9 Formas Innovadoras de Mejorar la Higiene de Seguridad para el Mes de Concienciación sobre Ciberseguridad

-

Si realmente queremos marcar la diferencia en los hábitos de seguridad, es hora de pensar más allá de las pruebas de phishing. Nuestro panel de CISOs y otros expertos en seguridad ofrecen consejos expertos que van más allá de lo evidente.

Octubre es el Mes de Concienciación sobre Ciberseguridad, un momento en el que muchas empresas aprovechan la oportunidad para recordar a sus empleados acerca de los peligros de reutilizar contraseñas, reforzar la importancia de no hacer clic en enlaces no confiables y brindar su capacitación anual de ciberseguridad.

Estas son enfoques familiares que no cambian mucho de un año a otro, a pesar de que el panorama de amenazas cibernéticas sí lo hace. Para conmemorar el 20º año, decidimos hablar con una variedad de CISOs y otros conocidos líderes en ciberseguridad sobre cómo evolucionar los esfuerzos de concienciación de los usuarios, haciéndoles una sola pregunta:

¿Cuál es su consejo número 1 para los equipos de seguridad que buscan aumentar la alfabetización en seguridad de los empleados, proveedores y socios de manera nueva e innovadora?

Sigue leyendo para conocer las respuestas innovadoras de nuestro panel de expertos:
  • Window Snyder, Fundadora y CEO de Thistle Technologies
  • Kurt John, CISO de Expedia Group
  • Bruce Schneier, Tecnólogo en Seguridad y Autor
  • Phil Venables, CISO de Google Cloud
  • Dave Lewis, CISO Asesor de Cisco
  • Fred Kwong, CISO de DeVry
  • Rob Duhart, CISO Adjunto de Walmart
  • Pat Opet, CISO de JPMorgan Chase
  • Tennisha Martin, Fundadora y Directora Ejecutiva de BlackGirlsHack

1. Límites de seguridad para el éxito



Window Snyder aboga por proporcionar a los usuarios plataformas más seguras por diseño en lugar de esperar que ellos distingan cuándo es seguro hacer clic o no.

Para los desarrolladores de aplicaciones de una organización, todo comienza con una plataforma de desarrollo que minimice el riesgo de código con errores. "Lo más impactante que puedes hacer para mejorar la seguridad con el menor esfuerzo es cambiar a un lenguaje seguro en cuanto a la memoria", afirma Snyder. "Así que, al elegir la plataforma y el lenguaje que los desarrolladores van a utilizar para crear nuevas capacidades y características, cambiar a un lenguaje seguro en cuanto a la memoria reducirá rápidamente y de manera significativa el riesgo de vulnerabilidades de software", dice.

Snyder, quien durante más de 20 años ha ayudado a importantes proveedores (como Mozilla, Apple, Microsoft e Intel, por mencionar algunos) a incorporar la seguridad en sus productos, sostiene que es irrazonable poner en manos de los usuarios finales la responsabilidad de decidir qué deben o no deben hacer clic. "El problema no es que hayan hecho clic en algo, sino que tienen cuentas con más capacidades de las necesarias para llevar a cabo sus tareas de usuario. No deberían poder corromper todo el dispositivo haciendo clic en un enlace en un navegador web".

Aparte de las cuentas de usuario con excesivos privilegios, la buena noticia es que existen ejemplos de software popular, como Mac iOS y Chromium, que cuentan con medidas de seguridad incorporadas que pueden evitar que los usuarios instalen inadvertidamente código malicioso, según Snyder, fundadora de la empresa de seguridad de dispositivos conectados Thistle Technologies.

No obstante, la industria tecnológica tiene un largo camino por recorrer para solucionar la brecha de seguridad en muchos de los sistemas actuales, según Snyder.

2. Nombrar a un 'Campeón de Seguridad'



Kurt John, CISO (Chief Information Security Officer) de Expedia Group, recomienda designar a empleados voluntarios como 'Campeones de Seguridad' que promuevan comportamientos ciberseguros dentro de la organización. Este enfoque de defensa desde la base, afirma, fomenta naturalmente una cultura de seguridad dentro de la organización.

