Del Awareness al Cambio Cultural en Ciberseguridad

05 de noviembre de 2020 por Stefanini

Como lo hemos venido diciendo en distintas instancias en los últimos años, la seguridad de la información y la ciberseguridad se nos presenta como un fenómeno altamente complejo. Grandes organizaciones a nivel mundial invierten presupuestos millonarios y exponenciales en comparación con Latinoamérica, pero igualmente son vulneradas y/o hackeadas. Por lo tanto, la pregunta que nos aparece tiene que ver sobre cómo ejecutando los instrumentos y prácticas en estas materias.

gestion ciberseguridad

Componentes claves para entender la Ciberseguirdad

Al parecer, algo no estamos haciendo tan bien o no estamos viendo una parte de la problemática de una manera tan clara. Cabe considerar, que cada responsable de la ciberseguridad en una organización construye el ambiente de control en función de las coherencias que se generan a partir de la información que tiene disponible, en la práctica, partimos de la base que nadie quiere hacer las cosas mal, nadie quiere ser poco profesional en estas materias, por lo cual, al parecer los instrumentos o prácticas que estamos utilizando no están abordando componentes claves para comenzar a entender y ampliar la visualización sobre esta realidad.

Procesos culturales en la búsqueda de una solución

Al día de hoy, nunca se había invertido tanto en ciberseguridad y por otro lado, nunca se había presentado un escenario tan asimétrico en materia de amenazas y vulnerabilidades. En un escenario marcado por brechas y vulnerabilidades en expansión que utilizan como vector de ataque el factor humano, al parecer se hace necesario girar la mirada hacia los procesos de construcción de la seguridad de la información y ciberseguridad, en específico, los procesos ligados al cambio CULTURAL en estas materias. Partamos de la base que no es un tema sencillo, dado que implica que incorporemos pensamiento sistémico complejo a la hora de hallar una solución coherente a nuestros problemas actuales de ciberseguridad.

La cultura es una receta que se cocina a fuego lento, por lo tanto, en esta lógica hay que entender que no existirán organizaciones resilientes sin personas resilientes y por otro lado, no existirán naciones resilientes sin organizaciones resilientes

Awareness en Seguridad de la Información

El mercado de la seguridad de la información y la ciberseguridad ha abordado ésta temática desde la perspectiva del Awareness, pero ¿qué es el Awareness en seguridad de la información?, ¿qué entendemos por Awareness?.

Si bien no existe una traducción literal hacia el español o una traducción que explique lo que realmente quiere decir este concepto, nosotros lo entendemos como una ampliación de conciencia, y acá no queremos ser en lo más mínimo esotéricos (con todo el respeto que merecen los pensamientos esotéricos), nos referimos a algo tan concreto como ampliar la visibilidad con el fin de tener una mayor claridad sobre los riesgos e impactos.

Por lo tanto, podríamos estar hablando que el Awareness es una toma de conciencia con el fin de tener una mayor claridad sobre los impactos de nuestros haceres en el ámbito de nuestra seguridad y la seguridad de la organización. Si llevamos esto a las iniciativas que generalmente acompañan las prácticas de sensibilización en estas materias, generalmente abordamos estas tareas de concientización desde la perspectiva de la entrega de un contenido, o la entrega de un concepto o una serie de conceptos relacionado con seguridad de la información y ciberseguridad. Incorporando temáticas como gestión de contraseñas, buenas prácticas de seguridad hacia los recursos tecnológicos y un recorrido por una serie de amenazas ligadas a prácticas de ingeniería social.

  • Gestión de contraseñas
  • Buenas prácticas de seguridad
  • Amenazas ligadas a prácticas de ingeniería social
ciberseguridad

Efectividad de las campañas informativas

Las campañas informativas entregan un idioma común - idioma común sobre los riesgos – pero muchas veces estas instancias carecen de la fuerza para poder transformar efectivamente a las personas. Sobre la efectividad de las campañas informativas podemos decir que tienen un bajo impacto, ejemplo de esto son las campañas informativas para disminuir los accidentes de tránsito vehicular, inclusive en períodos críticos como lo son los días anteriores a las fiestas de un país o las campañas informativas para disminuir el consumo del tabaco, en ambos casos la efectividad es menor y supone un profundo cuestionamiento al modo actual para abordar estos procesos, en ciberseguridad no es la excepción.

