¿Quién está detrás de los errores de los usuarios?

Trabajo. Foto: © Sofie Delauw/Corbis. Imagen tomada de: semana.com.

Mucho se ha hablado acerca de la sensibilización y concienciación en materia de seguridad de la información en las organizaciones. Escuchamos constantemente la frase. 

"El eslabón mas débil de la cadena es el usuario" 

Constantemente escuchamos chistes y comentarios de muchos profesionales de seguridad acerca de lo que hacen los usuarios y como lo hacen. Luego de revisar este articulo Behind every stupid user is a stupider security professional, y este articulo Do you create stupid users? , quedan muchas reflexiones y muchas observaciones relacionadas con la forma en cómo los especialistas de tecnologías de la información y dentro de ellos los mismos responsables de seguridad dejan de entender un universo (mente), dejan de entender a otros toda vez que la "lógica" usada por los profesionales parece bastar y ser suficiente y dejar por fuera el entendimiento que otros que no poseen el conocimiento tienen acerca de una situación que no comprenden, que desconocen y que en su "lógica" lo hacen de la manera que mas les parece. Todo esto en algunos casos lleva a cuestionar las prácticas en materia de sensibilización y conciencia de seguridad de la información.

Efectivamente, con las prácticas en materia de sensibilización y concientización de seguridad si se crean usuarios y más aún, que estén comprometidos con la protección de la información; parte de la responsabilidad de los líderes de seguridad es crear escenarios claros que le permitan a esos múltiples universos entender una nueva realidad, un mundo digital donde existen nuevos normales, donde existen riesgos de los que ellos pueden ser víctimas, de los que los usuarios algunas veces o en muchos de los casos no saben lo que pasa. Los medios y las noticias actuales registran a las amenazas de ingeniería social en el top de las amenazas electrónicas usadas, lo cual también invita a la reflexión de que otros reconocen un universo y reconocen de él unas prácticas poco orientadas que son aprovechadas en pro de un beneficio.

Es por ende que se requiere repensar y replantear los métodos, mecanismos, estilos, herramientas y capacidades usados comúnmente para sensibilizar, capacitar, y educar a los usuarios; los líderes de seguridad deberían poder ir mas allá de lo conocido tratar de ponerse en los zapatos de quien no domina el tema, y porque no que sean capaces de utilizar el término "empatía" como una nueva característica de su rol y aplicarla a la hora de pensar en la labor titánica de poder crear conciencia en las organizaciones.

Con ello dejo las siguientes preguntas de reflexión para todos.

Tómense unos segundos para pensarlo

• ¿Se ha puesto usted en los zapatos de un usuario final?, ¿como se sentiría?
• ¿Cómo se sentiría si le dijeran "es un usuario..." o alguna de las expresiones que se suele usar?
• Como usuario final, ¿qué le gustaría que le dijeran de la seguridad de la información?
• Como usuario final responda la pregunta del ¿para que existen controles y medidas de protección?, o lo que es lo mismo, ¿para qué existe la seguridad de la información en la organización?
• Como usuario final responda, ¿qué gano yo con la seguridad de la información?

A lo mejor poniéndose en los zapatos del otro se pueda pensar y hacer cosas distintas. 

----------

Artículo relacionado: El contexto tecnológico actual y las acciones que se deben tomar en pro de la protección de las personas y su información en el uso del Internet.

----------

Referencias

1. Social engineering confirmed as top information security threat. http://www.computerweekly.com/news/4500273577/Social-engineering-confirmed-as-top-information-security-threat?cid=edmi_1201622
2. Behind every stupid user is a stupider security professional. http://www.csoonline.com/article/3044075/security/behind-every-stupid-user-is-a-stupider-security-professional.html?token=%23tk.CSONLE_nlt_cso_after_dark_2016-03-15&idg_eid=8969b876c9d73b1e9c7aa7122a5c5f04&utm_source=Sailthru&utm_medium=email&utm_campaign=CSO%20After%20Dark%202016-03-15&utm_term=cso_after_dark#tk.CSO_nlt_cso_after_dark_2016-03-15
3. Do you create stupid users?.http://www.csoonline.com/article/2853448/security-awareness/do-you-create-stupid-users.html
4. EMPATIA CON UNO MISMO. https://www.linkedin.com/pulse/empatia-con-uno-mismo-coach-de-personas-y-equipos?trk=hp-feed-article-title-publish
5. CISOs should take security training seriously. http://www.csoonline.com/article/3025315/security-awareness/cisos-should-take-security-training-seriously.html#tk.lin_cso
6. Security as Discipline, Not Technology. http://www.tripwire.com/state-of-security/security-awareness/security-as-discipline-not-technology/
7. CISOs still grappling with security awareness training. http://www.scmagazineuk.com/cisos-still-grappling-with-security-awareness-training/article/360659/

Escrito por: Andres Ricardo Almanza Junco - Coaching in information security and privacy

Encuesta mundial: Los empleados ignoran los riesgos cibernéticos mientras trabajan

Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com

Blue Coat Systems reveló el 26 de mayo los resultados de un estudio de investigación mundial en el que participaron 1580 encuestados de 11 países, que destacó una tendencia global de ignorar los riesgos cibernéticos en el trabajo por parte de los empleados. Los resultados de la encuesta demostraron que, a nivel mundial, los trabajadores visitan sitios web inapropiados cuando están en sus trabajos a pesar de ser plenamente conscientes de los riesgos que esto ocasiona a sus empresas.

