Formación Laboral para la ciberseguridad Rberny 2021

Formación Laboral para la ciberseguridad

En las empresas debemos determinar la mejor manera de mitigar los errores humanos, que mayormente ha sido la principal causa de incidentes de ciberseguridad.

Rberny 2021

Segunda Parte de Construcción del Contexto de Ciberseguridad

Puntos Clave

En el presente, la experiencia actualizada es increíblemente importante para los profesionales de la ciberseguridad, no obstante, la fusión de la tecnología en cada proceso empresarial ha hecho que la experiencia en seguridad sea un problema para toda la fuerza laboral, aun cuando la expectativa de comprensión por parte de los usuarios se considera baja, en las empresas debemos determinar la mejor manera de mitigar los errores humanos, que mayormente ha sido la principal causa de incidentes de seguridad, por ello les recomiendo pensar en términos generales sobre la conciencia básica de la ciberseguridad, así como pensar específicamente en los roles laborales que pueden necesitar un conocimiento más profundo.

Nivel de experiencia en ciberseguridad

Observando todo el panorama, la mayoría de las empresas no están donde quieren estar cuando se trata de conocimientos y habilidades de seguridad, especialmente para aquellos empleados que no son especialistas en ciberseguridad, por ejemplo al personal empresarial que es el primer segmento al que se debe abordar cuando se trata de experiencia en la fuerza laboral o los empleados que no trabajan directamente en TI,  ¿Qué tenemos ahí?, casi el 90% de las personas pensamos que ellos no necesitan una gran habilidad en ciberseguridad y es casi seguro que esa expectativa no se incluya en cualquier evaluación, entonces, el hecho de que el personal de la empresa ocupe el puesto más bajo no requiere de formación en ciberseguridad en comparación con las expectativas de las empresas que indica la necesidad de un nuevo enfoque, si lo razonamos, podemos deducir que es porque estamos dejando brechas.

En el contexto de la ciberseguridad, la parte sorprendente de esta construcción es que la mayoría de las empresas parecen estar dando el paso obvio para abordar el problema, veamos, tres de cada cuatro empresas con brechas en ciberseguridad entre su personal comercial dicen que están brindando capacitación en ciberseguridad para su fuerza laboral en general, mostrando que este número es constante en los diferentes tamaños de empresas: el 74% de las empresas pequeñas con menos de 100 empleados imparten formación, el 75% de las empresas medianas de 100-499 empleados y el 81% de las grandes empresas con más de 500 empleados, en la práctica puedo confirmarles que existe una correlación más fuerte entre la capacitación y la postura de ciberseguridad.

La formación se imparte en el 93% de las empresas que están completamente comprometidas con su ciberseguridad, si bien, aparentemente se está impartiendo capacitación en seguridad, obviamente no está mejorando la percepción de conciencia de la fuerza laboral, esta brecha tiene la capacidad de ocultar el verdadero estado de conocimiento y como se sienten con la ciberseguridad, de entre las empresas que brindan capacitación a la fuerza laboral, es interesante observar que la calificación de efectividad se corresponde estrechamente con la calificación de la experiencia del personal empresarial, no se molestan en saber como están los puestos debajo de ellos, por lo que  considero que para comprender las posibles explicaciones de la falta de eficacia en la formación puede ayudar a las empresas a determinar cuál debería ser su próximo paso para crear una fuerza laboral segura en todos sus niveles.

Formación Laboral en la ciberseguridad Rberny 2021

Efectividad de la formación en ciberseguridad

El estado del arte radica en encontrar los indicadores que nos permitan detectar el ítem más probable detrás de la capacitación ineficaz y del personal no calificado es ciberseguridad y su mayor característica viene de la falta de datos sólidos para definir el éxito, no profundizaré en las razones detrás de las percepciones individuales de las brechas de habilidades o la capacitación efectiva, no obstante, en mi experiencia he visto que se utilizan métricas para la función de ciberseguridad general, dicho de otra manera, es que la mayoría de las empresas no tienen un uso fuerte de métricas, y en este punto es probablemente que suceda el caso de la capacitación ineficaz de la fuerza laboral, que es un concepto relativamente nuevo en el campo de la ciberseguridad.