John, quien también es miembro del Consejo Asesor de CISO de Dark Reading, aboga por programas de rotación para fomentar la colaboración entre diferentes grupos en la empresa. Esto brinda a los usuarios de negocios la oportunidad de asumir temporalmente el papel del equipo de seguridad y viceversa. "Los programas de rotación brindan a los empleados la oportunidad de trabajar dentro del equipo de seguridad y a los miembros del equipo de seguridad trabajar en partes del negocio", explica. "Esto duraría de cuatro a ocho semanas y hace un excelente trabajo al intercambiar conceptos empresariales dentro del equipo de seguridad y contexto de seguridad dentro del negocio".

En esa misma línea, la tutoría y la tutoría inversa, si se hacen correctamente, pueden ayudar a que los usuarios comprendan ambos lados de la ecuación de seguridad. "La emparejación planificada y cuidadosa de empleados y líderes de seguridad y no seguridad puede ayudar a fomentar una colaboración más rica y una mayor apreciación de los espacios de los demás en toda la empresa", dice John.

3. Cualquier cosa que hagas, no digas "No hagas clic en esa URL"



Bruce Schneier no se anda con rodeos en su evaluación de la orientación convencional de seguridad que a menudo se ofrece a los usuarios.

"'No hagas clic en las URL' es un consejo terrible. ¿Qué más se supone que debes hacer con las URL?", dice el renombrado tecnólogo y autor. "O, peor aún, 'no insertes dispositivos USB extraños en tu computadora'. ¿Por qué diablos no? Para eso sirven los dispositivos USB".

En su lugar, afirma que las organizaciones deben ofrecer orientación de seguridad simple, directa y práctica a sus empleados si desean que realicen cambios significativos en su comportamiento en línea. Ofrece ejemplos de mantras populares de salud pública como "lávate las manos", "usa un condón" y "usa una mascarilla", diciendo: "En todos los casos, el consejo es un cambio de comportamiento simple. Puedes explicar la razón en una oración. Y la acción obviamente se relaciona con el problema y tiene un sentido obvio", dice.

El problema central, por supuesto, es que gran parte de la tecnología y la infraestructura de software establecidas hoy en día no se diseñaron con la seguridad en mente. "El problema es que estamos tratando de cambiar el comportamiento del usuario para encubrir un diseño deficiente", dice. "¿Qué tipo de ingeniero construyó un sistema... insertando un dispositivo USB en tu computadora? Microsoft, eso es quien. Estaban tan enamorados de AutoRun que ignoraron los problemas de seguridad", agrega, señalando que hay muchos otros ejemplos de vulnerabilidades de seguridad incorporadas en productos de proveedores.

4. Adéntrate en la Autenticación sin Contraseñas con Passkeys



Para Phil Venables, CISO de Google Cloud, los mayores desafíos en seguridad siguen relacionándose con las contraseñas. Los atacantes siguen aprovechándose del hecho de que los usuarios siguen utilizando contraseñas débiles o reutilizando contraseñas.

"Han pasado 20 años desde el primer Mes de Concienciación en Ciberseguridad, y aunque hemos logrado avances realmente importantes en seguridad durante ese tiempo, seguimos compensando problemas relacionados con las contraseñas", afirma Venables.

En lugar de complicar aún más la autenticación y la gestión de identidades añadiendo más capas de protección, Venables recomienda "eliminar por completo las contraseñas y reemplazarlas por passkeys, que son más fáciles de usar y resistentes al phishing". La tecnología ya existe: los usuarios pueden utilizar, por ejemplo, el sensor de huellas dactilares o Face ID en sus dispositivos móviles para iniciar sesión en sus cuentas y evitar por completo las contraseñas.

