Mejorar las habilidades de ciberseguridad de toda la fuerza laboral debe ser una prioridad para la ciberresiliencia

La tecnología no es la única respuesta: un experto sugiere que mejorar la capacidad cibernética humana de la fuerza laboral de una empresa, además de que la tecnología de ciberseguridad ofrece una mejor oportunidad de estar seguro.

Imagen: iStock / vadimrysev

El riesgo resultante de un evento de ciberseguridad afecta a toda la organización. “Como tal, la fuerza laboral cibernética, los responsables de prevenir y responder a un ataque, ya no se limitan solo a ‘los geeks en el sótano'”, dijo James Hadley, CEO y fundador de Immersive Labs, en un intercambio de correo electrónico. “Hasta que no demos prioridad a las habilidades cibernéticas y la educación para la fuerza laboral en general, el panorama de amenazas seguirá superando a nosotros”.

Para ser más precisos, los ciberataques pueden tener un impacto financiero, reputacional, regulatorio, legal y técnico. “Esto va mucho más allá de asegurarse de que los empleados no hagan clic en un correo electrónico de phishing”, agregó Hadley. “Cuando el riesgo cibernético es omnipresente, las habilidades que van hacia la protección y la respuesta deben ser igualmente extensas”.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)

Cuando cada equipo está equipado con las habilidades de ciberseguridad relevantes para el rol de cada miembro del equipo, suceden cosas buenas. Por ejemplo:

  • El CISO se asegura de que toda la fuerza laboral esté lista para responder a un ciberataque.
  • Los equipos de comunicación y medios saben cómo manejar el impacto de una brecha en la reputación de una empresa.
  • Los equipos legales comprenden y asesoran sobre asuntos legales, como si se debe pagar un rescate en un ataque de ransomware.
  • Los equipos de respuesta a incidentes saben cómo identificar y resolver un problema de seguridad importante.

Hadley dijo que no se debe pasar por alto a los ejecutivos y miembros de la junta: “También necesitan adoptar una nueva mentalidad de ver las capacidades humanas como una parte más amplia de las estrategias de reducción de riesgos”.

Con toda la fuerza laboral involucrada y entendiendo cuáles son sus roles, la organización estará mucho mejor equipada para evitar y, cuando sea necesario, responder a las ciberamenazas. Hadley planteó un buen punto: “Unir mentes diversas y creativas es la respuesta para construir una fuerza laboral capacitada y capaz que pueda defenderse de los riesgos cibernéticos”.

VER: Glosario rápido: respuesta y mitigación de ataques de ciberseguridad (TechRepublic Premium)

Cómo construir una estrategia sólida de preparación cibernética

En ciberseguridad, muchos creen que la fuerza laboral es el eslabón débil y el culpable de la mayoría de los incidentes; Hadley sugirió algo diferente. Él cree que las capacidades humanas han sido infravaloradas y infrautilizadas. Estuvo de acuerdo en que la tecnología es vital, pero también lo son quienes la usan, y aquí es donde entra en juego la capacidad cibernética humana.

“Tener visibilidad de la capacidad cibernética humana en toda la organización es crucial para construir una estrategia sólida y profunda de preparación cibernética”, dijo Hadley. “A través de las pruebas continuas, el análisis y la optimización de las capacidades cibernéticas específicas de la función que abarcan toda la organización, los miembros de la organización pueden visualizar y maximizar la experiencia de la fuerza laboral para hacer frente a los riesgos en constante evolución”.

Determinación y formación de la capacidad cibernética

La mejor manera de mejorar la resiliencia de una fuerza laboral es medir las capacidades humanas y mejorarlas continuamente en línea con el riesgo de ciberseguridad. “Es más fácil decirlo que hacerlo”, dijo Hadley. “El desafío consiste en crear una imagen actualizada del conocimiento, las habilidades y el juicio de la fuerza laboral frente a los ataques, que cambian de un minuto a otro”.

Dicho esto, vale la pena el esfuerzo. Algunos ejemplos de conocimientos adquiridos:

  • Qué tan bien responderán los miembros de la junta a una cibercrisis.
  • Las capacidades de seguridad de un equipo de DevOps.
  • Donde las debilidades dejan a la organización expuesta digitalmente.
  • Dónde inyectar nuevas capacidades cibernéticas humanas.

Para obtener información actualizada, Hadley sugirió ejercicios de evaluación comparativa basados ​​en datos. “La forma más eficaz que hemos encontrado para medir la capacidad cibernética humana es a través de pruebas continuas y sencillas”, dijo. “Al dirigir a las personas a través de contenido práctico, simple y específico para roles y micro-simulacros basados ​​en amenazas emergentes, usted crea una base de datos de conocimiento, habilidades y juicio dentro de su organización”.

“No es diferente a la forma en que las organizaciones parchean la tecnología, pero en lugar de actualizar el software, son las personas”, dijo Hadley. Este enfoque:

  • Aumenta la competencia del departamento de ciberseguridad.
  • Apoya y justifica a los jefes de departamento.
  • Informa y tranquiliza a los ejecutivos de nivel C y miembros de la junta.
  • Permite un ciclo continuo de mejora.
  • Permite que las capacidades humanas se apliquen de manera más estratégica a una amenaza que cambia rápidamente.

No olvide capacitar a sus nuevos empleados

La ciberresiliencia de una organización se reduce al conocimiento, las habilidades y el juicio. Contratar talento alineado con estos pilares marca la diferencia entre una estrategia de ciberseguridad proactiva y reactiva.

Hadley cree que hay un sesgo inconsciente en la contratación. “Las certificaciones y la educación a menudo pueden ir en contra del proceso de contratación de talentos calificados al reforzar el sesgo hacia las personas que tienen los papeles correctos”, dijo. “Es posible que las mejores personas para el trabajo no sean las que tienen experiencia o experiencia en seguridad; solo necesitan demostrar que pueden hacer el trabajo al observar su capacidad cibernética”.

Por qué capacitar al personal es un buen método de ciberseguridad

El uso de herramientas de capacidad cibernética parece un buen enfoque para involucrar a toda la fuerza laboral de la organización. “Al priorizar a las personas y medir sus capacidades humanas, los responsables pueden analizar y evaluar la postura de seguridad general de una organización de una manera que incluya a su gente, no solo a su tecnología”, dijo Hadley. “Los CISO pueden justificar sus gastos y, lo que es más importante, los ejecutivos de alto nivel y los miembros de la junta estarán menos ansiosos, sabiendo que todos están preparados tanto como sea posible”.

Ver también

Leave a Comment