He tenido la fortuna de observar cómo varias empresas han intentado construir métricas en torno a la eficacia de la formación y el estado de la conciencia de la fuerza laboral, en alguna ocasión realizamos ataques de phishing simulados que nos mostraron cuántos empleados manejan correctamente los correos electrónicos sospechosos y luego de comparar los números antes y después de la capacitación, este sondeo no creo que se realice en muchas empresas, en mi caso donde he laborado practico evaluaciones periódicas del conocimiento de ciberseguridad que me permiten identificar áreas de debilidad y proporcionar ideas para capacitación específica, considero que este tipo de prácticas y métricas pueden brindar a las empresas datos concretos sobre iniciativas en lugar de dejarlo en manos de una mejor suposición.

La regla de oro es poner en práctica las métricas y esto requiere comprender qué medir, lo cual se puede convertir en un problema mayor que las empresas deben resolver, considerando que la formación de la fuerza laboral en ciberseguridad es un concepto relativamente nuevo, de alguna forma también es posible que las empresas no comprendan bien lo que constituye un conjunto de habilidades ideal en ciberseguridad y como mantener actualizados a los integrantes del negocio, algo que nos puede ayudar es que el problema se complica rápidamente al pensar en diferentes roles laborales, veamos una muestra, se dice que un trabajador en una planta de fabricación sin acceso al correo electrónico no tiene una necesidad crítica de identificar los correos electrónicos de phishing.

Esto nos lleva a una complicación agregada, saber qué nivel de habilidad realmente mitiga el riesgo de error humano, el conocimiento es un poder que se puede utilizar para ampliar el margen de mitigación, por supuesto, puede ser imposible correlacionar perfectamente el entrenamiento con la reducción del riesgo, con base en que ya existen dificultades para hacer que la capacitación sea efectiva, no se garantiza que invertir más dinero y energía en el problema impulse la mejora, esto es real y no siempre evidente, por lo que las empresas deben determinar el enfoque general de la capacitación en ciberseguridad del error humano, para llegar a esta decisión requiere un acuerdo entre todos los actores en los niveles más altos de la empresa, que incluye cada vez más una junta directiva u otro órgano de gobierno.

Recomiendo, siempre ir más allá de la fuerza laboral en general, abordar las brechas de habilidades entre el personal de TI que requiere un enfoque detallado, recordemos que se han producido dos cambios importantes que han impulsado la demanda en torno a las habilidades de ciberseguridad:

El primer cambio

Es que la ciberseguridad se ha ampliado más allá de la función de TI, donde antes las empresas podían ver la ciberseguridad como una de las muchas habilidades que necesita cada empleado de TI.

El segundo cambio

Aun cuando se deriva del primero, vemos que a medida que la seguridad emerge como una disciplina distinta, la complejidad de asegurar la infraestructura de vanguardia y los procesos operativos requiere un conjunto diverso de habilidades más especializadas.

Sin duda, estos cambios son responsables de un crecimiento significativo en los puestos de trabajo de ciberseguridad, según Burning Glass Technologies Labor Insights, las ofertas de trabajo en ciberseguridad crecieron un 34% entre 2017 y 2018, vemos que la demanda es increíblemente fuerte, pero la oferta está teniendo dificultades para mantenerse al día.

Formación ciberseguridad Rberny 2021

Brechas de habilidades en ciberseguridad entre el personal de TI

Las habilidades en demanda se clasifican en tres categorías principales de seguridad moderna:

  1. Tecnología
  2. Educación
  3. Procesos

Las habilidades más buscadas se encuentran en la categoría más tradicional de tecnología, ya sean las nuevas prácticas que reflejen una mentalidad más proactiva como análisis de ciberseguridad o pruebas de penetración, nuevas herramientas que abordan una infraestructura móvil y en la nube como prevención de pérdida de datos o administración de identidad y acceso o nuevas amenazas que aprovechan confianza digital como ingeniería social o ataques de denegación de servicio, las empresas necesitan que sus especialistas en TI y ciberseguridad estén al día en el panorama tecnológico.

