Tu primera línea de defensa en ciberseguridad
Las personas son una parte importante de la seguridad de tu organización
Conforme las amenazas a la ciberseguridad siguen aumentando, también lo hacen los ataques vinculados a "errores humanos". Hay una razón por la que se antepone a las "personas" en la base de las personas, los procesos y la tecnología de una estrategia de seguridad sólida. Cuando tu equipo entiende la ciberseguridad y el papel que desempeña en ella, se convierte en tu primera línea de defensa para proteger la organización y minimizar el riesgo.
La cultura de priorizar la seguridad empieza en los estratos más altos de la organización
La cultura organizacional no es una declaración escrita. Se muestra en la forma en que los equipos se involucran y en los comportamientos que se recompensan.
La cultura de seguridad comienza en la cúpula de una organización, con tu liderazgo. Se manifiesta priorizando, comunicando y predicando con el ejemplo.
Una cultura que fomenta una estrategia de defensa proactiva permite a los usuarios detectar e informar de los riesgos. Utilizamos un mecanismo de notificación de incidentes sencillo, pero eficaz, para informar de cualquier incidente sospechoso para que nuestro equipo de respuesta a incidentes de seguridad (SIRT) investigue. Animamos y apoyamos a los usuarios que envían la mayor cantidad de informes de incidentes de seguridad mensualmente. Compartimos los incidentes para crear una comunidad que comparta la misión de proteger. Nuestros directivos más importantes predican con el ejemplo y también informan de cualquier incidente sospechoso.
La transparencia en la forma en que nos comunicamos y priorizamos la seguridad está claramente articulada por los directivos de Cloudflare. ¿Has hecho clic accidentalmente en ese enlace de phishing o has dejado tu ordenador portátil sin protección? Animamos a nuestros equipos a que informen sobre sus actividades sabiendo que no serán penalizados por un error. De esta forma, fomentamos una cultura en la que hacemos lo correcto para mitigar los errores.
Crear una cultura de concienciación
Incluso en una empresa de seguridad como Cloudflare, no todo el mundo es experto en ciberseguridad. Hasta aquellos con la mejor formación en ciberseguridad tendrán dificultades para mantenerse al día con los vectores de ataque en evolución.
Compartir experiencias sobre cómo nuestro trabajo detiene los ataques de ciberseguridad mantiene a nuestros equipos informados y atentos. Esta información no solo celebra nuestras victorias, sino que también nos ayuda a aprender de cada incidente, convirtiendo las batallas diarias en lecciones que fortalecen nuestras defensas. Esta práctica fomenta una cultura de aprendizaje y preparación continuos, garantizando que todos los miembros del equipo, desde el recién llegado hasta el experto, comprendan la naturaleza dinámica de las amenazas.
Recientemente tuvimos un incidente en el que nuestros usuarios fueron víctimas de un ataque a través de sus cuentas personales de redes sociales. Entendían el riesgo y sabían la importancia de informar a nuestro equipo de SIRT. La rápida respuesta de nuestro equipo nos permitió informar sobre el incidente al equipo para concienciar, investigar y detener al atacante en asociación con el proveedor de redes sociales.
Todo el mundo desempeña un papel
Tener una cultura de seguridad sólida y mejorar la concienciación es un buen comienzo. Pero es igualmente crucial que cada miembro de tu organización comprenda su función específica a la hora de mantener una postura de seguridad sólida.
Empieza por establecer políticas de ciberseguridad claras y comprensibles. Asegúrate de que estas directrices no sean solo teóricas. Deben explicar el "cómo" y el "por qué", para que sean viables. Garantiza que todos puedan acceder a ellas y actualízalas anualmente para reflejar las nuevas amenazas y los cambios en la tecnología, reforzando así el deber de cumplimiento de todos.
Haz saber a tu organización las medidas inmediatas: cómo informar de una vulneración de políticas, cómo reconocer los intentos de phishing y de ingeniería social, cómo abordar las vulnerabilidades de la seguridad física, tales como el seguimiento a usuarios autorizados hasta zonas o instalaciones restringidas, o detecciones de sistemas mal configurados.
Si bien la formación anual sobre ciberseguridad y concienciación sobre la privacidad sienta una base sólida, da un paso más allá integrando formación en seguridad específica para cada función. Este enfoque integra medidas de seguridad en cada faceta de tus procesos organizativos, garantizando que la seguridad no sea solo una política, sino una práctica integrada en el tejido diario de tus operaciones.
Reducción del riesgo de error humano
Un problema importante que afecta a los equipos de seguridad de todas las organizaciones es la complejidad.
Cuanto más complejos sean tus sistemas, más probable es que se produzca un error. Las configuraciones erróneas son un riesgo importante que los atacantes pueden explotar. Confiar, pero verificar es un cliché de seguridad de la vieja escuela que resiste el paso del tiempo. Es imprescindible que tus equipos validen la eficacia de las configuraciones y la implementación de los controles para garantizar que un error humano no abra la puerta a una vulnerabilidad.
La adopción de estrategias que reduzcan las prácticas de ClickOps (donde se gestiona la infraestructura a través de una GUI) y prioricen la infraestructura como código (IaC) no solo puede minimizar el riesgo de error humano, sino también escalar para que tu equipo pueda centrarse en el trabajo más importante. Hemos aprovechado esta estrategia en Cloudflare y compartido cómo utilizamos Terraform para gestionar Cloudflare y mejorar continuamente la forma en que puedes mantener tus sistemas, al tiempo que reducimos la complejidad y el riesgo de error humano.
La cultura de seguridad es parte de tu defensa
La mejora de la concienciación sobre la ciberseguridad no es solo una medida de precaución, es imprescindible. Promover una cultura en la que todos los miembros del equipo conocen y participan activamente en las prácticas de ciberseguridad nos permite no solo construir barreras, sino también firewalls contra las amenazas digitales.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Para ayudar a crear una cultura de seguridad sólida que esté al tanto de las últimas amenazas, consulta el informe " El estado de la seguridad de las aplicaciones ".
Autores
Ranee Bray — @raneebray
Directora sénior de estrategia y ejecución de ciberseguridad, Cloudflare
Jordan Lilly — @jordan-lilly
Oficina del CSO, responsable de políticas de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
El papel del liderazgo en el cambio de mentalidad y comportamiento
Cómo concienciar a tu organización sobre la seguridad
Las ventajas de reducir la complejidad de tu programa de seguridad