Ha sido un año inusual en muchos sentidos. Hemos tenido que gestionar las demandas continuas de nuestra fuerza laboral en torno a su capacidad para trabajar desde casa, con la dependencia de la tecnología que lo acompaña, y ha habido un aumento continuo del ransomware y la batalla en curso para proteger los datos.
¿Qué hemos aprendido de esto? Que no podemos dar nada por sentado y que debemos comprender el impacto de la seguridad cibernética en el negocio, cómo involucrar y empoderar a la fuerza laboral y cómo comprender nuestras vulnerabilidades. Eso requiere un enfoque en tres áreas: personas, procesos y sistemas.
Personas: alineando lo cibernético con el propósito comercial
Con nuestra mayor dependencia de la tecnología para el crecimiento, para cambiar la forma en que las empresas se entregan y para permitir un trabajo eficaz desde casa, existe una clara necesidad de involucrar y empoderar a la junta y la fuerza laboral a través de la desmitificación de lo “cibernético”.
Esto comienza con una conversación sobre cómo hacer crecer el negocio de forma segura en un mundo digital. Hay formas prácticas de hacer esto, incluidos ejercicios de simulación y pedir a la fuerza laboral que ayude a desarrollar soluciones que respalden explícitamente los objetivos comerciales.
Los ejercicios de simulación se centran en el impacto de un incidente de seguridad cibernética en el negocio y las decisiones que se requieren. Dan vida a la acción que una organización necesita planificar. Cuando un líder senior dice durante una simulación de ransomware a nivel de junta, “Nunca pensé que no podríamos pagarle a nuestro personal“, sabes que están reconociendo las implicaciones.
Sin embargo, el mayor desafío es abordar la mentalidad de “nosotros” y “ellos” que existe en muchas organizaciones, donde los empleados ven la palabra “ciber” como algo negativo o incomprensible, y un área manejada por otros (“Oh, tú lo haces ”). Esto crea una audiencia alienada que no ve cómo sus actitudes y comportamiento son fundamentales para una cultura de seguridad cibernética eficaz. Abordar esto significa alinear los objetivos cibernéticos con el propósito comercial al involucrar a las personas en la conversación y enfocarse en los riesgos basados en el negocio en lugar de una discusión técnica.
En el caso de una organización, están orgullosos del trabajo que hacen para maximizar la seguridad de los ciudadanos del Reino Unido, por lo que tienen un fuerte elemento de “protección” en su cultura. Esto se está utilizando para desarrollar mensajes que involucren a la fuerza laboral en la posesión de soluciones cibernéticas como parte de su negocio.
Procesos: hazme la vida más fácil, por favor
Hablamos constantemente de incorporar la seguridad adecuada en los sistemas y los comportamientos adecuados en nuestra gente. Es igualmente importante contar con procesos que fomenten el cumplimiento y faciliten a los usuarios y sistemas hacer las cosas correctas. Eso significa diseñar procesos que sean más fáciles de seguir que eludir y probarlos con regularidad.
Cate Pye, PA Consultoría
Esto está cobrando vida en un regulador del sector público del Reino Unido, que está involucrando a las personas en el diseño de procesos que brinden a los empleados la libertad de explotar nuevas formas de trabajo, al mismo tiempo que operan dentro de un marco de seguridad que protege a la organización, su gente y los servicios. entregado.
Esto permitirá a la organización responder más rápidamente a las amenazas actuales y desarrollar la agilidad en sus procesos y fuerza laboral para mantenerse un paso por delante, ya sea que se enfrente al ransomware o la próxima amenaza.
Esto se sustenta en la necesidad de aprender probando los procesos de continuidad del negocio y realizando los cambios necesarios para actualizar esos procesos. Esto debe reconocer que cuando la cadena de suministro facilita muchas de las funciones de la organización, los ejercicios deben ser conjuntos y realistas para garantizar que exista un proceso antes de que estalle la crisis, que establezca claramente las responsabilidades y las áreas que requieren colaboración.
Sistemas: proporcionan arquitectura y control
Ir al mercado en busca de soluciones puede ser como ir al supermercado. Si no tiene una idea clara de lo que está tratando de lograr, puede terminar comprando ingredientes para un postre cuando realmente necesita cocinar su comida principal. Muchas organizaciones han invertido en muy buenos productos para cada una de sus necesidades, pero es posible que no funcionen bien juntas. Para evitar esto, se requiere una visión clara de lo que necesita el negocio y la arquitectura para soportarlo; de lo contrario, corre el riesgo de terminar con sistemas incompatibles o incompletos que hacen que la integración sea costosa o imposible.
Quienquiera que proporcione sus sistemas, seguirá siendo responsable de la protección de sus propios datos y de los de sus clientes, por lo que aún es necesario asegurarse de que sus controles de seguridad funcionen y comprenda sus limitaciones. Si bien muchos sistemas tienen controles integrados, y los proveedores de la nube a menudo ofrecen un conjunto de características de seguridad que mejoran continuamente, aún debe realizar sus propias comprobaciones.
Las reglas de oro son probar sus controles y no asumir que funcionan, por ejemplo, las copias de seguridad, así como la protección contra intrusiones, los controles y procedimientos administrativos y antivirus. Luego, si sus controles requieren configuración, verifique que la configuración sea correcta mediante revisión, auditoría y pruebas por parte de pares.
Al mismo tiempo, debe desarrollar sus controles para hacer frente a las amenazas de hoy, aceptando que pueden ser diferentes de las amenazas de ayer. En todo esto, no puede asumir porque tiene controles establecidos que lo están protegiendo y que la nube es el servidor de otra persona, por lo que debe asegurarse de haber acordado responsabilidades mutuas para proteger su información y sus activos de datos.
La lección de seguridad más importante de 2021 fue que no deberíamos volvernos complacientes. Hemos logrado un gran progreso en la mejora de la seguridad cibernética y deberíamos tomarnos un momento para felicitar a nuestros equipos por el arduo trabajo que lo han logrado. Pero la carrera continúa, las amenazas están aumentando y tenemos que seguir mejorando nuestra seguridad cibernética para mitigarlas.
Cate Pye es experta en seguridad cibernética en PA Consulting. Consultores Michael Christodoulides, Keith Chappell, Mark Needham y Chris Atkinson también contribuyeron con ideas para este artículo.