Adyacente con los desafíos de educación de la fuerza laboral descritos anteriormente, existe la cuestión de quién administrará la capacitación y el monitoreo continuo del comportamiento del usuario final, interesante, ¿verdad?, sabemos que la mayoría de las empresas están buscando en su departamento de TI o proveedor de soluciones de seguridad para esto y eso impulsa la necesidad de habilidades relacionadas con la formación, es posible que muchos profesionales de TI hayan impartido formación sobre herramientas específicas, pero la educación en ciberseguridad tiene como objetivo modificar el comportamiento e implantar una comprensión sólida de las razones detrás de las políticas de seguridad.

El grupo final de habilidades de seguridad que están en demanda cubre los procesos necesarios para operaciones comerciales seguras, esto incluye el conocimiento de las leyes y regulaciones, que se están extendiendo rápidamente más allá de las industrias típicas altamente reguladas, también incluye otras políticas que deben implementarse en toda la organización, como la gestión de relaciones con partes externas o la realización de análisis de riesgos formales de sistemas y datos.

La escasez de profesionales de ciberseguridad disponibles es solo una de las razones por las que a las empresas les resulta difícil abordar sus brechas de habilidades de seguridad, de hecho, los cambios en el enfoque de seguridad corporativa me ha mostrado que el 58% de las empresas y la naturaleza compleja de la seguridad moderna son las principales razones por las que la ciberseguridad es más difícil de abordar que otras habilidades de TI, de igual manera, otras razones incluyen la falta de opciones de capacitación bien definidas y una menor prioridad asignada a la ciberseguridad en comparación con otras iniciativas tecnológicas.

Quizás debido a la falta de especialistas calificados en el mercado abierto, la contratación es la opción menos popular para cerrar las brechas de habilidades en ciberseguridad, con solo el 33% de las empresas que recientemente han buscado contrataciones adicionales, a su área de TI, se inclinan más en términos de buscar ayuda adicional, asociarse con empresas externas es una opción mucho más popular, con el 49% de las empresas que utilizan socios para abordar las deficiencias de ciberseguridad.

La opción más económica, así como la opción que brinda a las empresas más capacidad para administrar la ciberseguridad de manera estratégica, es concentrarse en los empleados existentes,  esto podría ser a través de capacitación la cual es utilizada por el 69% de las empresas o un 48%  que utilizan las certificaciones, por supuesto que las certificaciones obviamente representan una inversión más sustancial, mucho más sustancial y algunas empresas sienten que la capacitación actual es suficiente o no existe suficiente comprensión organizacional en torno al valor de las certificaciones.

Además de brindar a las empresas el conocimiento necesario para ajustar su enfoque de seguridad, las certificaciones brindan muchos beneficios para el individuo y la organización, las empresas pueden sentirse más seguras de que sus profesionales de seguridad tienen un conocimiento profundo, que están siguiendo prácticas actualizadas y se mantiene la coherencia cuando trabajan con otros equipos internos o externos.

Seguimiento en la ciberseguridad Rberny 2021

Seguimiento del progreso de ciberseguridad

A medida que la ciberseguridad se convierte en una preocupación estratégica continua, existe una mayor necesidad de medir el progreso y tomar decisiones basadas en datos, en entornos anteriores donde los esfuerzos de seguridad se centraban en simplemente instalar firewalls y software antivirus, la métrica era igualmente simple, se decía, cero brechas de seguridad, en un entorno donde los esfuerzos de seguridad son mucho más complejos, lo que inevitablemente genera un costo más alto, por lo que debe haber una mejor medición del esfuerzo y la inversión.

En comparación con 2019, ha habido un aumento considerable en la cantidad de empresas que utilizan métricas para impulsar su función de ciberseguridad, sorprendentemente, las pequeñas empresas parecen estar tomando la delantera en esta área, con un 48% de las pequeñas que indican un uso intensivo de métricas en comparación con el 37% de las grandes y el 27% de las medianas, si bien puede haber algunas dudas en torno a este número, ya que las pequeñas empresas tienen la menor cantidad de experiencia en seguridad, bien eso se cree en el mercado, también es más probable que utilicen un tercero para la seguridad administrada, lo que impulsa las métricas en torno al servicio que se brinda, si no la eficacia real del mismo.

