Los controles de seguridad estrictos protegerán su organización, pero también pueden obstaculizar o molestar a los usuarios. He aquí cómo caminar la línea entre la seguridad y la accesibilidad del usuario.
5 razones por las que sus empleados son una amenaza para la seguridad de su empresaLas últimas investigaciones indican que los empleados son responsables de un gran porcentaje de los incidentes de ciberseguridad. He aquí cinco formas en las que están creando vulnerabilidades.
La aplicación de los principios de ciberseguridad dentro de una organización es de vital importancia. Sin embargo, puede ser un arma de doble filo dependiendo de cómo se proceda. Si sus controles son demasiado restrictivos y punitivos, sus usuarios se resentirán de saltar a través de los aros, o incluso pueden buscar formas de eludir esos controles.
Más información sobre ciberseguridad
Por otro lado, si sus políticas son demasiado indulgentes, corre el riesgo de exponer el negocio a daños y poner en peligro su empresa y sus datos confidenciales (y quizás su propia carrera.
A continuación encontrará algunos consejos de primera mano sobre cómo puede trabajar en colaboración con sus usuarios para crear procedimientos de seguridad adecuados sin interferir con su trabajo, o peor aún, haciéndoles sentir como delincuentes.
VER: Política de seguridad física de TI (Tech Pro Research)
Lista de tareas
- Establezca y publique políticas de seguridad claras y concisas para que los usuarios las sigan. Tech Pro Research ofrece varios ejemplos de seguridad de la información, seguridad de las redes, informes de incidentes de seguridad de la información y computación de dispositivos móviles.
- Proporcionar incentivos positivos para comprender y cooperar con estas políticas. Los ejemplos pueden incluir reconocimiento, premios, o almuerzo/bocadillos/helado.
- Explique qué amenazas existen y cómo usar medidas de sentido común para evitarlas.
- Explique por qué existen restricciones o controles específicos y qué espera lograr con tales requisitos.
- Implemente un sofisticado monitoreo tecnológico y alertas para notificarle a usted o a su equipo de ciberseguridad de intentos de acceso inapropiados, transmisión no autorizada de datos confidenciales, uso de aplicaciones prohibidas y otras amenazas a la seguridad.
- Formule un plan de respuesta a incidentes y asegúrese de cubrir a los empleados y ubicaciones internas y remotas.
- Dé segundas oportunidades (cuando sea apropiado; obviamente un segundo intento de robar deliberadamente información confidencial estaría fuera de discusión) y sea flexible.
- Proporcione información de contacto del equipo de ciberseguridad las 24 horas del día, los 7 días de la semana, y anime a los usuarios a que se pongan en contacto con ellos en caso de cualquier problema o pregunta.
- Recuerde a los empleados que el equipo de ciberseguridad está ahí para protegerlos a ellos y a la empresa, y que debe ser visto como un aliado estratégico y no como un agente del orden.
Lista de lo que no se debe hacer
- No castigue a los empleados por ignorancia. La educación de los usuarios es responsabilidad del equipo de ciberseguridad.
- No «acechar» a los empleados apareciendo inesperadamente para preguntarles «¿Qué estás haciendo o por qué estás haciendo eso?
- No bombardee a los usuarios con notificaciones o correos electrónicos constantes, que eventualmente ignorarán o no tomarán en serio.
- No imponga medidas draconianas, que requieren una cantidad excesiva de aros para el cumplimiento del usuario.
- No bloquee los sistemas, las aplicaciones o el acceso a la Web hasta el punto de que los empleados no puedan realizar su trabajo de manera eficaz.
- No implemente mecanismos a medias o poco fiables, que no proporcionarán a los usuarios el acceso que necesitan. Por ejemplo, un entorno de autenticación de dos factores que se niega a aceptar respuestas válidas a las preguntas de seguridad.
Mejores prácticas para las empresas
VER: Política de sensibilización y formación en materia de seguridad (Tech Pro Research)
Hablé con Keith Graham, Director de Tecnología de SecureAuth + Core Security sobre el tema y para buscar algunos ejemplos concretos de buena ciberseguridad.
Graham dijo que el mejor enfoque para ofrecer seguridad junto con funcionalidad es simplificar en la medida de lo posible. «No haga que los usuarios se adhieran a un proceso complejo de restablecimiento de contraseñas o les exija que proporcionen un segundo factor cuando no hay razón para ello (es decir, cuando no existe ningún riesgo)», dijo. «Esto causa frustración a los usuarios y un impacto en la productividad, así como en el coste para la empresa con llamadas al servicio de asistencia de TI.
Graham recomendó el uso de técnicas modernas que encajen en el negocio y que combinen identidad y seguridad. Enfoques como el control de acceso adaptativo permiten a las organizaciones proteger, descubrir y responder más rápidamente al uso indebido de credenciales.
Discutimos las mejores prácticas para que las empresas animen a los usuarios a seguir las pautas de seguridad sin sentir que están siendo penalizados, y Graham reiteró que la inversión en educación y la formación del personal, anticipando posibles interrupciones en las rutinas diarias de los empleados, y los temores de fallos del sistema deben abordarse para que los usuarios, como los empleados y los socios, sigan las pautas de seguridad.
«Los empleados deben ser conscientes de los beneficios desde el principio», dijo. Con el control de acceso adaptable, la mayoría celebrará la experiencia optimizada, menos procesos de inicio de sesión por día, sin testigos y con un tiempo de inactividad reducido debido a la necesidad de esperar a que se restablezcan varias contraseñas o de ponerse en contacto con el departamento de soporte de TI».
«Esto, junto con una estrategia integral de despliegue por parte de la empresa, debería garantizar que los empleados estén a bordo y participen desde el principio».
VER: Investigación sobre estrategias de ciberseguridad: Tácticas comunes, problemas de implementación y efectividad (Tech Pro Research)
A continuación, abordamos cómo reducir la frustración con prácticas de seguridad onerosas (es decir, autenticación de dos factores, preguntas de seguridad, etc.. Según la experiencia de Graham, el mejor método para maximizar la seguridad mientras se reduce la fricción es analizar el riesgo en el punto de autenticación del usuario sin obstaculizar la experiencia del usuario. Estos métodos incluyen: análisis de ubicación geográfica, reconocimiento de dispositivos, servicios de amenazas basados en direcciones IP y prevención del fraude telefónico. Éstos pueden hacer que la seguridad sea transparente al validar a los usuarios auténticos y bloquear a los atacantes que intentan utilizar credenciales comprometidas.
Para terminar, Graham recomendó priorizar las soluciones de seguridad más flexibles y con mayor potencial en lugar de confiar en soluciones rápidas.
«Elija soluciones fáciles de integrar que maximicen las inversiones en seguridad existentes de un proveedor que pueda ser un socio tanto en seguridad como en cumplimiento de normativas. Sólo entonces logrará una visión precisa y holística de todas las amenazas de seguridad y ahorrará un esfuerzo considerable en las auditorías de cumplimiento. El cumplimiento y la seguridad no deben ser considerados como lo mismo», concluyó.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
La razón por la que la ciberseguridad debe integrarse desde el principio en las iniciativas de IOIoT aumenta el riesgo de ataques cibernéticos. Esto es lo que las empresas deben hacer para mantenerse seguras, según John Wechsler, fundador del Indiana IoT Lab.