Cibersensibilización: ¿cómo afrontar el reto?

POR QUÉ ES NECESARIO SENSIBILIZARSE CIBERNÉTICAMENTE

La guía de higiene informática de la ANSSI nos recuerda hasta qué punto la concienciación contribuye a establecer y mantener un buen nivel de seguridad:

“Cada usuario es un eslabón de la cadena de los sistemas de información. Como tal, desde su incorporación a la entidad, debe ser informado de las cuestiones de seguridad, de las normas que deben respetarse y de los comportamientos correctos que deben adoptarse en materia de seguridad de los sistemas de información, mediante iniciativas de sensibilización y formación”.

La sensibilización a las reglas básicas es tanto más esencial cuanto que las prácticas evolucionan en el sentido de una mayor exposición de las empresas a las amenazas de todo tipo (fuente: estudio CLUSIF MIPS, edición 2020):

• El 36% de las empresas permite el acceso externo a su SI desde puestos de trabajo no controlados (cibercafés, puestos de trabajo personales);
• El 70% permite el acceso del personal a través de tabletas o teléfonos inteligentes personales (BYOD);
• El 71% admite utilizar servicios externos de mensajería instantánea (Skype, Messenger, etc.);
• El 70% autoriza el uso de redes sociales externas (Facebook, LinkedIn, etc.).

Por lo tanto, todos los empleados de cualquier empresa son susceptibles, inadvertidamente o por ignorancia, de generar vulnerabilidades, con una lista interminable de malas prácticas:

• contraseñas demasiado simples o escritas en un papel ;
• divulgación de información sensible en las redes sociales;
• usar un portátil sin pantalla de privacidad cuando se viaja en tren…

POR QUÉ ES DIFÍCIL CONCIENCIAR SOBRE LOS CIBERRIESGOS

La primera razón es organizativa. ciberseguridad Dado que la misión del CISO es transversal, los programas de sensibilización no deben ocupar todo su tiempo de trabajo. Según la edición 2020 del estudio del CLUSIF “Amenazas informáticas y prácticas de seguridad en Francia”, esta misión sólo representa el 14% del trabajo diario del CISO.

El CISO se enfrenta, por tanto, a un problema de tiempo, al que a veces se añaden limitaciones presupuestarias. Pero más allá de estas consideraciones, el verdadero reto para los CISO a la hora de concienciar es lidiar con el factor humano.

• Actitudes de los empleados

Están los que creen que ya lo saben todo, los que no se sienten concernidos por , e incluso los que se niegan a seguir instrucciones por reticencia al cambio… ante la variedad de estos comportamientos y la irritación que pueden generar, ¡no siempre es fácil para los CISO mantener la calma y la motivación!

• La postura del CISO

La sensibilización es como la puesta en marcha de una campaña publicitaria: hay que identificar a los destinatarios, encontrar el mensaje adecuado para cada uno de ellos y, a continuación, elegir los canales adecuados. Sin embargo, los CISO siguen teniendo un perfil predominantemente técnico, por lo que pueden encontrarse con sus propias dificultades personales (timidez, dudas sobre su potencial creativo, etc.).

COMO CISO, ¿CÓMO ESTRUCTURA SU CONCIENCIA CIBERNÉTICA?

La cibersensibilización, como muchos proyectos que implican la gestión del cambio, es una cuestión de pequeños pasos, pero también de eficacia: independientemente de lo que la organización ponga en marcha y de los presupuestos asignados, ¡sólo funcionará si los usuarios se sienten implicados y responsables! Para conseguirlo, los CISO tienen una serie de palancas que activar. Pour ce faire, les RSSI disposent de plusieurs leviers à activer.

Encontrar apoyo

• Alta dirección

Como parte del diálogo que establecen con sus directivos, todo CISO aborda necesariamente la cuestión de la cibersensibilización.

Si el Comité Ejecutivo no parece muy entusiasmado con el tema… El CISO tendrá que ingeniárselas. Frente alargumento presupuestario, le toca organizar talleres o discursos a menor coste.

¿Duda el Comité Ejecutivo del valor de las acciones propuestas? No hay problema: el CISO puede empezar su labor de concienciación tendiendo una trampa a los directivos (enviándoles una llave USB, por ejemplo) y mostrándoles con el ejemplo lo que puede ocurrir cuando no se tiene cuidado.