Por lo tanto, la pregunta que nos surge es qué hacer frente a este escenario altamente asimétrico, ¿qué nos ofrece hoy el mercado para que podamos aumentar nuestros niveles de certeza sobre los esfuerzos que realizamos en estas materias?

3 claves de acción hacia una cultura de la Seguridad de la Información

En este ámbito, podemos distinguir tres focos de acción, para abordar la temática cultural o parte de ella, compuesto o apalancado con diferentes miradas sustentadas en estándares, marcos de referencia, buenas prácticas, metodologías y enfoques científicos.

1.    Fortalecimiento en función de estándares y marcos de referencia con foco en el cumplimiento de controles.

En este ámbito hay una serie de instrumentos que describen o identifican ciertos controles tendientes a hablar este idioma común en la organización, ejemplo de esto son los marcos ISO/IEC27.001-02, Nist for Cybersecurity, los 20 controles críticos del CIS, Cobit2019, SFC, entre otros. En general los controles incorporados en estos marcos de referencia tienden a garantizar un mayor nivel de conocimiento de los usuarios sobre estos riesgos incorporando prácticas informativas y entrenamientos en específico con el fin de aumentar los niveles de detección de amenazas en estas materias, como lo constituyen las pruebas controladas de phishing con distintos niveles de complejidad u otros mecanismos de pruebas de ingeniería social. Generalmente estás prácticas se pueden poner en acción al corto y mediano plazo.      

2.    Fortalecimiento en función de metodologías en específico para este ámbito.

En general estos marcos metodológicos permiten ajustar el ámbito de acción de las campañas de sensibilización, permitiendo atender de una manera más granular a los usuarios críticos de la organización o usuarios de alto valor, se relacionan con activos relevantes para el negocio o la institución. Si nos vamos directamente a las prácticas a utilizar para llevar a cabo las campañas de sensibilización, estas no tienen mayores diferencias con las iniciativas señaladas en el punto uno (1) de acción. El gran valor de estas metodologías radica en la capacidad para poder determinar el estado actual de la organización en estos ámbitos y, por otro lado, aumentar el grado de visualización sobre el panorama general de los usuarios más críticos y los mecanismos de control actuales.

Entre estas prácticas podemos señalar: el Secure Awareness Maturity Model del SANS Institute creado por Lance Spitzner o el Infosec Culture Framework descrito en el libro BUILD A SECURITY CULTURE del autor Kain Roer y, por último, señalar el Competing Security Culture Framework señalado en el libro PEOPLE-CENTRIC SECURITY del Doctor Lance Hayden, entre otros. Generalmente, estás prácticas se pueden poner en acción al mediano y largo plazo, dependiendo de las dimensiones de la organización.

3.    Fortalecimiento a través de metodologías científicas que aborden el cambio cultural en organizaciones y sociedades.

En este ámbito, necesariamente los que tenemos la responsabilidad de la ciberseguridad de la organización debemos movernos hacia la complejidad, entender que la organización es un sistema o, mejor dicho, un sistema complejo. En este sentido, la aplicación de modelos derivados de la cibernética, la sistémica y la biología al parecer nos están permitiendo comprender de mejor manera como se dan o se darían los cambios en estas materias, impactando a la cultura de la organización y la cultura de una sociedad. Temáticas relacionadas a los sistemas adaptativos complejos, al nuevo paradigma de la cibernética y la ciberseguridad, al manejo de los cisnes negros y la incertidumbre y los mecanismos de transformación cultural de las organizaciones basado en el entendimiento biológico-cultural son parte de estos conocimientos científicos que vienen a apalancar los procesos de construcción de la seguridad de la información y ciberseguridad en nuestras naciones, instituciones y a nivel personal.

metodologias

Transformar el propósito cultural de una organización
 

❮No existe cambio cultural sin cambio individual.❯
 

Hay que entender que la seguridad de la información no es un problema tecnológico, se trata de un problema humano, y como problema humano debemos entender qué es una cultura como base para entender si efectivamente estamos transformando el propósito cultural de una organización en función de la seguridad de la información y ciberseguridad.

