A menudo, los profesionales en seguridad de información interpretan el componente humano de TI como “error humano”, el eslabón más débil en el ámbito de seguridad de datos de una empresa. No hay que culparlos. En muchos casos, los incidentes de ciberseguridad se habilitan por errores humanos, intenciones maliciosas o ignorancia. Aquí te compartimos cómo desarrollar una política de seguridad de información centrada en el humano, de acuerdo con Isaac Kohen.
Empleos de Auditoría de Seguridad.
Seguridad de Información
De acuerdo con un estudio de IBM, la causa principal del 95% de las infracciones de ciberseguridad, es el error humano. Por lo tanto, tiene sentido que esta industria invierta cada vez más en tecnologías, estrategias y estándares que minimicen estos riesgos humanos. Es una de las principales razones por las que las tecnologías que ofrecen monitoreo de comportamiento, detección de amenazas internas y herramientas de prevención de pérdida de datos están diseñadas para reducir las amenazas de actores humanos tanto maliciosos como accidentales.
Sin embargo, desde el otro lado de la ecuación humana: los usuarios que debemos proteger. Los humanos no son solo recursos que puedes forzar para cumplir con las mejores prácticas de seguridad. Tenemos sentimientos, preocupaciones y necesidades, y una estrategia de seguridad efectiva deberá abordar estos elementos humanos.
Por ejemplo, si implementas una política de seguridad de contraseña segura sin abordar la tendencia humana a buscar conveniencia, las persona encontrarán una manera de evitar la regla. Lo escribirán en texto plano, lo guardarán en su navegador o comenzarán a repetir las mismas contraseñas en sitios no autorizados. Deberás proporcionarles una opción eficiente como SSO, depósito de claves u otra cosa para administrar sus contraseñas fácilmente.
Del mismo modo, consideremos el monitoreo en el lugar de trabajo. Muchas empresas utilizan estos servicios para mejorar la productividad y reducir las amenazas internas y las fugas de datos. Sin embargo, si ignoras el derecho a la privacidad de los empleados, correrás el riesgo de sufrir ramificaciones legales, sin mencionar las diferencias culturales, la pérdida de confianza y muchos otros problemas que superarán cualquier beneficio de seguridad que pueda lograr. En otras palabras, debes adoptar soluciones políticas que sean efectivas para no solo ofrecer seguridad funcional, sino que también permita inclusión.
Privacidad
En los últimos años, la privacidad de los datos se ha convertido en el tema de conversación entre los profesionales de la seguridad informática, debido a la introducción de GDPR, CCPA y otras leyes similares. Por un lado, debes proteger los datos de tus clientes, su propiedad intelectual y los secretos comerciales de amenazas internas o externas. Al mismo tiempo, tienes la obligación de mantener la privacidad de tus empleados. La solución es usar sistemas autónomos, tales como monitoreo de empleados, UEBA y sistemas DLP, para implementar la seguridad de información, pero hacerlo sin capturar inadvertidamente los datos personales de los empleados y exponerse a violaciones de la privacidad. Por ejemplo, suspende el monitoreo y el registro de pulsaciones de teclas cuando los usuarios visiten el sitio web de su banco o accedan a su cuenta de correo electrónico personal, utilicen funciones de anonimato o apagón inteligente para redactar PII / PFI / PHI u otros datos privados. Esto puede ser un poco complicado y requiere soluciones modernas que tengan tales capacidades.
Ética
Si bien la seguridad es algo bueno; sin embargo, también es un problema que puede poner a las empresas en un dilema ético. Después de todo, está protegiendo a su organización, clientes y empleados de un evento devastador de pérdida de datos. Sin embargo, es fácil que las motivaciones se confundan cuando se trabaja para proteger los datos del cliente.
El objetivo de la seguridad de los datos es ético, las medidas defensivas deben ser apropiadas. Encontrar el propósito para el monitoreo, la seguridad, establecer límites y protocolos de transparencia es clave para evitar trampas éticas.
Usabilidad
La seguridad no debe comprometer la usabilidad. En cambio, debería permitir la libertad y la creatividad. Afortunadamente, con la introducción del Machine Learning / IA, PNL, clasificaciones basadas en el contexto y otros desarrollos de software, las empresas pueden equilibrar la seguridad y la usabilidad. Sin embargo, aún necesitas pasar tiempo configurando esas soluciones o capacitándolas con datos suficientes para minimizar los errores.
Responsabilidad
La seguridad de información no solo es responsabilidad de los expertos en seguridad. Para tener éxito, las prioridades de seguridad de datos deben ser un esfuerzo colectivo que se extienda a todos los niveles de la empresa.
El problema es demasiado grande para que lo maneje un solo grupo. Para impulsar el compromiso masivo, es importante compartir la importancia de las mejores prácticas de privacidad de datos.
Organizaciones como RSA ya están pasando la voz. Nosotros podemos ayudar también. Siempre que tengamos oportunidad, podemos enseñar cómo evitar correos de phishing, detectar signos de ingeniería social, actuar en línea con responsabilidad, usar protecciones básicas e informar llamadas de spam, entre otras.