BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

La gente puede ser el eslabón más fuerte en la ciberseguridad, dice NCSC

La gente es vista a menudo como el eslabón más débil cuando se trata de ciberseguridad, pero eso debe cambiar, dice el Centro Nacional de Seguridad Cibernética.

La seguridad de la información ha sido tradicionalmente liderada por la tecnología y, como resultado, se ha pasado por alto el rol y el valor de las personas. Ésa es la opinión de Emma W, líder del equipo de seguridad centrado en las personas en el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).

La percepción de la gente como el eslabón más débil es injusta y una consecuencia natural de una cultura de seguridad dirigida por la tecnología, dijo a Computer Weekly.

"No siempre hemos tenido gente trabajando en ciberseguridad con una comprensión profunda del comportamiento humano o el consejo de psicólogos, científicos sociales y similares para decirnos por qué las personas se comportan de la manera en que lo hacen”.

"Como resultado, las organizaciones tienden a tratar a los usuarios como personas que deben hacer lo que se les dice, pero ellos no lo hacen siempre, y muchas veces la razón es porque no pueden”.

"Sin embargo, estas razones a menudo no se reconocen, y en su lugar los usuarios son vistos como no cooperativos o estúpidos, pero esto no es cierto y es una percepción de que tenemos que cambiar", dijo.

Un ejemplo de dónde los usuarios finales suelen ser culpados por los fallos es alrededor de las contraseñas, pero muchas organizaciones tienen expectativas no razonables.

A la mayoría de las personas les resulta difícil recordar múltiples contraseñas, especialmente cuando las organizaciones insisten en contraseñas largas y complejas que deben cambiarse regularmente.

En lugar de criticar a los empleados que no se adhieren a las políticas no razonables de contraseñas, las organizaciones necesitan tener una comprensión más sofisticada de cómo los seres humanos pueden ser un activo de seguridad, dijo.

"Ellos necesitan entender que si los seres humanos parecen ser pobres en seguridad, es porque se les exige hacer cosas que son difíciles o poco prácticas".

El NCSC cree que esto indica la necesidad de reformar la relación entre el equipo de seguridad de TI en una organización y los usuarios de los sistemas de TI.

Mientras que algunos profesionales de la seguridad de la información entienden que su papel es apoyar y permitir el negocio, Emma W dijo que se ha avanzado menos en entender cómo relacionarse con los usuarios finales.

Los usuarios todavía ven comúnmente a la seguridad como un papel de policía, dijo, y no se sienten suficientemente confiados o están demasiado asustados para hablar con los equipos de seguridad sobre los retos que tienen y dónde sienten la necesidad de doblar o incluso desobedecer las reglas de seguridad para hacer su trabajo, por temor a ser sancionados de alguna manera.

"Esta es la relación que necesitamos remodelar, y una parte crítica de eso es permitir la comunicación bidireccional entre los equipos de seguridad y el resto de la organización, en lugar de la actual percepción común de los usuarios de que la seguridad se sienta en su propio silo y le dice a todo el mundo lo que necesitan hacer", dijo.

"En realidad, los profesionales de la seguridad no tienen todas las respuestas y los usuarios tienen una contribución que hacer en el suministro de algunas de las respuestas. Los profesionales de seguridad necesitan empezar a escuchar lo que los usuarios están tratando de hacer y entender que pueden ser el eslabón más fuerte, no el más débil en la seguridad".

Los usuarios finales deben ser vistos como un activo positivo que tiene información que los profesionales de la seguridad no tienen sobre cómo funciona el negocio y cómo se debe ejecutar, en lugar de ser visto como un riesgo que tiene que ser administrado, dijo Emma W.

"Los profesionales de seguridad necesitan revisar cómo recopilan información sobre seguridad, para que puedan obtener el apoyo adecuado para descubrir los problemas reales que enfrentan sus negocios y arreglarlos", dijo.

Comunicación significativa

Los profesionales de seguridad también deben entender que el entrenamiento ocasional de conciencia de seguridad y una campaña de concientización basada en carteles no son un sustituto de una comunicación bidireccional significativa que les permita saber lo que la gente necesita de la seguridad y cómo la seguridad puede ayudar a apoyar el negocio.

"Se trata de que los equipos de seguridad averigüen lo que realmente está sucediendo en una organización, y por qué la gente no está haciendo las cosas que el equipo de seguridad quiere que hagan, y eso probablemente no es porque la gente es débil, estúpida o está tratando deliberadamente de sabotear los esfuerzos de seguridad", dijo Emma W.

"La mayoría de la gente es bienintencionada y sabe lo que se supone que están haciendo, pero están tratando de hacer una tarea de trabajo y la organización no les está dando la manera correcta de hacerlo", dijo, con el resultado de que la tarea se puede estar haciendo, pero no de la manera más segura posible.

Cuando los empleados sienten que no pueden trabajar dentro del sistema o que están corriendo el riesgo de ser castigados por cosas que están fuera de su control, buscarán formas alternativas de trabajo y eso es lo que da lugar a las TI en las sombras y a procesos reales de trabajo que son subterráneos, dijo ella.

Por esta razón, el NCSC defiende la opinión de que las personas son potencialmente el vínculo más fuerte de las organizaciones en lo que respecta a la seguridad cibernética, y está animando a las organizaciones a avanzar hacia la generación de soluciones positivas y colaborativas que les permitan a los usuarios demostrar que son los mayores activos en seguridad, tanto como lo son en los negocios.

Los usuarios suelen ser culpados por fallos en las contraseñas, pero esto se debe principalmente a que la mayoría de las personas encuentran difícil seguir las directivas de la empresa en las contraseñas.

"Los equipos de seguridad necesitan aceptar que la gente no puede recordar múltiples contraseñas complejas y que no hay cantidad de entrenamiento de conciencia que vaya a resolver el problema", dijo Emma W. "Los profesionales de seguridad tienen que entender que deben que tomar el dolor de los usuarios y encontrar formas alternativas para resolver el problema".

Revisar las políticas de contraseñas

Las organizaciones deben revisar sus políticas de contraseñas, aplicar contraseñas solo donde sea necesario y buscar reemplazar contraseñas con métodos de autenticación alternativos fáciles de usar, dijo.

Una vez que las organizaciones han eliminado algunas de las contraseñas, pueden empezar a ser un poco más realistas sobre el tipo de contraseñas que esperan que los empleados creen, en lugar de exigir contraseñas complejas y extremadamente largas que los empleados tendrán dificultades para recordar.

"Las organizaciones deben examinar si pueden encontrar maneras de sobrevivir con contraseñas más cortas y simples, y eliminar las cosas como cambios regulares de contraseñas, que en realidad ofrecen muy poca protección adicional y sin embargo son la perdición de la vida de muchas personas", dijo Emma W.

"Se trata principalmente de evaluar la realidad de cómo son las cosas porque muchos de los beneficios de la gestión de contraseñas tradicionales se asumen y no existen en la realidad, y debido a un fracaso para hacer frente a que estas suposiciones no son ciertas, las organizaciones están asumiendo un riesgo adicional".

Las organizaciones deben enfrentarse al hecho de que algunas de las viejas formas de trabajo son ineficaces en términos de seguridad, y pasar a prácticas que ofrecen seguridad real al tener en cuenta cómo funcionan las cosas, qué es lo que la gente necesita hacer y cómo pueden hacer eso de forma fácil, eficiente y segura, dijo.

Una de las maneras en que el NCSC está defendiendo este nuevo enfoque de la ciberseguridad es guardar sus principios en todas las guías que publica sobre temas clave de seguridad cibernética.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close