Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La falta de conciencia de ciberseguridad está vinculada a los CIO

La extendida "ignorancia" de seguridad pronto podría cambiar, a medida que las llamadas por responsabilidad ejecutiva se hacen más fuertes.

Con todas las defensas arrojadas a la seguridad de la información, la mayoría de las organizaciones están a solo un clic de distancia de que un empleado descargue malware potencial y virus no detectados. Sin embargo, según una encuesta de CompTIA a profesionales de Recursos Humanos, solo un tercio de las organizaciones de los Estados Unidos requiere capacitación sobre conciencia de seguridad cibernética para los empleados. Y en más de la mitad de las empresas encuestadas, es el CIO o director de TI quien decide si se debe proporcionar capacitación obligatoria en seguridad. ¿Qué está pasando exactamente?

Se sospecha que spear phishing es el eje que inició el incidente de hacking de Sony Pictures Entertainment: probablemente un empleado abrió un correo electrónico dirigido e hizo clic en un enlace malicioso. Los hackers se quedaron en la red del estudio de cine sin ser detectados durante meses, según varios informes –incluido un informe detallado en la revista Vanity Fair– mapeando  la infraestructura y preparándose para mantener los datos de la empresa como "rehén". Los atacantes hicieron conocida su presencia a finales de noviembre con demandas vagas, y luego liberaron datos humillantes públicamente a lo largo de varios meses de agonía en una serie de ocho vertederos de información.

¿Cree que es inmune a este tipo de escenario? No es así, advierte Johannes Ullrich, CTO del Instituto SANS, quien encabeza el Internet Storm Center, en un artículo sobre ciberamenazas emergentes. Es probable que el ransomware Crypto, que ha demostrado ser lucrativo para los atacantes, apunte a más empresas en el próximo año.

Además de las estrategias preventivas, como la educación, los investigadores de seguridad, tales como el jefe científico de White Ops, Dan Kaminsky, están hablando de una detección y una respuesta más rápidas a las intrusiones de ingeniería social. Sally Johnson entrevistó a Kaminsky para su artículo sobre la dinámica de la ingeniería social y encontró un cambio en las estrategias de defensa hacia los mecanismos de protección centradas en datos.

La falta de conciencia de seguridad cibernética es cada vez menos aceptable. Además de las llamadas para que los accionistas responsabilicen a los altos ejecutivos por las costosas exposiciones de datos, tácticas similares se pueden emplear con proveedores externos. Las organizaciones deben exigir a los directores generales de los contratistas que firmen todos los acuerdos de nivel de servicio, le dijo Rebecca Herold a Marcus Ranum en una entrevista sobre  mejores prácticas de seguridad de datos y privacidad. Herold, director general de Privacy Professor, ha llevado a cabo numerosas encuestas para clientes que indican que los técnicos de TI de terceros que son responsables de hacer cumplir las medidas de seguridad del acuerdo de nivel de servicio no tienen idea de lo que realmente se ha prometido en los acuerdos respectivos.

Mientras las compañías siguen tirando el dinero en la seguridad de la información, muchas empresas podrían salirse con la suya con menos personal de seguridad si se centran en hacer lo básico bien. Al menos esa es la opinión sostenida por John Pescatore, director de tendencias emergentes del SANS, que siente que así son las cosas, a pesar de que trabaja para un instituto de  capacitación y certificación global en seguridad. El periodista de tecnología Alan Earls entrevistó a Pescatore, entre otros, para su visión en profundidad de las tendencias de contratación en ciberseguridad.

Así que, ¿cuál es el resultado final de todo esto? Poca o ninguna capacitación y estar desinformados ya no son excusas tolerables para las vulnerabilidades que exponen a las organizaciones, y los datos sensibles que son responsables de proteger contra las infracciones perjudiciales, incluso cuando la debilidad de seguridad se remonta a un tercero. Como Derek Bok, quien en dos ocasiones se desempeñó como presidente de la Universidad de Harvard, dijo una vez: Si usted piensa que la educación es cara, pruebe la ignorancia.

Este artículo se actualizó por última vez en mayo 2015

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close