Las 10 fases de la conciencia de seguridad organizacional

 

Stu Sjouwerman

 

   

Después de 10 años de expansión continua en el espacio de la conciencia de seguridad y de proporcionar nuestra plataforma a decenas de miles de clientes, hemos observado un cierto progreso en la conciencia de seguridad organizacional a lo largo del tiempo. 

La velocidad de este progreso es diferente según el tamaño de la organización, la ubicación geográfica y la industria, pero vemos que este mismo patrón regresa una y otra vez. En ciertos casos, se omiten algunos pasos. En otros casos, se toman algunos pasos al mismo tiempo. Sin embargo, en última instancia, la mayoría de las organizaciones ven el mismo escenario ideal. Repasemos estas 10 fases y podrá determinar dónde se encuentra en su propia organización en este proceso.

1) Mayor conocimiento técnico para Infosec y profesionales de TI

Infosec y los profesionales de TI sienten el dolor primero. Las estaciones de trabajo infectadas y los ataques de ransomware los mantienen a la defensiva y atrasados. Muchos de estos profesionales ven la necesidad de concienciar sobre la seguridad, pero a veces se han desanimado por la práctica inviable de la vieja escuela de guiar a los usuarios a través de 15 minutos de capacitación basada en el cumplimiento. Muchos de estos profesionales comprenden los riesgos de depender únicamente de controles controlados por software. 

2) Entrega de contenido de concientización para usuarios finales

Aquí es donde los videos de capacitación de primera generación reemplazan las presentaciones de PowerPoint en la sala de descanso, que generalmente no son muy fáciles de rastrear, pero es un comienzo.

3) La automatización de la plataforma permite cumplir los requisitos

Automatizar el proceso de impartición de formación a través de un Sistema de Gestión de Aprendizaje (LMS) (interno o externo) para que los requisitos de cumplimiento sean más fáciles de cumplir. Esto depende mucho del tamaño de la organización; los más grandes tienen un LMS local o basado en la nube que se utiliza para fines de capacitación general.  

4) Prueba continua

Esta fase demuestra un cambio significativo hacia el modelo de 'Confianza cero' en el que el empleado después de la capacitación se evalúa con frecuencia para asegurarse de que el conocimiento adquirido se haya convertido en una habilidad que se aplique en la práctica y no desaparezca con el tiempo (úselo o piérdalo ).

5) Integraciones de pila de seguridad

En esta etapa, los " botones de alerta de suplantación de identidad " se implementan en el cliente de correo electrónico de los usuarios finales para que puedan informar cualquier correo electrónico de suplantación de identidad al equipo de respuesta a incidentes o al SOC, que luego puede tomar medidas.

6) Orquestación de seguridad

La siguiente fase es que estos correos electrónicos informados se integran en un flujo de trabajo de seguridad que evalúa rápidamente el nivel de riesgo y, en caso de que haya un ataque activo, puede acceder automáticamente a la bandeja de entrada de todos los usuarios y eliminar los mensajes maliciosos antes de que se produzcan más daños.

7) Gestión avanzada del comportamiento del usuario

Al tener métricas de riesgo detalladas tanto sobre usuarios individuales como sobre grupos, las organizaciones ahora pueden crear campañas personalizadas basadas en el comportamiento de riesgo observado. Un ejemplo es escanear la web oscura en busca de credenciales de organización violadas, uso de contraseñas incorrectas y enviar módulos de capacitación individuales a esos usuarios de alto riesgo.


8) Experiencia de aprendizaje adaptable

La siguiente fase es que el usuario final tenga una IU localizada donde vaya y pueda ver su puntaje de riesgo individual, obtener insignias y comenzar a participar en la experiencia de aprendizaje. Además, esta fase es cuando las métricas avanzadas permiten campañas impulsadas por inteligencia artificial en las que cada usuario recibe capacitación altamente individualizada en conciencia de seguridad.

