Si bien los líderes cibernéticos creen abrumadoramente que sus organizaciones tienen una sólida cultura de seguridad, las nuevas cifras compiladas por el especialista en seguridad de correo electrónico Tessian han revelado que se están engañando a sí mismos, exponiendo una desconexión alarmante entre los profesionales de seguridad y el resto del negocio.
Dado que las tres cuartas partes de las organizaciones del Reino Unido y los EE. UU. experimentaron algún tipo de incidente cibernético en el último año, una proporción significativa de empleados parece considerar los ejercicios de capacitación como algo que se debe soportar, en lugar de comprometerse.
El informe, Cómo las culturas de seguridad afectan el comportamiento de los empleadosdescubrió que mientras el 85 % de los empleados participa en programas de formación o concienciación sobre seguridad, el 64 % no presta toda su atención y el 36 % considera que la formación en seguridad de su organización es aburrida.
En general, el informe encontró un consenso general entre los líderes de seguridad sobre lo que implica crear una cultura de seguridad sólida, pero como los volúmenes de incidentes siguen siendo obstinadamente altos, Tessian dijo que estaba claro que los que estaban en la cima tenían mucho más trabajo por hacer.
“Todos en una organización deben comprender cómo su trabajo ayuda a mantener seguros a sus compañeros de trabajo y a la empresa”, dijo Kim Burton, directora de confianza y cumplimiento de Tessian. “Para lograr que las personas se comprometan mejor con las necesidades de seguridad del negocio, la educación debe ser específica y procesable para el trabajo de un individuo.
“Es responsabilidad del equipo de seguridad crear una cultura de empatía y cuidado, y deben respaldar su educación con herramientas y procedimientos que faciliten la integración de prácticas seguras en los flujos de trabajo cotidianos de las personas.
“Las prácticas seguras deben verse como parte de la productividad. Cuando las personas pueden confiar en que los equipos de seguridad tienen en mente lo mejor para ellos, pueden crear verdaderas asociaciones que fortalecen la cultura de seguridad”.
El informe mostró cómo los ejercicios de capacitación, que en muchas empresas consisten en poco más que presentaciones de PowerPoint “hechas en casa” elaboradas por expertos legales y de cumplimiento que no tienen una comprensión real de cómo las personas interactúan con los materiales educativos, no logran impactar a los empleados en general. .
Por ejemplo, el 30 % de los encuestados dijo que no creía que tuviera un papel personal que desempeñar para mantener la seguridad de su empresa, mientras que el 45 % no sabía cómo o a quién informar un incidente de seguridad, y solo uno de cada tres dijo estaban satisfechos con las comunicaciones de su equipo de TI o de seguridad.
Mientras tanto, más de la mitad de los encuestados dijeron que no vieron nada intrínsecamente riesgoso en acciones como descargar aplicaciones a dispositivos de trabajo, enviar datos confidenciales a sus propias cuentas de correo electrónico personales, compartir contraseñas internamente o conectarse a redes Wi-Fi abiertas o públicas en dispositivos de trabajo.
E incluso cuando se trataba de acciones claramente arriesgadas, como hacer clic en enlaces en correos electrónicos de fuentes desconocidas o abrir archivos adjuntos no solicitados, dejar los dispositivos de trabajo desbloqueados y desatendidos y reutilizar contraseñas, más del 40 % de los encuestados dijeron que no veían ningún problema.
Deja de asustar a la gente
Una gran fuente de desconexión parecía ser una tendencia entre los líderes a utilizar la formación en seguridad para difundir el miedo y la incertidumbre como motivador.
Por ejemplo, la mitad de los encuestados en el estudio de Tessian afirmaron haber tenido una “experiencia negativa” con una simulación de phishing, como lo demuestra la historia de 2021 de una prueba de phishing en West Midlands Trains que resultó desastrosamente mal.
La prueba parecía ser un correo electrónico del liderazgo de la empresa que detallaba un bono de agradecimiento para los empleados que habían trabajado durante la pandemia, y muchas personas hicieron clic en el enlace, solo para encontrarse con que se les enfadaba por no estar lo suficientemente conscientes de la seguridad. Los funcionarios sindicales describieron el truco como “grosero y reprobable”.
Según Karen Renaud, canciller de la Universidad de Strathclyde, y Marc Dupuis, profesor asistente de la Universidad de Washington Bothell, tales tácticas pueden “paralizar la toma de decisiones de los empleados, los procesos de pensamiento creativo y la velocidad y agilidad que las empresas necesitan para operar”. en el mundo exigente de hoy”.
Tessian dijo que había varias cosas que los líderes de seguridad deberían hacer para involucrar mejor a los empleados con los procedimientos de seguridad cibernética.
Por ejemplo, los líderes de seguridad deben desempeñar un papel más activo en los puntos de contacto clave durante el “viaje” de un empleado con la organización, como la incorporación, los cambios de función o de oficina y la baja. Tessian dijo que la incorporación de nuevos empleados representa una gran oportunidad para capturar la imaginación de las personas antes de que se vuelvan cínicas y hastiadas, mientras que los procesos de desvinculación más reflexivos y completos pueden ayudar a prevenir la pérdida de datos críticos cuando alguien se va.
Otra cosa que todo líder de seguridad debería hacer de forma rutinaria es establecer líneas de comunicación claras y regulares en toda la organización, prestando mucha atención a la cantidad de información que comparten, de quién proviene, a través de qué canales y con qué frecuencia.
Tessian ofreció cuatro consejos clave sobre cómo hacer esto de manera efectiva:
- Elimine la jerga, los términos técnicos y los acrónimos, y proporcione solo la información que “necesita saber”.
- Adapte las comunicaciones a personas, equipos y departamentos específicos. Alguien en marketing, por ejemplo, no tendrá las mismas preocupaciones ni verá las mismas amenazas que alguien en recursos humanos.
- Identifique a una persona para entregar actualizaciones y ser un punto de contacto constante para todos.
- Desarrolle un formato y una cadencia coherentes para las comunicaciones de seguridad.
Finalmente, dijo, existen soluciones tecnológicas que, implementadas con sensatez, pueden ayudar a establecer la “autoeficacia” cibernética dentro de la organización.
El informe de Tessian se compiló con datos recopilados por OnePoll, que encuestó a 500 líderes de seguridad de TI y 2000 profesionales en activo en el Reino Unido y los EE. UU.
