomendamos, lo mejor es apoyarse en alguna mejor practica o estándar internacional para no reinventar la rueda.
Programa de concientización en 3 fases
Con la ayuda de Google, podemos encontrar mucha información en la red pero en especial, sugerimos prestar atención a la publicación del SP800-50, que permite desarrollar un programa en 3 partes:
- Concientización: diseñada para cambiar el comportamiento de los usuarios y reforzar las buenas prácticas de seguridad.
- Entrenamiento: para el desarrollo de competencias y habilidades en términos de ciberseguridad.
- Educación: logra implementar la cultura y competencias de seguridad en el día a día de cada usuario, desde el ámbito laboral hasta el profesional.
También podemos apoyarnos en el modelo de madurez propuesto por el SANS para identificar el estado de nuestro “Programa de concientización” y diseñar acciones para su mejora continua. De esta manera, acoplando las 3 fases dentro de un proceso permanente, medible, que se analiza y se actualiza de forma regular, se alcanzarían cambios culturales que posibilitaran reducir los riesgos en la organización.
Los 5 estadios de madurez (no existente; focalizado en compliance; promover la conciencia y el cambio de comportamiento; sostenimiento a largo plazo y cambio cultural; y framework de métricas) nos permiten llevar nuestro "Programa de concientización", desde un nivel muy bajo donde no existen políticas y los empleados no están entrenados, al desarrollo del "Programa con concientización continua", generación de cambios de hábitos, revisiones periódicas, hasta la obtención de métricas que posibiliten medir el progreso y su impacto.
Por último, es importante hacer una introspección organizacional y entender cómo influye en nuestra cultura de la ciberseguridad y forma de actuar.
¿Estamos listos?
Con las amenazas creciendo en frecuencia y complejidad, las organizaciones se tienen que preparar. Un ataque identificado a tiempo significa un ahorro millonario. Por eso, ser proactivos y preparar al usuario para que esté alerta resulta fundamental. Con nuestros servicios gestionados de seguridad, acompañamos a los negocios en este camino.
¿Qué tan preparada está tu empresa para custodiar
el activo más importante, la información?