Las organizaciones modernas están invirtiendo cada vez más en herramientas para aumentar la agilidad, apoyar a los equipos y capitalizar la mayor flexibilidad que les brinda la tecnología. Sin embargo, no son suficientes los que están invirtiendo en la seguridad y la educación que se requieren para aprovechar al máximo estas tecnologías sin poner en riesgo sus activos de información organizacional o los de sus socios de la cadena de suministro, hacia arriba y hacia abajo.
Siempre me ha decepcionado que, cada vez que he hablado sobre el riesgo que representa la tecnología para los negocios, se ha asumido que, por definición, me opongo a la tecnología; nada más lejos de la verdad. Sin embargo, creo que no hay manera de abdicar la responsabilidad de la organización cuando se trata de cuestiones de seguridad o protección de datos a la tecnología.
La experiencia me ha enseñado que cuando las organizaciones recurren a la tecnología para resolver una variedad de problemas, como deberían hacerlo, no canalizan ni cerca de suficientes recursos para protegerse de consecuencias no deseadas, o de los usuarios mal informados de esta tecnología, en muchos casos. ni siquiera capacitar a los usuarios sobre el uso básico de la misma, y mucho menos el uso seguro de la misma.
Ahora que hemos desarrollado más y más tecnología que nos permite conectarnos de manera más fácil y sencilla, las amenazas de las que hablo se han adaptado rápidamente y se han aprovechado de ella. Con demasiada frecuencia, se requiere una respuesta reactiva, con organizaciones que realizan ingeniería inversa en la mitigación de riesgos una vez que los riesgos se hacen evidentes y, a menudo, después de que se han producido filtraciones de datos.
Si observamos los últimos datos disponibles de la Oficina del Comisionado de Información (ICO), podemos ver que casi las tres cuartas partes de las infracciones en el tercer trimestre de 2021 fueron causadas por incidentes no cibernéticos, como enviar un correo electrónico a la persona equivocada. . Del 25 % restante, las cinco causas principales incluyen phishing (sin sorpresas), ransomware (una vez más, no es una sorpresa) y mala configuración de software o hardware. Esto habla de implementaciones apresuradas, políticas generales y cambios en los entornos y herramientas de trabajo. En resumen, la falta de una sólida gestión de riesgos.
Sabemos que la violación de terceros ha estado acaparando los titulares durante los últimos años. Esto no solo no muestra signos de cambio, sino que, a medida que continuamos trabajando en estilos remotos e híbridos, los resultados de una implementación de tecnología deficiente y una gestión de riesgos de seguridad deficiente potencialmente ponen a más organizaciones en riesgo entre sí. Y sabemos muy bien cuán rápido se explotan los vínculos entre los socios de la cadena de suministro en estos días.
En otras palabras, hay mucho más en juego que la propia organización ahora cuando se trata de seguridad deficiente. Alrededor del 51 % de las organizaciones han sido violadas debido a un tercero en los últimos 12 meses y el 75 % de eso se debió a que esos terceros tenían demasiado acceso privilegiado.
Las organizaciones deben estar mucho más unidas y su gestión de riesgos debe estar mucho mejor informada. Muy pocas evaluaciones de riesgos comienzan con una evaluación de amenazas detallada y bien informada, lo que significa que el tratamiento de riesgos a menudo es defectuoso.
Suponiendo que se haya llevado a cabo una evaluación de riesgos eficaz y bien informada para cada área de negocio en la que se esté considerando una nueva plataforma o tecnología, entonces se debe identificar la forma en que cada equipo o área necesita usar esta herramienta, definida por el negocio y una vez acordado y facilitado por seguridad.
“Muy pocas evaluaciones de riesgos comienzan con una evaluación de amenazas detallada y bien informada, lo que significa que el tratamiento de riesgos a menudo es defectuoso”
Mike Gillespie, Advent IM
Garantizar que la experiencia y la capacidad de los usuarios se equilibren con la necesidad de seguridad y luego se vinculen al nivel de seguridad significa que no habrá necesidad de que los usuarios eviten medidas de seguridad demasiado estrictas que les impidan usarla como lo necesitan para su función. Será apropiado y proporcionado a su función y no un nivel de seguridad general para todos.
Garantizar que los equipos de seguridad de TI sean consultados como parte de cualquier adquisición y posterior implementación es vital. También deben ser parte de la educación y capacitación que debe ocurrir como parte de la orientación del usuario.
Las personas, sus comportamientos, actitudes y creencias, son fundamentales para lograr una buena seguridad. Como tal, la educación tecnológica es solo una parte de la solución, y las organizaciones deberían movilizar a sus verdaderos expertos para ayudar con una educación, conciencia y capacitación más amplias: las personas de comunicaciones, marketing y relaciones públicas tienden a comprender mucho mejor qué motiva a las personas y qué es probable que tenga éxito en el cambio de comportamiento, así que utilícelos.
Cuando sea apropiado y factible, ¿se segregan las redes con diferentes necesidades de seguridad o diferentes niveles de sensibilidad? Si ocurriera lo peor y un mal actor se infiltrara en su red, ¿podría moverse con facilidad y rapidez a través de ella? Asegurarse de que las áreas estén segregadas significa que esto será más difícil y podrá aplicar capas de seguridad de manera más adecuada en las áreas sensibles y alrededor de aquellos que tienen acceso privilegiado a los activos.
Nada prepara mejor a una organización que una buena inteligencia. Dado que la mayoría de nuestras infracciones provienen del interior, o al menos se facilitan desde el interior, entonces, ¿por qué gran parte de nuestro análisis del horizonte y la recopilación de inteligencia se centran en el exterior?
Los informes de buena calidad, sin culpas, de cuasi accidentes son invaluables como herramienta de inteligencia. Le permitirá identificar alertas tempranas e indicadores de cambios sutiles de comportamiento, desviaciones de la política o prácticas de seguridad laxas que vuelven a aparecer, y permitirá que la educación sea el objetivo para cortarlo de raíz.
Al final del día, puede llamarlo seguridad de la información, garantía de la información o seguridad cibernética. Lo que te venga bien. Pero como sea que lo llames, nunca, nunca te olvides de la gente, la gente.