• El departamento de comunicación

¿Cómo hacer que un mensaje sea accesible, o incluso divertido? ¿Qué formatos deben utilizarse? Hablando con el departamento de comunicación, los CISO tienen todas las posibilidades de obtener ayuda creativa y técnica.

La guinda del pastel es que esta colaboración es también una oportunidad para concienciar al departamento de los riesgos a los que algunas de sus prácticas de servicio exponen a la empresa (como utilizar los servicios de agencias web sin informar al Departamento de Informática, por ejemplo).

• El departamento de recursos humanos

La ciberseguridad sigue presentándose como una obligación, a menudo en forma de una carta informática que los empleados deben firmar en el momento de su contratación. Sin embargo, muchos empleados, incluso si son conscientes de que se han comprometido a respetar las normas, tienden a olvidarlas rápidamente… El departamento de recursos humanos es por tanto un valioso aliado para el CISO, que puede recurrir a ellos a lo largo de toda la carrera del empleado.

• Campeones de la seguridad, o early adopters

¿Qué directivos son más receptivos a las charlas sobre ? ¿Quiénes son los buenos alumnos en sus equipos? El CISO debe absolutamente identificarlos, porque estos “campeones” desempeñarán un papel en la misión de evangelización, garantizando la difusión de los mensajes y las buenas prácticas.

Como en el marketing, los individuos que son los primeros en adoptar una nueva tendencia consiguen atraer a su estela a la mayoría silenciosa, formada por personas con un temperamento más “seguidor”… ¡hasta que el movimiento acaba por alcanzar a los más resistentes!

Utilizar los recursos existentes

Las campañas de sensibilización en materia de seguridad no tienen por qué ser caras para ser eficaces. Ante la falta de recursos (e incluso de tiempo), los CISO no deben dudar en utilizar los métodos de concienciación existentes, o en injertar sus acciones en las emprendidas por otros departamentos: he aquí dos ejemplos.

• Campañas de vídeo: en YouTube, el grupo de interés público ACYMA (Actions contre la malveillance) ofrece vídeos gratuitos de sensibilización sobre temas esenciales (utilizar una contraseña demasiado simple, tapar las brechas de seguridad actualizándolas, suplantación de identidad, etc.).
• Goodies: ¿tiene previsto la empresa repartir alfombrillas de ratón, calendarios o bolígrafos? Son artículos baratos que el CISO puede utilizar para transmitir mensajes breves y que los empleados tendrán delante todo el día.

Concentrarse en lo que funciona

El fracaso de las campañas de ciberconcienciación se debe a menudo a la irrelevancia de los medios de comunicación elegidos. Por lo tanto, el CISO debe clasificar los medios y canales a su disposición, utilizando la siguiente lista de comprobación.

• 1^er nivel: Información simple y descendente, por correo electrónico, boletín, conferencia o póster. Estos métodos no siempre son eficaces: sin ser estimulados, los empleados tienden a no retener el mensaje… o incluso a no escucharlo o leerlo.

• Nivel ²: Información con un poco más de espectáculo, por ejemplo con vídeos educativos. Más accesible que el contenido escrito y más atractivo, este formato facilita la difusión periódica de mensajes (por ejemplo, proyectando vídeos en las pantallas de las salas de descanso) y produce un mayor impacto.

• Nivel ³: experimentación, con prácticas como elenvío de un archivo trampa, para luego poder explicar a los empleados cómo abrirlo podría ser peligroso para toda la SI. Este nivel también corresponde a las operaciones de “choque”, como el pirateo de teléfonos con un mensaje de texto durante una convención. Sea cual sea la estratagema utilizada, el efecto beneficioso sigue siendo el mismo: los empleados se sienten concernidos porque han vivido la experiencia y, por tanto, es más probable que recuerden las buenas prácticas que deben adoptar.

• Nivel ⁴: la gamificación, o el uso de juegos serios, basados en el aprendizaje experiencial, con el empleado como jugador de pleno derecho. Original e interactivo, este formato representa una inversión importante, pero tiene la ventaja de ser especialmente atractivo para la Generación Y.

Por último, la creación de una identidad visual es una ventaja. Permitirá a los empleados identificar rápidamente los mensajes de ciberseguridad, pero también familiarizarse con el concepto e integrarlo más fácilmente en su vida cotidiana.