Creación de una cultura de seguridad

Octubre es el Mes Nacional de Concientización sobre Ciberseguridad.

También es (entre otras cosas) el Mes de Concientización sobre el Cáncer de Mama, el Mes de la Higiene Dental, el Mes Nacional de Prevención del Bullying y mi favorito personal, el Mes Nacional de la Pizza. Además, ¡es Halloween! Pero estoy divagando ... estamos aquí para hablar sobre ciberseguridad.

Todos los fabricantes deberían impartir formación sobre concienciación sobre ciberseguridad para todo su personal al menos una vez al año. Mucha gente se asusta con la mera mención de las palabras "ciberseguridad" y "formación", por lo que octubre parece un momento apropiado para ello. Su capacitación debe, como mínimo, cubrir las políticas relevantes de la empresa, como su seguridad de TI, seguridad de la información y seguridad física.

A lo largo de los años, muchos de nosotros hemos tomado este tipo de entrenamiento y hemos aprendido a temerlo. Capacitación en la que alguien da exactamente el mismo discurso de seguridad cibernética que dio el año pasado y luego le entrega un papel para que lo firme diciendo que estuvo allí. Un verdadero festín. Este tipo de capacitación cumple su función en cuanto a cumplir con el mínimo indispensable, pero tiene poco impacto en moldear el comportamiento de los empleados.

El propósito real de los esfuerzos de sensibilización y capacitación en ciberseguridad debe ser crear una cultura de seguridad, lo que significa que los empleados deben ver las buenas prácticas de ciberseguridad como un buen negocio y como parte de "cómo hacemos negocios aquí". Los empleados deben sentirse capacitados para tomar buenas decisiones de ciberseguridad y comprender qué hace que una buena decisión sea buena. La concienciación y la formación deben centrarse en:

• Detener los comportamientos de riesgo: Ayude a los empleados a saber qué decisiones pueden conducir a un mal resultado. Por ejemplo, abrir archivos adjuntos de correo electrónico de fuentes desconocidas.
• Fomentar comportamientos menos riesgosos: Ayude a los empleados a comprender y preocuparse por la implementación de procesos que aumentan la seguridad. Por ejemplo, cómo crear contraseñas seguras.
• Convertir a los empleados en centinelas: Ayude a los empleados a reconocer y responder a un evento de ciberseguridad. Por ejemplo, qué hacer si un invitado conecta una unidad USB no autorizada a una máquina.

Idealmente, la formación debería ser un esfuerzo continuo. Algunas ideas sobre cómo incluir la formación en ciberseguridad en el funcionamiento diario de su empresa incluyen:

• Enfatice regularmente la ciberseguridad como un objetivo importante de su empresa.
• Integre un consejo, truco o recordatorio de ciberseguridad en cada reunión.
• Publique recordatorios en el lugar de trabajo sobre las prácticas de seguridad adecuadas.
• Organice reuniones periódicas para analizar las posibles mejoras del proceso que pueden facilitar que los empleados tomen mejores decisiones de seguridad.

Se han realizado muchas investigaciones sobre cómo es la buena formación en ciberseguridad de los empleados. En general, se puede resumir utilizando el acrónimo "RAINSTORMS". Sí, me lo acabo de inventar ahora mismo.