Si bien el soporte para passkeys todavía está evolucionando y requerirá tiempo (y más tecnología) antes de que las empresas puedan adoptar completamente los passkeys, los equipos de seguridad pueden trabajar con los usuarios finales para habilitar los passkeys en las cuentas de usuario donde estén disponibles. Por ejemplo, Google actualmente está trabajando con socios para ampliar el uso de passkeys más allá de Google, como con Home Depot, Uber y eBay. Pero hasta entonces, los usuarios pueden acostumbrarse a usar passkeys en sus cuentas personales con Google, Microsoft, Apple, Amazon y otros.

5. Reduce esa Deuda de Seguridad



Dave Lewis, CISO asesor en Cisco, sugiere ver la seguridad desde las perspectivas tanto empresariales como personales y tomar medidas adecuadas para abordar las brechas en esas perspectivas.

Desde la perspectiva individual, Lewis recomienda revisar la carga de deuda de seguridad de una organización en lo que respecta a la tecnología. La deuda de seguridad se refiere a las vulnerabilidades en la infraestructura tecnológica de la organización que se acumulan con el tiempo y que dificultan la defensa de los datos y sistemas contra ataques. Un ejemplo de deuda de seguridad es utilizar software obsoleto que ya no recibe actualizaciones de seguridad o no actualizar componentes de software por temor a que se rompa la funcionalidad.

Sin embargo, los sistemas individuales también deben someterse a la misma revisión, agrega. "Esto es algo en lo que suelo enfocarme en la empresa, pero es absolutamente relevante para la discusión del usuario final", dice Lewis. Señala que los atacantes pueden y aprovechan la deuda de seguridad de un punto final para obtener acceso inicial a un entorno, ejecutar código malicioso como ransomware y más.

Para auditar la deuda de seguridad, los equipos de seguridad pueden hacer preguntas a los usuarios finales, como si el sistema que están utilizando se ha actualizado a la versión más reciente, si el navegador web es la última versión, qué versión del sistema operativo se está ejecutando en un dispositivo móvil y si se está utilizando software que ya no recibe soporte. Armados con las respuestas, el equipo de seguridad puede trabajar con los usuarios para reducir su deuda individual.

"No queremos facilitarle el trabajo a los delincuentes", afirma Lewis.

6. Prueba la Gamificación para Fomentar los Fundamentos de Seguridad



Si bien una parte común de la concienciación de seguridad de los empleados se centra en conceptos básicos como aprender a reconocer intentos de phishing e inculcar hábitos de contraseñas, Fred Kwong, CISO de DeVry y también miembro del Consejo Asesor de CISO de Dark Reading, dice que es importante ser creativo en la forma en que se imparte esa formación. Las clases en línea anuales no son suficientes.


"Aumentar la alfabetización en seguridad en las organizaciones requiere un cambio en la cultura y el pensamiento", dice. "Como líderes de seguridad, debemos seguir innovando en la forma en que transmitimos el mensaje sobre ciberseguridad. Si bien las campañas de phishing y la formación en concienciación son técnicas que pueden ayudar a reforzar un mensaje de seguridad en primer lugar, no son el único medio a nuestra disposición".

Ser creativo y proporcionar diferentes formas de educar a los empleados sobre los conceptos básicos de ciberseguridad puede incluir la gamificación, por ejemplo.

"Crea un escenario de sala de escape", dice. "Por ejemplo, puedes diseñar un rompecabezas en torno a la descodificación de contraseñas. Puedes encontrar una pista que necesitas eligiendo y utilizando un enlace o contenido sospechoso. Transformando la formación en concienciación sobre ciberseguridad con gamificación, podemos convertir lecciones esenciales en desafíos atractivos que no solo educan, sino que ayudan a los empleados a retener conocimientos".

7. Enfóquese en la Mentalidad en Primer Lugar



Walmart es literalmente la "Fortuna 1" de la empresa en el mundo, con millones de empleados en todo el mundo y mucho que perder en caso de un ciberataque si uno de esos trabajadores abre inadvertidamente las puertas a los merodeadores digitales.

