No sea el enlace más débil: Formación de su personal
A principios del año pasado, International Data Corporation (IDC) predijo que el gasto en seguridad alcanzaría los 81.7000 millones de dólares en 2017, un aumento del 8.2 % desde los 2016. Este aumento lo impulsan las empresas, desde la lista Fortune 50 hasta las pequeñas empresas, a medida que continúan buscando una “bala plateada”. La economía produce docenas de nuevos proveedores de seguridad cada mes que prometen resolver todos nuestros problemas. Sin embargo, según un informe de 2017 Verizon, el 43 % de los usuarios sigue cayendo en ataques de ingeniería social simples y el 81 % de los usuarios sigue utilizando contraseñas débiles o recuperadas.
Cuando la gente me plantea preguntas sobre esta tendencia, mi consejo siempre es el mismo: Todos nos centramos en las cosas equivocadas. Si nos fijamos en el cambio fundamental en el paradigma de la seguridad en los últimos cinco años, no podemos ignorar el hecho de que los límites de la red tradicional se eliminan, mientras que la confianza inherente de las redes sociales impulsa muchas de nuestras decisiones. La protección ya no funciona, por lo que cambiamos a detección y respuesta. Cada uno de nosotros lleva al menos un ordenador en el bolsillo que es tan potente como nuestro ordenador de sobremesa hace cinco años, y siempre está encendido y siempre conectado.
http://blog.stewart.com/stewart/wp-content/uploads/sites/11/2018/01/Genady-infographic.png
La tecnología y la protección son necesarias, pero debemos centrarnos en lo que más importa: El eslabón más débil. Nuestro deber como profesionales de la seguridad es centrarnos en la educación y la concienciación continuas de los usuarios, pero debemos tener cuidado con el enfoque que adoptamos. Cuando cree un programa de concienciación sobre seguridad, tenga en cuenta lo siguiente:
- Hágalo relevante. Haz que resuene en tu público. Dé ejemplos de la vida real del trabajo o de la experiencia personal para mostrar por qué su mensaje tiene o no sentido.
- Elogios y recompensas. Utilice un refuerzo positivo. Tome cinco de cada cien personas que hicieron clic en un correo electrónico de phishing e informe de que “teníamos una tasa de resiliencia del 95 %”, en lugar de “teníamos una tasa de fallos del 5 %”.
- Realice pruebas, entrene y vuelva a realizar pruebas. La coherencia es importante. Utilice los resultados del ejercicio de entrenamiento para ajustar su programa.
- Formación justo a tiempo. La capacitación inmediata es la mejor manera de modificar el comportamiento. Corrija los errores tan pronto como los usuarios los cometan.
- Sea creativo. Los TCC son aburridos. Involucra a tu público. Si utiliza PowerPoint, hágalo dinámico. Hay muchos vídeos cortos disponibles en YouTube de forma gratuita.
Y, lo que es más importante, mientras nos embarcamos en 2018, ¡recuerde centrarse en el eslabón más débil!