Las 10 fases de la conciencia de seguridad organizacional
Stu Sjouwerman
Después de 10 años de expansión continua en el espacio de la conciencia de seguridad y de proporcionar nuestra plataforma a decenas de miles de clientes, hemos observado un cierto progreso en la conciencia de seguridad organizacional a lo largo del tiempo.
La
velocidad de este progreso es diferente según el tamaño de la organización, la
ubicación geográfica y la industria, pero vemos que este mismo patrón regresa
una y otra vez. En ciertos casos, se omiten algunos pasos. En otros
casos, se toman algunos pasos al mismo tiempo. Sin embargo, en última
instancia, la mayoría de las organizaciones ven el mismo escenario
ideal. Repasemos estas 10 fases y podrá determinar dónde se encuentra en
su propia organización en este proceso.
1) Mayor
conocimiento técnico para Infosec y profesionales de TI
Infosec y
los profesionales de TI sienten el dolor primero. Las estaciones de
trabajo infectadas y los ataques de ransomware los mantienen a la defensiva y
atrasados. Muchos de estos profesionales ven la necesidad de concienciar
sobre la seguridad, pero a veces se han desanimado por la práctica inviable de
la vieja escuela de guiar a los usuarios a través de 15 minutos de capacitación
basada en el cumplimiento. Muchos de estos profesionales comprenden los
riesgos de depender únicamente de controles controlados por software.
2)
Entrega de contenido de concientización para usuarios finales
Aquí es
donde los videos de capacitación de primera generación reemplazan las
presentaciones de PowerPoint en la sala de descanso, que generalmente no son
muy fáciles de rastrear, pero es un comienzo.
3) La
automatización de la plataforma permite cumplir los requisitos
Automatizar
el proceso de impartición de formación a través de un Sistema de Gestión de
Aprendizaje (LMS) (interno o externo) para que los requisitos de cumplimiento
sean más fáciles de cumplir. Esto depende mucho del tamaño de la
organización; los más grandes tienen un LMS local o basado en la nube que
se utiliza para fines de capacitación general.
4) Prueba continua
Esta fase
demuestra un cambio significativo hacia el modelo de 'Confianza cero' en el que
el empleado después de la capacitación se evalúa con frecuencia para
asegurarse de que el conocimiento adquirido se haya convertido en una habilidad
que se aplique en la práctica y no desaparezca con el tiempo (úselo o piérdalo
).
5)
Integraciones de pila de seguridad
En esta
etapa, los " botones de alerta de suplantación de
identidad " se implementan en el cliente de correo electrónico de los
usuarios finales para que puedan informar cualquier correo electrónico de
suplantación de identidad al equipo de respuesta a incidentes o al SOC, que
luego puede tomar medidas.
6) Orquestación de
seguridad
La
siguiente fase es que estos correos electrónicos informados se integran en
un flujo de trabajo de seguridad que evalúa rápidamente el nivel de
riesgo y, en caso de que haya un ataque activo, puede acceder automáticamente a
la bandeja de entrada de todos los usuarios y eliminar los mensajes maliciosos
antes de que se produzcan más daños.
7)
Gestión avanzada del comportamiento del usuario
Al tener
métricas de riesgo detalladas tanto sobre usuarios individuales como sobre
grupos, las organizaciones ahora pueden crear campañas personalizadas basadas
en el comportamiento de riesgo observado. Un ejemplo es escanear la web
oscura en busca de credenciales de organización violadas, uso de contraseñas
incorrectas y enviar módulos de capacitación individuales a esos usuarios de
alto riesgo.
8)
Experiencia de aprendizaje adaptable
La
siguiente fase es que el usuario final tenga una IU localizada donde vaya y
pueda ver su puntaje de riesgo individual, obtener insignias y comenzar a
participar en la experiencia de aprendizaje. Además, esta fase es cuando
las métricas avanzadas permiten campañas impulsadas por inteligencia artificial
en las que cada usuario recibe capacitación altamente individualizada en
conciencia de seguridad.
9)
Participación activa del usuario en la postura de seguridad
Aquí es
donde el usuario se da cuenta de su papel en la defensa de su organización y
elige activamente capacitación adicional para reducir su puntaje de riesgo. Participan
en campañas de concientización, se convierten en defensores de la
concientización local y comprenden que ellos mismos se han convertido en el
punto final.
10) El
punto final humano como última línea de defensa sólida
El estado
final en el que cada empleado es suficientemente consciente de los riesgos
relacionados con la seguridad cibernética y toma decisiones de seguridad
inteligentes todos los días, basándose en una comprensión clara de esos
riesgos. El entorno actual de la FMH ha acelerado la necesidad de esto de
manera significativa.
Excelente articulo
ResponderEliminar