Se podría imaginar que la conciencia de ciberseguridad representa un gran desafío, simplemente por la escala. Rob Duhart, CISO adjunto de la gigante minorista, dice que reducir la fricción de seguridad con enfoques tecnológicos es una parte de la estrategia para llevar a todos esos seres humanos en la dirección cibernética correcta. Pero la otra pieza, y posiblemente más importante, es fomentar una cultura de seguridad.

Por ejemplo, la compañía está trabajando en implementar un modelo avanzado de gestión de acceso de identidad en el lado técnico, señala. Pero el equipo también se centra en "instituir activamente una mentalidad de seguridad antes de cualquier implementación técnica o cambios".

Este esfuerzo abarca discusiones sobre seguridad con todos los empleados, incluso los que trabajan en tiendas, y por qué la tecnología debe ser aceptada en toda la empresa.

"Invertimos en concienciación de seguridad, formación y comunicación para los empleados de todos los niveles, lo que les permite actuar como nuestra primera línea de defensa, al tiempo que mejora la eficiencia, fomenta la innovación y ayuda a reducir la frustración y la resistencia", dice. "Enfocarse en la mentalidad primero enfatiza la colaboración, permite que el negocio innove con rapidez y fomenta una cultura de seguridad para impulsar un diseño inherentemente seguro".

8. Hacer responsables a todos en Ciberseguridad



Si bien es importante educar a los empleados, clientes y socios sobre las mejores prácticas en ciberseguridad a través de capacitaciones y eventos durante todo el año, Pat Opet, CISO de JPMorgan Chase, dice que su empresa también hace uso de la inteligencia de amenazas cibernéticas y de fraude para aumentar la responsabilidad.

Por ejemplo, el gigante financiero recientemente amplió su recopilación y análisis de inteligencia para identificar riesgos dentro de su cadena de suministro.

"Buscamos formas no convencionales de educar a nuestro negocio y proveedores", explica. "Procesamos grandes volúmenes de datos, desde fuentes de código abierto, Internet, Dark Web y escaneos activos, para producir inteligencia novedosa, todo lo cual se utiliza para proteger nuestro negocio y nuestros clientes".

El equipo de seguridad utiliza la plataforma para identificar debilidades en las defensas perimetrales de los proveedores, incluyendo el objetivo antes del compromiso apuntando al objetivo en sus etapas iniciales (por ejemplo, balizas de malware, establecimiento de canales de comando y control, y actividad de red anómala). Luego, la empresa notifica a los socios relevantes, comparte los hallazgos y el contexto completo de la debilidad, y ayuda a los proveedores a abordar el problema.

"Este tipo de proceso orientado a la acción obliga a los proveedores a un mayor nivel de responsabilidad, lo que a su vez beneficia a todo el ecosistema", dice Opet. "Esto se ha vuelto más crítico a medida que el panorama cibernético continúa evolucionando y los sistemas están más conectados que nunca".

9. Brinde Oportunidades para Aprender



Los empleados son la primera línea de defensa en cada organización, por lo que la educación de la próxima generación sigue siendo clave para potenciar las capacidades de seguridad de la organización.

"El fomento, desarrollo y atracción del talento no es solo una estrategia, es el vínculo vital que sostiene la seguridad empresarial, asegurando la protección del mañana", dice Tennisha Martin, fundadora de BlackGirlsHack.

Cuando se brindan a los empleados más oportunidades, ya sea que la capacitación se enfoque en ayudar a los empleados a adquirir nuevas habilidades de seguridad o aclarar cómo sus acciones afectan la postura de seguridad de la organización, las organizaciones se benefician. Los equipos de seguridad deben invertir en programas educativos más relevantes e interesantes, además de aumentar la frecuencia.

"Es esencial que los líderes brinden capacitación en el trabajo y oportunidades de aprendizaje para satisfacer la creciente demanda de cubrir roles críticos de seguridad", dice Martin.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más