No existe ninguna organización, como sistema social, que camine hacia un cambio cultural sin antes que sus colaboradores hayan experimentado el cambio individual. En esta lógica, como lo indica el reconocido científico y premio nacional de ciencias de Chile el Doctor Humberto Maturana y por otro lado, la investigadora Ximena Dávila, no existe cambio cultural sin cambio individual, además, una cultura se puede entender como una red compleja de conversaciones con un propósito común que se concreta en el hacer de cada individuo. Por lo tanto, los cambios culturales se pueden dar, siempre y cuando se tenga en cuenta que son procesos que tienen más que ver con los individuos que con las organizaciones en su conjunto. 

Seminario: Las personas en el centro de la seguridad de la Información y Ciberseguridad.
 

❮ Optimizar, madurar  y aumentar el nivel de certeza, protección y confianza. ❯
 

Como organizaciones en alianza, Stefanini-Rafael y Esfera4, creemos en el cambio cultural en seguridad de la información y ciberseguridad, por lo cual, estamos colocando a disposición del mercado conocimientos y experiencia del más alto nivel para abordar los tres focos de acción del Awareness en estas materias.

Si es de su interés profundizar en el modo de entrega de nuestros servicios queda cordialmente invitado a un taller, totalmente gratuito, en donde nuestros profesionales e investigadores abordaremos estas tres componentes claves o focos de acción en materia de concientización y sensibilización en seguridad de la información y ciberseguridad, destacando servicios y soluciones granulares para abordar tanto labores de formación, entrenamiento y transformación cultural en la organización, de cara a un proceso determinado o de cara a toda la organización con el fin de optimizar, madurar  y aumentar el nivel de certeza, protección y confianza en estos temas.

Duración: 2 horas.
Fecha: 12 de enero de 2021
Hora: 14:00 Horas Chile

Contenido:

  1. Conceptos básicos, contexto mundial y nacional en torno a las Ciberseguridad.
  2. Las personas como base fundamental en la construcción de ciberseguridad.
  3. Como construir Seguridad de forma estratégica para mi organización.
  4. Estrategia para diseño e implementación de Awareness en ciberseguridad.
  5. Cultura de la ciberseguridad.

Speakers

Licenciado en Sistemas de Información con un Diplomado en Control de Gestión y Sistemas de Información. Posee certificaciones en CISSP – CISM – CISA – CCISO – CEH – CSXF – ECSA – LA-27001 – PPT – COBIT5 – ITIL. Es Profesor/Docente en la Universidad de Chile y en la Universidad Mayor. Co-Fundador y Director del Cloud Security Alliance Chile, Co-Fundador ISC2 Chile, Co-fundador, Director e Investigador en Seguridad en 0rnitorrinco Labs ONG.

Freddy Grey

Socio Consultor de Esfera4 y Director de ONG 0rnitorrinco Labs

Magister en Seguridad d ela Información. Security Researcher en 0rnitorrinco Labs y en el Centro de Investigación en Ciberseguridad de la Universidad Mayor. Ha sido relator internacional y ponente invitado en Bsides Chile Security Conference 2017 "Ofuscación de malware", en WITCOM 2018 (México) Keynote Speaker "Blockchjain y Criptomonedas" y en CSA Chile Forum 2018 "Cloud Security con Microservicios y Contenedores"

Claudio Casado

Especialista en Seguridad de la Información en Esfera 4

Compartir:
Ver Más

Vamos a co-crear, solicite una propuesta de nuestros especialistas