• R eal:el uso de estudios de casos del mundo real o escenarios realistas ayuda a llevar las lecciones a casa.
• A ccionable:Incluya algo que los empleados puedan hacer de inmediato. Esto puede incluir cambiar sus contraseñas, hacer un inventario de sus activos de TI o asegurarse de que tengan la información de contacto de la persona u organización a la que deben informar un incidente en sus teléfonos. A veces, una asignación de tarea a largo plazo también es apropiada, pero tener una meta inmediata siempre es útil.
• Yo nteractive:el juego de roles, las discusiones en grupos pequeños o los ejercicios prácticos son algunas formas excelentes de hacer que la capacitación sea más interactiva. Idealmente, las interacciones deben incluir conversaciones bidireccionales que involucren a todos los niveles de administración para garantizar que todos sepan que todos tienen las mismas responsabilidades y que todos están en la misma página.
• N ew:algo de repetición es apropiado en la capacitación, especialmente cuando se habla de políticas, pero no debería quedar obsoleto. Los diferentes formatos de capacitación (por ejemplo, conferencias, juegos de roles, videos) pueden ayudar.
• S mall:Los trozos de información del tamaño de un bocado son mucho más fáciles de digerir que un título completo en informática que se impone a los empleados. Generalmente es preferible un tema a la vez.
• T estable:Debe haber un objetivo medible y comprobable para la formación en ciberseguridad. Si se trata de conciencia general, tal vez se pueda desarrollar un cuestionario. Si el objetivo es mitigar los ataques de phishing, tal vez se pueda enviar un correo electrónico de phishing falso unas semanas antes y unas semanas después del evento. Esto ayudará a mostrar qué tan efectiva fue la capacitación.
• O wned:Los empleados deben dejar la capacitación sintiéndose como dueños y que la ciberseguridad es su responsabilidad; deben sentirse capacitados para tomar buenas decisiones sobre ciberseguridad.
• R elevant:La mayoría de las empresas tienen diferentes tipos de usuarios. Adaptar la formación a cada tipo de usuario la hace más real. Esto puede significar tener una formación diferente para los empleados de planta frente a los empleados de oficina.
• M emorable:Use acrónimos, mnemotécnicos concisos o, mi favorito personal, humor. Los humanos recuerdan cosas divertidas (juegos de palabras, videos musicales malos, memes ridículos de gatos) mucho mejor que una conferencia aburrida. No tenga miedo de hacerlo poco convencional y divertirse.
• S imple:Por encima de todo, la formación debería ser sencilla. Las lecciones demasiado técnicas y llenas de tecno-charlatanería solo sirven para hacer que la gente se duerma.

La Iniciativa Nacional para la Educación en Ciberseguridad (NICE) tiene una pequeña lista de recursos gratuitos y de bajo costo para ayudar con la capacitación de los empleados. También hay muchos recursos adicionales disponibles en línea. Simplemente haga una búsqueda en Internet y será bombardeado con opciones. Evalúe esas opciones utilizando la plantilla RAINSTORMS anterior.

A lo largo del mes de octubre, NIST MEP publicará una serie de blogs que seguirán libremente el tema y el esquema proporcionado por la National Cybersecurity Alliance (NCSA). El tema de este año es “Haga su parte. #BeCyberSmart ”. Ahora, personalmente, nunca he sido un fanático de la autopromoción de un hashtag, pero si tuiteas o escribes en un blog sobre ciberseguridad durante este mes, considera usar el hashtag #BeCyberSmart; veremos hasta dónde llega.

El esquema que ha publicado la NCSA es el siguiente:

• Semana del 5 de octubre (semana 1):si lo conecta, protéjalo
• Semana del 12 de octubre (semana 2):protección de dispositivos en el hogar y el trabajo
• Semana del 19 de octubre (semana 3):protección de los dispositivos conectados a Internet en la atención médica
• Semana del 26 de octubre (semana 4):el futuro de los dispositivos conectados

¿No estás seguro por dónde empezar? Puede obtener más información sobre cómo implementar un programa de capacitación en seguridad cibernética eficaz comunicándose con su Centro MEP local. También puede acceder a recursos de ciberseguridad para fabricantes en el sitio web de NIST MEP.

Este blog es parte de una serie publicada para el Mes Nacional de Concientización sobre Ciberseguridad (NCSAM). Otros blogs de la serie incluyen If You Connect It, Protect It de Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Pude Hackeado por Pat Toth, Securing Internet-Connected Medical Devices de Jennifer Kurtz y The Future of Connected Devices de Erik Fogleman y Jeff Orszak.