La investigación, realizada por la empresa de investigación independiente Vanson Bourne, por encargo de Blue Coat, develó que las acciones de los empleados no son consecuentes con sus conocimientos reales sobre las amenazas cibernéticas. Además, este comportamiento puede exponer la información confidencial de la empresa y del individuo para utilización inmediata o futura por parte de terceros. Como ejemplo de ello, el informe cita el mercado negro en el que las identidades vulneradas de la empresa y del individuo se comercializan globalmente.

Una fuente de amenazas cibernéticas es la práctica de phishing. Los delincuentes cibernéticos realizan extensas y continuas investigaciones de los perfiles sociales de los empleados con el objetivo de encontrar información que puedan utilizar para atacar a las organizaciones. Por ejemplo, un atacante puede crear un correo electrónico aparentemente personalizado y dirigirlo al administrador de TI de una gran empresa utilizando información obtenida de perfiles de redes sociales, como el alma máter o el equipo preferido del destinatario. Dicho correo electrónico puede contener malware que se descarga cuando el destinatario hace clic en el enlace incluido en el texto.

La pornografía sigue siendo uno de los métodos más populares para ocultar malware o contenido malicioso. Si bien los trabajadores son conscientes de las amenazas que suponen los sitios con contenido para adultos, siguen visitando estos sitios potencialmente peligrosos. La encuesta de Blue Coat develó que China tiene el récord más alto (19 %) de visitas a sitios con contenido para adultos desde un dispositivo de trabajo, y la siguen de cerca México (10 %) y el Reino Unido (9 %).

Puntos destacados de la encuesta

La mayoría de los participantes de la encuesta mundial admitió que comprende las evidentes amenazas cibernéticas que supone la descarga de adjuntos de correos electrónicos que provienen de remitentes desconocidos, o el uso sin autorización de redes sociales y aplicaciones no aprobadas en redes corporativas; no obstante, aún sabiéndolo, no dejaron de correr el riesgo. También se develó lo siguiente:

• Si bien el 65 % de todos los encuestados considera que utilizar una aplicación nueva sin el consentimiento del departamento de TI es un riesgo importante para la seguridad cibernética de la empresa, el 26 % admitió que lo hace.
• En México, cerca de un tercio (30 %) de los encuestados reconoció que utiliza aplicaciones nuevas sin el permiso del departamento de TI, en comparación con el 26 % en Brasil.
• En el trabajo aún se corren riesgos evidentes, como abrir correos electrónicos que provienen de remitentes no verificados. Entre los empleados mexicanos, casi la cuarta parte (24 %) abre adjuntos de correos electrónicos que provienen de remitentes no verificados, a pesar de que la vasta mayoría (71 %) lo considera un riesgo importante, mientras que entre las empresas brasileñas, el 76 % considera que la amenaza es un tanto más grave y solo el 16 % abre correos electrónicos no solicitados.

Cerca de dos de cinco empleados (41 %) utilizan sitios de redes sociales por cuestiones personales en el trabajo; esto supone un riesgo importante para las empresas, dado que los delincuentes cibernéticos ocultan el malware en enlaces abreviados y vulneran el tráfico cifrado para entregar cargas útiles.

Si bien a nivel mundial el seis por ciento de los encuestados admitió que ve contenido para adultos desde dispositivos de trabajo, México ocupó el primer lugar, dado que uno de cada diez empleados (10 %) admitió ver contenido para adultos en el trabajo, en comparación con Brasil y los EE. UU., que representaron el cinco por ciento cada uno.

“Mientras la mayoría de los empleados están conscientes de los riesgos cibernéticos, la mayoría no los toma en cuenta en la práctica¨, declaró Ignacio Conti, Gerente Regional para el Cono Sur en América Latina. “La tecnología orientada al consumidor de TI y las redes sociales ofrecen ventajas y desventajas a las empresas. Ya no es realista evitar que los empleados las utilicen, por lo tanto, las empresas deben encontrar maneras de admitir estas alternativas tecnológicas y a la vez mitigar los riesgos de seguridad” concluyó Conti.

Tomado de: Diario TI.