Uso de métricas de seguridad en aumento

Existe un contraste aún más marcado cuando se examinan las empresas en función de la satisfacción con su postura actual de seguridad, la mayoría de las empresas completamente satisfechas 64% afirman un uso intensivo de métricas de seguridad, en comparación, solo el 19% de las empresas moderadamente satisfechas usan métricas al mismo ritmo, y las empresas que sienten que su seguridad es simplemente adecuada o insatisfactoria se ubican en un rango aún más bajo, 16%.

Claramente, aquellas empresas que se sienten completamente satisfechas con su postura de seguridad pueden hablar con más confianza porque están midiendo sus esfuerzos, establecer métricas no es una tarea fácil, en un campo con recursos limitados, la principal razón dada para no usar métricas de seguridad es que no hay suficientes recursos disponibles para el seguimiento de métricas en forma regular, sin embargo, trabajar para incluir métricas a medida que la función de seguridad se vuelve más formal, dará frutos en la configuración de la disciplina corporativa.

El punto de partida para las métricas de seguridad es determinar qué partes de la organización estarán involucradas en el proceso, dado que la seguridad se vuelve cada vez más crítica para las operaciones comerciales, para mí tiene mucho sentido que el éxito del monitoreo se extienda más allá de la función de TI, por lo que es probable que los empleados de TI establezcan las métricas relevantes, en este estudio de dos años, el 67% de las empresas me comentan este comportamiento, sin embargo, revisar las métricas es una actividad mucho más colaborativa, en todos los niveles de una organización deben estar bien representados en la revisión de las métricas de ciberseguridad, desde la función de TI existente en el 51% de las empresas hasta la gerencia media del 57% y los altos ejecutivos 55%, el salto interanual (Presupuestos) más significativo en términos de participación organizacional se produjo entre los consejos de administración u otros órganos de gobierno, en 2019, el 30% de las empresas me indicó que una junta directiva estaba involucrada en el establecimiento de métricas de seguridad y el 38% comentó haber participado en la revisión de métricas,  para noviembre del 2020, esas cifras se sitúan en 42% y 53%, respectivamente.

Si existe un entorno colaborativo, la siguiente pregunta es ¿qué métricas de seguridad son las mejores para usar?, no hay una respuesta definitiva en esta etapa; una agrupación ajustada de varias métricas de seguridad en uso indica que las empresas están experimentando para encontrar la combinación adecuada, es sorprendente ver que aún no han surgido las mejores prácticas en torno a las métricas.

Las empresas se encuentran en las primeras etapas de reconocer que la seguridad es una función que requiere un enfoque dedicado, a medida que desarrollen esta función, volviéndose más proactivos en las áreas de tecnología, procesos y formación, aprenderán qué métricas cuantifican mejor sus esfuerzos y les permitirán correlacionar la ciberseguridad con el éxito general.

Las empresas tienen la oportunidad de disponer de determinados datos que les ayudan a mejorar el desarrollo de su plan de negocio, para realizar una medición adecuada del éxito o fracaso de una acción hay que tener en cuenta la tasa de rebote y la tasa de conversión.

Tipos de métricas utilizadas para la ciberseguridad

Metricas en la ciberseguridad Rberny 2021

Metodología de investigación

Este estudio es cuantitativo y consistió en una serie de preguntas a profesionales de la fuerza laboral y de tecnologías de la información, desde el mes de noviembre del 2017 hasta el 30 de noviembre del 2020, durante este periodo se preguntó de forma personal a 400 empresas, colegas, amigos, y de TI, Recursos Humanos, CEO, CIO, etc. lo que arrojó un margen general de muestreo al 95% de confianza de +/- 7,0 puntos porcentuales.

Como ocurre con cualquier encuesta, el error de muestreo es solo una fuente de posible error, entonces, si bien el error ajeno al muestreo no se puede calcular con precisión, se tomaron medidas de precaución en mi diseño de la recopilación y el procesamiento de los datos para minimizar su influencia.

