Escuchamos bastante este fragmento de sabiduría convencional: "Los empleados son el 'eslabón más débil' en la cadena de ciberdefensa". Entendemos por qué lo decimos. Diablos, hemos sido culpables de decirlo nosotros mismos.

Y los hechos parecen respaldarlo. De acuerdo a el informe Cost of Cybercrime 2017 del Ponemon Institute, "El sesenta y nueve por ciento de las empresas experimentaron ataques de phishing e ingeniería social" en 2017, solo un uno por ciento menos que en 2016.

El phishing, la ingeniería social y los ataques internos le cuestan a las empresas estadounidenses un promedio de $2.7M, superando el costo del malware ($2.4M) y la denegación de servicio ($1.6M). Dada la prevalencia y el costo de los ataques que se centran en los empleados, es comprensible por qué sentimos que nuestros empleados son el eslabón débil.

Por qué las palabras importan

Desafortunadamente, cuando nos permitimos adoptar esta mentalidad, en la que los empleados son "riesgos" que deben "mitigarse", creamos una relación de confrontación entre nosotros y nuestra comunidad y, al mismo tiempo, descartamos una de las mejores oportunidades que tenemos para defendernos.

Se podría decir que solo estamos discutiendo la semántica, que en realidad estamos diciendo lo mismo y solo estamos usando palabras diferentes. Lo admitiremos, hay algo de verdad en sus palabras, pero creemos que las palabras importan. Son importantes porque las palabras preparan el escenario para nuestro estado de ánimo y cómo interactuamos con el mundo. No solo eso, sino que transmiten al mundo qué y cómo pensamos.

Las palabras que usamos proyectan nuestra actitud, y esa actitud puede energizar y motivar, o puede alienar y desmoralizar. Tome un empleado hipotético: Joe de Contabilidad. Es un empleado modelo; serio, honesto y trabajador. Es un gran contador, pero no es tan bueno con la tecnología, lo cual está bien, porque no es su trabajo ser bueno con la tecnología.

Joe es un objetivo principal para el phishing y el compromiso del correo electrónico comercial. Podemos abordar a Joe como un riesgo que debe mitigarse, lo que suena razonable y apropiado. Pero si nuestra mentalidad es que Joe mismo es el problema, nuestra comunicación verbal y no verbal con él y sus colegas lo transmitirá.

Terminaremos perdiendo el corazón de Joe y probablemente el corazón de sus compañeros de trabajo. La comunidad desarrollará un mal gusto por el equipo de seguridad y se irá pensando que somos condescendientes, demasiado impresionados con nuestra propia importancia y que vemos a todos los demás como “el problema”.

Acérquese a los empleados como socios

Pero, ¿y si en lugar de abordar a Joe como un problema, lo abordamos a él y a sus colegas como socios? Esto no solo nos permite mitigar el riesgo inmediato, que es real, sino que también nos da la oportunidad de crear un multiplicador de fuerza. Acercarnos a nuestros empleados como nuestra mejor oportunidad para crear un entorno seguro obliga a cambiar el panorama de seguridad de toda la organización.

En algún nivel, todos se convierten en miembros del equipo de seguridad. Todo el mundo hace preguntas y es consciente del riesgo. Se supone que los correos electrónicos sospechosos son maliciosos en lugar de inocentes, las computadoras se bloquean cuando los empleados abandonan sus escritorios y las credenciales se deslizan al ingresar a áreas seguras.

Una de las mejores preguntas de seguridad que nos han hecho la hizo el jefe de policía del condado de Fairfax, Virginia. Le preguntó a nuestra cohorte de graduados: "¿Quién mantiene la ley y el orden en el condado de Fairfax?" Ahora imagine una sala llena de geeks cibernéticos y de políticas respondiendo a esta pregunta. La conversación fue dinámica y entusiasta, y nuestras respuestas estaban por todas partes.

Cuando nadie brindó una respuesta adecuada, nos dijo: “Tú sí. Cada uno de ustedes cuando se levantan por la mañana y participan en nuestra comunidad. Estoy aquí por las excepciones; usted es responsable de la ley y el orden cotidianos”.

Nos decía que cada uno de nosotros era miembro de su equipo de seguridad. Que todos somos responsables de la seguridad de nuestro entorno. Que al cerrar nuestras casas y autos, participamos en asegurar la comunidad. Al estar alerta y reconocer el peligro antes de que ocurra, participamos en la protección de nuestra comunidad.

Se necesita un cambio de mentalidad

Creemos que lo mismo es cierto en cibernética. No podemos hacerlo solos; necesitamos que toda la comunidad a la que servimos esté despierta y alerta. En el mundo físico hemos perfeccionado estas habilidades durante décadas (o más) de vida. En el mundo cibernético, muchos de nosotros no hemos aprendido o no nos han enseñado estas habilidades. Depende de nosotros, los expertos en ciberseguridad y seguridad, ayudar a nuestros compañeros de trabajo a construir y desarrollar estas habilidades.

Al final del día, tratar a los empleados como problemas socava la cultura que estamos tratando de fomentar. Los empleados no son nuestro eslabón más débil; representan nuestra mejor oportunidad para un futuro seguro. Si les estamos pidiendo que cambien su mentalidad para incorporar la seguridad cibernética, es justo que estemos dispuestos a corresponder. Necesitamos cambiar nuestra mentalidad para verlos como socios y defensores, no como problemas y riesgos.

iDS proporciona soluciones de datos de consulta a corporaciones y bufetes de abogados de todo el mundo, lo que les otorga una ventaja decisiva, tanto dentro como fuera de la sala del tribunal. Nuestros expertos en la materia y estrategas de datos se especializan en encontrar soluciones a problemas de datos complejos, lo que garantiza que los datos se puedan aprovechar como un activo y no como un pasivo.