Neil Thacker, CISO para EMEA de Netskope 

En ocasiones, se ha argumentado que la seguridad de la información tradicional debería mantenerse fuera de la vista. La mayoría de los CISOs buscan una seguridad que sea invisible para el usuario final, que trabaje en segundo plano, sin interferir en el día a día ni obstaculizar los objetivos del negocio.  Aunque tiene mucho mérito eludir los controles de seguridad que impiden la productividad, para mí, esto no significa que la seguridad deba convertirse en invisible.

Cuando tenía siete años, como la mayoría de mis amigos, empecé a recibir una paga semanal. Por supuesto, ahora que tengo mis propios hijos, he podido comprobar que confiar dinero a un niño de tan corta edad no tiene sentido. Sin embargo, los padres (entre los cuales me incluyo) continuamos entregando parte de nuestro dinero a los hijos, con la convicción de que, en el mejor de los casos, servirá para llenar la casa de inútiles calcomanías o convertirse en V-bucks. Entonces, ¿por qué lo hacemos? Por lo general, buscamos enseñarles a administrar sus finanzas, por lo que, y buscando un paralelismo, podríamos considerar la “propina” o “paga” como un concepto análogo a las tácticas de seguridad empresarial.

Educando en seguridad

Efectivamente, cuando bloqueamos u ocultamos cada una de las (miles) de amenazas a las que se ve sometida una empresa a diario, no sólo estamos proyectando una falsa sensación de seguridad ante nuestros empleados, sino que, además, con el tiempo, daremos lugar a una mano de obra incapaz de identificar el riesgo y, por tanto, incompetente para regular sus propios comportamientos de cara a minimizar dicho riesgo.

Por el contrario, cuando entregamos unas cuantas monedas a nuestros hijos (hoy en día, tarjeta prepago infantil) estamos cultivando sus habilidades para gestionar sus finanzas, creando oportunidades para que se equivoquen dentro de un entorno seguro. De este modo, cuando en el futuro decidan abandonar nuestros cuidados, firmar contratos o hipotecas, disfrutarán de un entendimiento básico del riesgo financiero.

Cuando hablamos de seguridad, hay muchas maneras de imitar este enfoque, creando una mayor comprensión de las amenazas y de la responsabilidad personal del empleado en la toma de conciencia y acción.  He aquí tres modos sencillos.

1) Compartir los perfiles de riesgo

Cada vez es más común que los equipos de seguridad corporativos gestionen los perfiles de riesgo a nivel departamental o incluso de empleado. Esto es, ¿quién tiene acceso remoto a los datos confidenciales? ¿Quién necesita acceso no filtrado a redes sociales por su rol? ¿Quién requiere intervenciones recurrentes por parte de TI (ya sea manual o automática)? Sin embargo, estos equipos no destinan un tiempo precioso a compartir y a responder a las preguntas que los empleados puedan tener a este respecto. De este modo, si los trabajadores no son capaces de reconocer que un determinado comportamiento genera un riesgo, ¿cómo podemos esperar que mejore?

Compartir un perfil de riesgo, ya sea a nivel departamental o por las incorrectas decisiones que han motivado la introducción del riesgo, contribuirá a formar aún más a los miembros de la organización y hará que su próximo programa de concienciación sobre seguridad sea más tangible y relevante.

2) Captura y Liberación

Soy partidario de dejar pasar deliberadamente algunos intentos de phishing a la bandeja de entrada de los empleados. Y es que, aunque a primera vista, esto pueda parecer una locura (el 78% de la gente no hace clic en una sola campaña de phishing en todo el año, sin embargo, de media, el 4% de los objetivos de una campaña de phishing determinada sí pulsan sobre ella*), no lo es tanto; no bloquear el correo electrónico de origen no significa descuidar las otras herramientas disponibles para eliminar la amenaza real. De hecho, permitir que algunas amenazas relevantes se cuelen en nuestra red , mientras se bloquea el enlace/archivo, envuelve la URL e inserta un mensaje emergente para el usuario final, puede convertir una determinada amenaza en una oportunidad educativa  De hecho, si se hace de manera juiciosa, con el tiempo, los empleados aprenderán a conocer lo que hay que tener en cuenta y cómo comportarse. También abandonarán la idea errónea de que su organización (y ellos) nunca son un objetivo.

3) La captura del día

En casi todas las plantillas, independientemente de su tamaño, destacan una o más personas por encargarse regularmente de detectar/advertir las amenazas e intentos de ataque a los equipos de seguridad.  Aunque sería fácil ignorar estos esfuerzos (es raro que señalen algo que no hayamos descubierto ya), es mejor no hacerlo. Mostrar el valor de estos “campeones de la seguridad”, es una forma muy sencilla para concienciar al resto sobre la existencia de un cierto nivel de responsabilidad personal en la vigilancia.

*https://enterprise.verizon.com/resources/reports/DBIR_2018_Report_execsummary.pdf