En este sentido, se observaron que las métricas más técnicas son especialmente útiles para gestiones operativas como sistemas de detección de intrusos (IDS), Antivirus, Firewalls, WAF o Gestor de Información de Eventos de Seguridad (SIEM), entre otras herramientas de seguridad, la información principal que pueden indicar es si las plataformas se manejan del modo adecuado o no, la identificación de vulnerabilidades o si estas reciben el seguimiento correspondiente.

En mi opinión, estas métricas son de poco valor desde un punto de vista de gestión, ya que:

  • Realmente, no contribuyen en la alineación estratégica con los objetivos de la organización.
  • No agregan valor a saber qué tanto se gestionan los riesgos.
  • Proporcionan escasas medidas de cumplimiento de políticas u objetivos de posible impacto.
  • No brindan información con respecto a si el esquema de seguridad de la información está en la dirección indicada y consiguiendo los resultados deseados.

Por este motivo, las métricas relevantes que traten requerimientos desarrollados y alineados con las gerencias del negocio tendrán mayores beneficios, siendo más eficaces para la seguridad de la organización.

Por ejemplo, en determinados casos, algunas auditorías completas y evaluaciones de riesgo exhaustivas son las únicas acciones que llevan a cabo las organizaciones para brindar esta perspectiva tan extensa, no obstante, desde el punto de vista de gestión, son trascendentes y necesarias, estas actividades proporcionan solo una imagen estática, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la ciberseguridad; tampoco proporcionan la información necesaria para tomar decisiones prudentes.

Aun cuando no existe una escala estandarizada de manera universal que sea objetiva para la seguridad, es posible diseñar métricas cuantitativas eficaces que permitan guiar el desarrollo y la gestión de programas en aquellas organizaciones que hayan desarrollado objetivos de ciberseguridad claros.

En esencia, las métricas pueden reducirse a cualquier medida de los resultados del programa de ciberseguridad que avance hacia los objetivos definidos, por último, también se debe entender que se requieren diferentes métricas para facilitar información en los niveles estratégico, táctico y operacional, por ejemplo, actualmente la gestión de contraseñas y derechos son mucho más complejos; especialmente cuando los recursos que deben protegerse y la forma en que se accede a estos se alejan cada vez más del mundo tradicional en las implementaciones de TI.

Entonces, ¿por dónde debemos empezar?

Muchos argumentarán que proteger el perímetro es lo más importante que puedes hacer, otros dirán que el cifrado y la protección de datos, sin embargo, considero que el verdadero núcleo de la ciberseguridad es la identidad, después de todo, el objetivo es asegurarse de que las personas correctas tengan el permiso y uso compartido a reglas de acceso muy definidas según el rol, la ubicación e incluso las circunstancias.

La autorización es a menudo donde falla la ciberseguridad, si alguien ha recibido derechos más allá de lo necesario, esas cuentas son objetivos principales para los cibercriminales, todas las infracciones importantes se remontan al abuso o uso indebido de este tipo de cuentas y los peligrosos derechos que poseen.

El cambio de una estrategia separada basada en cuentas a un enfoque unificado centrado en la identidad reduce la complejidad, agiliza las operaciones, fortalece la seguridad y permite el control, por ello debemos estar conscientes que la ciberseguridad aplica ya a todas las personas que utilicen medios tecnológicos para comunicarse y realizar sus tareas diarias, así como a todos los equipos que tengan conectividad a red, ya sea continúa o esporádicamente, de esta manera el panorama es bastante amplio y muchas veces no se puede abarcar todo, no obstante, una buena estrategia con fundamento en las métricas correctas, puede hacerlo posible.

Me interesa saber que piensan al respecto, compartir, comentar, esto no pretende ser una norma o reglas, como les comenté, una plática entre amigos sobre como la tecnología aplica a todos y como la ciberseguridad puede afectarnos si la ignoramos, aun de forma personal.

Saludos

Ayúdame a llegar a más personas

Actualizaciones del Boletín

Ingrese su dirección de correo electrónico a continuación para suscribirse a nuestro boletín.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.