BLOG

Haciendo que la seguridad sea atractiva: Mes Nacional de Concientización sobre la Ciberseguridad 2020

Miniatura F5
F5
Publicado el 1 de octubre de 2020

A lo largo de octubre, F5 compartirá información sobre ciberseguridad en Twitter , LinkedIn , Facebook e Instagram .

El Mes Nacional de Concientización sobre la Ciberseguridad está en su 17 ° año. Durante casi 20 años, la Agencia de Seguridad Cibernética y de Infraestructura (CISA) ha dedicado cada octubre a contarles a los estadounidenses cómo estar más seguros en línea. En todo este tiempo, ¿ha cambiado algo?

Bueno, sí y no. El riesgo de seguridad de la información no ha cambiado fundamentalmente: las organizaciones enfrentan hoy las mismas amenazas que siempre. Lo que ha cambiado son sus estrategias de gestión de riesgos y sus opiniones sobre lo que constituye un riesgo aceptable. Cuando se trata de ciberseguridad, los datos muestran que no estamos llegando a los usuarios ni a los profesionales con los mensajes que el Mes Nacional de Concientización sobre Ciberseguridad se dedica a difundir. Como dije en mi reciente discurso de apertura en el Securityweek CISO Forum, tenemos un problema de relaciones públicas: necesitamos hacer que la seguridad sea interesante .

La crisis de la priorización

Los tecnólogos en seguridad han pasado años concentrándose más en los controles que en el problema. El resultado es lo que un artículo reciente de USENIX llamó “una crisis de priorización del asesoramiento”.  En Una evaluación integral de la calidad de los consejos de seguridad y privacidad en la Web , los autores compartieron que los expertos identifican 118 prácticas de ciberseguridad como unas de las "5 cosas principales" que los usuarios deberían hacer, lo que deja a los usuarios finales bastante solos para priorizar esos comportamientos y tomar medidas para protegerse.

El resultado de esta crisis es una seguridad ineficaz. Hemos pedido a los usuarios durante décadas que nunca utilicen la misma contraseña para el acceso a la empresa y al acceso no comercial, pero las investigaciones muestran que el 94 % de las contraseñas reutilizadas coinciden exactamente. Hemos realizado sesiones de capacitación sobre concientización sobre seguridad para decirles que no hagan clic en enlaces en correos electrónicos de fuentes no verificadas a fuentes no verificadas, pero los ataques de phishing mantienen una tasa de éxito del 33-11%.

No son sólo los usuarios finales los que sufren este enfoque. La industria tecnológica está innovando a un ritmo increíble hoy en día, pero las organizaciones no están evolucionando en cómo implementar esa tecnología desde el punto de vista de la seguridad. Las mayores innovaciones tecnológicas de la última década (IoT, nube, API) han revolucionado el modo en que operan las empresas y, en gran medida, se implementan sin controles de seguridad básicos. Los dispositivos IoT se pueden proteger. Las API se pueden proteger. La nube se puede proteger.  Sin embargo, la lista de organizaciones que no lo hacen incluye compañías Fortune 50, agencias de tres letras y compañías tecnológicas sofisticadas con los mejores equipos de seguridad que el dinero puede comprar.

Hoy en día, lo “cool” consiste en moverse rápido y romper cosas.  La seguridad no es cool Se interpone en el camino. No es fácil. No coincide con nuestra forma de innovar.

La competencia

¿Sabes qué es “cool”? Seco. Muchos de nosotros en la industria tenemos la edad suficiente para recordar cuando hackear era nuestra palabra, algo que se hacía para innovar y evolucionar. Ahora los cibercriminales y atacantes han tomado esa palabra, y el espíritu que hay detrás de ella, como propios. Se comunican. Ellos comparten. Hacen que sus bots sean de código abierto. Se adaptan y reaccionan a las nuevas oportunidades del mercado con agilidad y rapidez. Estos piratas informáticos maliciosos están entrenando a niños de 13 años para construir bots, mientras que el hijo de secundaria de mi vecino no tiene idea de que la seguridad de la información es siquiera una carrera profesional, y mucho menos algo por lo que podría obtener una beca completa. 

Entonces, si los malos pueden usar armas y compartirlas rápidamente, ¿por qué nosotros no podemos? ¿Por qué el campo de la ciberseguridad dedica tanto tiempo, dinero y esfuerzo a inventar nuevas formas de NO crecer?

Tres hechos

Como profesionales de la seguridad, debemos afrontar algunos hechos. Lo primero que tenemos es un problema de diseño de control. Los controles fundamentales no han evolucionado en décadas a pesar de los continuos fallos. Literalmente seguimos haciendo las mismas cosas de la misma manera esperando un resultado diferente. Y cuando los controles de seguridad son demasiado duros, interfieren o toman demasiado tiempo, la gente encuentra formas de evadirlos. 

Además, debemos esforzarnos más en crear conciencia sobre lo que implica este trabajo y el valor de la seguridad fuera de nuestro campo. Claro, los proveedores de seguridad son excelentes en comercializar productos de seguridad para la gente de seguridad; pero hemos hecho poco para educar a otras especialidades de TI, o a otros empleados, sobre la necesidad y el valor de la seguridad. (¿Y podemos hablar de la calidad de la mayoría de las formaciones sobre concienciación en seguridad? Es difícil culpar a los empleados por hacer clic en él lo más rápido posible, aun cuando seguirán fascinados durante su centésima visualización de Matrix .)

Luego está el hecho de que nuestras barreras de entrada son demasiado altas. Todos los días veo hilos en línea de personas talentosas en seguridad que no pueden conseguir trabajo porque no tienen una certificación específica, no son expertos en un firewall específico o no tienen los 15 años de experiencia requeridos con un producto que quizás no haya estado en el mercado durante tanto tiempo. Todos hablamos de los desafíos que supone encontrar talento, pero muy a menudo no lo dejamos entrar. La falta de conocimiento de nuestro campo, junto con las altas barreras de entrada y la falta de planes de estudio y graduados en ciberseguridad, garantiza desafíos para escalar y satisfacer las necesidades del negocio.

Cómo hacer que la seguridad sea atractiva

Tenemos todos los ingredientes para que la seguridad sea genial en 2020. Entonces ¿cómo lo hacemos? Voy a seguir mi propio consejo y resumirlo en los 3 mejores:

1.      Comparte más. A los atacantes les encanta compartir, y a nosotros también deberíamos hacerlo. Comparta sus historias divertidas y asombrosas con personas fuera de su círculo de colegas profesionales de seguridad, para que otros se interesen en lo que hacemos y su impacto. Comparta sus datos sobre ataques con cualquier persona que pueda beneficiarse. Compartir recursos organizacionales invirtiendo en programas STEM. Comparta su experiencia como voluntario para educar y capacitar a personas en ciberseguridad.

2.Acepta el cambio. Adopte nueva tecnología que se desplace a la izquierda, automatice y funcione a la velocidad de los atacantes. Abogar y evangelizar DevSecOps.

3.Comunicarse mejor. La capacitación sobre concientización sobre seguridad es una oportunidad de oro para interactuar con todos en su empresa sobre ciberseguridad de manera positiva. ¡No dejes que se desperdicie! Asegúrese de que la capacitación sea relevante para sus vidas y lo que más les importa, utilizando un lenguaje e imágenes que resuenen con ellos. Concéntrese en ayudarlos a ganar, no en limitarlos.

La realidad es que la seguridad es genial. Si modernizamos nuestro enfoque, el mundo entero también lo sabrá.

Por Mary Gardner, directora de seguridad de la información (CISO) de F5