9) Participación activa del usuario en la postura de seguridad

Aquí es donde el usuario se da cuenta de su papel en la defensa de su organización y elige activamente capacitación adicional para reducir su puntaje de riesgo. Participan en campañas de concientización, se convierten en defensores de la concientización local y comprenden que ellos mismos se han convertido en el punto final. 

10) El punto final humano como última línea de defensa sólida

El estado final en el que cada empleado es suficientemente consciente de los riesgos relacionados con la seguridad cibernética y toma decisiones de seguridad inteligentes todos los días, basándose en una comprensión clara de esos riesgos. El entorno actual de la FMH ha acelerado la necesidad de esto de manera significativa. 


¡Acercate a nosotros!


Más información




     

Comentarios

Publicar un comentario

Entradas populares de este blog

Estos son los problemas que está teniendo Meta con la filtración de datos personales de sus usuarios

Imagen
Por: Muy interesante Meta , la empresa antes conocida como  Facebook , está pidiendo ayuda para evitar que los  datos personales  de cientos de miles de sus usuarios sean extraídos de su plataforma y publicados en la web (generalmente en la  internet profunda  o deep web, y vendidos a cambio de  criptomonedas). El gigante de las redes anunció hace tan solo unos días que está expandiendo su programa de recompensas por errores, es decir, que ofrece recompensas a los usuarios que ayudan a identificar, reportar y  corregir vulnerabilidades  en sus aplicaciones, para llevar a cabo lo que se conoce como el raspado web, que es un proceso automatizado de extracción de grandes cantidades de datos de diferentes sitios web.       Problemas con la privacidad de los usuarios Sin embargo, incluso cuando los datos personales están disponibles públicamente online, como un nombre de usuario, potencialmente pueden ser explotados por hackers si se recaban junto con otra información personal como fechas d
Leer más

El fallo de seguridad de Log4j podría afectar a todo Internet: esto es lo que debes saber

Imagen
  Por: Muy Interesante Un  fallo de seguridad crítico  en el conocido, y amplia mente utilizado,  software Log4j  (una biblioteca de código abierto desarrollada en Java) ha provocado que los expertos en ciberseguridad hayan hecho saltar todas las alarmas y que las grandes empresas estén corriendo desesperadas para solucionar el problema. La vulnerabilidad, de la que se informó a finales de la semana pasada, se encuentra en un software basado en Java conocido como Log4j que las grandes organizaciones utilizan para configurar sus aplicaciones, y presenta una serie de  importantes riesgos potenciales  para gran parte de la comunidad de Internet.       Un fallo que compromete a todo Internet El servicio de computación en la nube de Apple, la firma de seguridad Cloudflare y uno de los videojuegos más populares del mundo, Minecraft, se encuentran entre los muchos servicios que ejecutan Log4j. Algunos expertos en ciberseguridad ya han calificado el error como  uno de los fallos más graves  qu
Leer más

La IA generativa ha hecho que los correos electrónicos de phishing sean infalibles

Imagen
  Stu Sjouwerman   El uso más básico de herramientas como ChatGPT para redactar correos electrónicos de apariencia profesional prácticamente ha eliminado el contenido escrito incorrectamente como indicador de una posible estafa de  phishing  . Un  artículo reciente que entrevistó a Brian Schnese  , consultor senior de riesgos de la corredora de seguros Hub International, destacó la transición del uso indebido de la IA generativa como medio para elaborar correos electrónicos de phishing bien escritos como algo hipotético a uno que ahora es completamente común.  "Ya lo estamos viendo", comentó Schnese. “Hoy estamos en un mundo donde puedo ir a ChatGPT y escribir, 'por favor, elabore una solicitud para mi proveedor pidiéndole que cambie mis instrucciones de cableado', y arroja una solicitud perfecta.  [Luego puedo volver] a ChatGPT y decir: 'agregue un sentido de urgencia y enfatice la naturaleza confidencial de esta transacción', y nuevamente, al instante, es pe
Leer más