Conciencia de seguridad es un término que la mayoría de los profesionales de la seguridad de la información están familiarizados, no así con cultura de seguridad .
«El entrenamiento de conciencia de seguridad se basa en una teoría del comportamiento que fue desmentida décadas atrás», dice Kai Roer, cofundador del lanzamiento de seguridad europeo CLTRe .
«La teoría económica racional dice, que si usted sabe la mejor acción a tomar cuando está dada una opción, usted hará siempre la opción mejor y racional. Pero por desgracia para la industria de la conciencia de seguridad, sus clientes y la industria de la seguridad en general, la mente humana no funciona racionalmente. Más importante aún, nuestra mente no se preocupa por tomar decisiones y resuelve ese «problema» al crear un gran número de patrones mentales que resultan en un comportamiento automático «.
La cultura de seguridad es un concepto más amplio, que abarca no sólo el conocimiento de la seguridad (conciencia), sino también las actitudes, las normas, el cumplimiento, los comportamientos, las responsabilidades y la comunicación.
«Los seres humanos no pueden sobrevivir solos, y nuestra biología ha evolucionado para automatizar muchas, si no la mayoría, de nuestras comunicaciones y acciones interpersonales. Al hacer que nuestros comportamientos sean interdependientes, podemos interiorizar las normas, las actitudes y el cumplimiento dentro de nuestra mente, en lugar de tener que gastar la energía vital del cerebro para averiguar cuál es la acción correcta para tomar en cualquier situación particular que involucra a otros. Efectivamente, la cultura es la manera de nuestra biología de reducir el riesgo y mejorar la seguridad para la especie humana «, explica Roer.
«La cultura de seguridad es crítica para la seguridad, así como la cultura es crucial para la sociedad humana. La cultura impulsa el cambio de comportamiento, y el cambio de comportamiento impulsa la cultura. Nuestro trabajo más importante, como profesionales de la seguridad de la información, es controlar la influencia de la cultura de seguridad y facilitar los cambios que requerimos para mantenernos dentro de los parámetros de riesgo de nuestra organización «.
La capacitación para la concientización de la seguridad funcionará, pero sólo si se combina con la capacitación de habilidades (piense «educación» más que «conciencia») y las políticas, y es apoyada por la tecnología. En otras palabras, debe crear una cultura de seguridad si desea cambiar el comportamiento de seguridad para mejorar y hacer que el cambio sea permanente.
COSAS QUE NECESITAS SABER
Al igual que cualquier cultura, la cultura de seguridad es susceptible a la influencia interna y externa. Puede ser formado o ser cambiado relativamente rápidamente, aunque eso no es generalmente el mejor acercamiento si queremos hacerlo sostenible. Una opción mucho mejor es un programa controlado que aplica buenas métricas que permiten comparaciones en el tiempo y que facilita el proceso al influir en las políticas, educar a la gente y aplicar la tecnología adecuada.
Otra cosa importante acerca de crear y / o cambiar la cultura de seguridad es que debemos adoptar un enfoque holístico.
La seguridad es un asunto complejo: la tecnología, las personas y las políticas forman parte de él y, según la experiencia de Roer, uno no puede cambiar uno de estos sin que los otros dos también terminen cambiando.
«Cuando el teléfono inteligente fue introducido hace diez años, cambió la forma en que la gente interactuaba con la información, entre sí y con la tecnología. Las compañías trataron de luchar contra el nuevo paradigma agregando políticas para prohibir el uso de esa tecnología, pero la gente todavía seguía trayendo teléfonos inteligentes a trabajar y usarlos, obligando a las empresas a cambiar su enfoque «, ilustra este punto.
«BYOD nació no de los empleadores que quieren ahorrar dinero, sino de la comprensión de que las políticas por sí solas no son suficientes para hacer frente a la nueva tecnología. BYOD significaba entender la nueva tecnología y su impacto en los negocios, adoptando controles técnicos como IAM y alejándonos del paradigma de nuestra premisa / red al paradigma «siempre conectado».
Aquí está otro ejemplo: no se puede esperar que el entrenamiento actual anti-phishing funcione si la compañía no usa la tecnología para reducir la probabilidad de que los ataques de phishing alcancen el objetivo y no lo combine con procedimientos para ayudar a los comprometidos rápidamente y afirmativamente.
«Los problemas de seguridad no pueden resolverse con la compra de tecnología, la adición de una nueva política o la creación de un programa de sensibilización sobre la seguridad. Necesitamos que los tres pilares trabajen juntos para apoyarse mutuamente», subraya.
UN BUEN LUGAR PARA COMENZAR
La mayor frustración de Roer con la industria de la seguridad de la información es que sigue azotando a los caballos muertos. Su misión declarada es mejorar la forma en que hacemos la seguridad, incluso si esto significa luchar contra modelos antiguos y desgarrarse en preconceptos ampliamente aceptados. Y uno de ellos es que el cambio cultural es casi imposible de medir y extremadamente difícil de lograr.
Pero ninguna de esas cosas es verdadera.
«En 2017, sabemos mucho sobre cómo cambiar las culturas. La investigación en el campo de la psicología demuestra que creamos e internalizamos normas basadas en los comportamientos que tenemos, lo que significa que si podemos capacitar a la gente para hacer las cosas que queremos, interiorizarán ese comportamiento y crearán normas sociales que lo apoyen. Además, el cambio cultural puede ser observado, experimentado y comparado «.
Aquí es donde su empresa, CLTRe, puede ayudar: su oferta de SaaS se ha creado para medir la cultura de seguridad en toda la organización, desde el empleado individual, a través de equipos y departamentos a las unidades de negocio, y para ayudar a las organizaciones a modificarlo.
«Con base en los datos que recopilamos en una serie de industrias, proporcionamos a nuestros clientes benchmarks industriales e investigación académica, ayudando a nuestra industria a entender mejor qué acciones son eficaces, dónde esperar mejoras y compararlas con otras compañías del mismo sector industrial, » el explica.
«Nuestros clientes tienen acceso a un tablero operativo que muestra detalles de su organización que permite ajustar sus programas de cultura de seguridad, demostrando la eficacia de sus inversiones en toda su organización».
FUENTE: https://www.helpnetsecurity.com/2017/08/14/enterprise-security-culture/