La mayoría de los miembros de la comunidad de seguridad reconocen la necesidad de una cultura de seguridad mejorada, lo que significa conciencia, medición y monitoreo corporativos sistémicos para mejorar la seguridad cibernética para reducir el riesgo general. solo mira Discurso de apertura de Black Hat USA 2022 de Kim Zetter, que requería mejoras de seguridad cruciales en toda la infraestructura crítica.
Muchas veces, el impedimento para una seguridad efectiva no es necesariamente una cuestión técnica sino más bien cultural. Muchos a menudo equiparan erróneamente la educación y formación de los usuarios con la creación de una cultura de seguridad. La educación del usuario se trata de compartir información sobre problemas y obligaciones, mientras que la cultura de seguridad se trata de cambios de comportamiento en apoyo de la seguridad.
Construyendo una cultura de seguridad a través de la concientización del usuario
Aunque la concientización del usuario y la creación de una cultura de seguridad son ejercicios diferentes con desafíos distintos, comparten algo en común: Requieren atención y apoyo serios. Con eso en mente, estos dos ejercicios en realidad se complementan entre sí.
Considere esto: si bien hay muchos debates sobre las estructuras de informes de CISO, el apoyo necesario para impulsar una cultura de seguridad no depende de esta jerarquía; depende de la modificación del comportamiento del usuario a través de operaciones comerciales generalmente aceptadas. Esta modificación holística del proceso comercial es la razón por la cual la cultura de seguridad debe impulsarse de arriba hacia abajo.
La concientización del usuario debe integrarse en las herramientas de seguridad de una organización y llevarse a cabo de manera tan consistente como buscar en los sistemas indicios de compromiso. La conciencia del usuario no reemplaza la creación de una cultura de seguridad ni es lo mismo que ella; más bien, es un componente necesario de cualquier cultura de seguridad efectiva.
subir a bordo
La propiedad y el apoyo para crear una cultura de seguridad deben impulsarse a nivel de directorio. Esto se debe a que, si bien muchas explotaciones y ataques no son más que otra alerta de seguridad que administrar, cuando se involucra un adversario experto, surgen riesgos graves. Como siempre digo: los aficionados piratean sistemas; los profesionales hackean a la gente. Hackear al ser humano como una categoría de riesgo de seguridad tiene un alto rendimiento de éxito y trasciende las salvaguardas tecnológicas.
El truco consiste en proteger al operador humano de las trampas de la naturaleza humana controlando y esculpiendo el comportamiento. Esto a menudo requiere un pensamiento crítico sobre las prácticas comerciales arraigadas. El apoyo para la realización de los cambios necesarios dependerá en gran medida de la influencia de arriba hacia abajo.
Cultura de seguridad en entornos OT
Los entornos de OT enfrentan desafíos aún más significativos al examinar y cultivar su cultura de seguridad. Los usuarios comerciales no solo juegan un papel integral, sino que los ingenieros de OT son igualmente vitales para prevenir y responder a los eventos de seguridad.
La relación entre TI y OT es donde la creación de una cultura de seguridad holística necesitará un apoyo de arriba hacia abajo para observar de manera crítica los procesos operativos y comerciales generales. Las cosas que pueden torpedear los intentos más serios de apuntalar un esfuerzo de seguridad podrían ser tan desprevenidas como el proceso contable para aplicar presupuestos en las ubicaciones individuales o la percepción de propiedad de la seguridad.
Si bien estos ejemplos son la punta del iceberg, es importante crear un programa holístico y continuo de mejora de procesos dentro de la organización para continuar preguntándose: "¿Cómo se podría mejorar nuestra cultura de seguridad?"
Cultura de seguridad en entornos de TI
A diferencia de OT, el reconocimiento de la necesidad de tecnologías está bien definido en TI. Por ejemplo, el inventario y la visibilidad de activos es un conjunto de productos básicos para TI. Hay muchos proveedores de gestión de activos entre los que elegir, y un equipo de TI capacitado puede adoptar rápidamente estas herramientas. El proceso de selección de tecnología puede estar influenciado por un proceso centrado en TI. Se pueden encontrar cambios culturales que se ajusten mejor a la selección de productos complementarios en el lado OT.
El inventario de activos, la vulnerabilidad y la gestión de riesgos son más desafiantes en OT debido a la naturaleza de la tecnología y la topología. El personal suele ser ingenieros que se especializan en el proceso y no necesariamente en la herramienta (sistemas) con la forma en que interactúan con las operaciones de las moléculas en movimiento. Los propietarios de los activos de OT tienen un enfoque de misión diferente al de los propietarios de TI, y su capacitación no incluye necesariamente la seguridad. La creación de una cultura de seguridad debe tener en cuenta estas diferentes mentalidades y utilizar tácticas identificables para cambiar el comportamiento.
Mezcla de culturas: TI y OT
Un enfoque basado en el riesgo ayudará a los profesionales de TI y OT al estandarizar métricas clave como la vida, la salud, la seguridad, sin mencionar el impacto en la capacidad de producción y la eficiencia. Este enfoque también debe incluir el tiempo de inactividad máximo tolerable (MTD) y el tiempo medio de recuperación (MTR).
Esto generará respuestas sobre por qué el personal debe preocuparse por la seguridad. Las organizaciones querrán darle al equipo colectivo una oportunidad de éxito. Al observar los procesos comerciales para asignar tareas entre grupos, los cambios sutiles pueden hacerse evidentes cuando se ven a través de una lente de seguridad. Si bien la propiedad del sistema debe permanecer bifurcada debido a necesidades inherentes impulsadas por las operaciones, los equipos de TI/seguridad/OT deben trabajar en conjunto para abordar las vulnerabilidades críticas, los posibles eventos de seguridad y la respuesta/recuperación de incidentes. La velocidad y la eficiencia son primordiales.
Estos son solo dos aspectos de la creación de una cultura de seguridad, pero sirven como un excelente ejemplo de por qué hay más para cambiar el comportamiento que el simple intercambio de información. La creación de una cultura de seguridad es vital para cualquier organización para aumentar las inversiones en tecnología de seguridad, pero es indispensable para la supervivencia de un operador OT en el acelerado proceso de respuesta a infracciones.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
