{"id":24477,"date":"2023-04-10T10:28:36","date_gmt":"2023-04-10T08:28:36","guid":{"rendered":"https:\/\/www.metafrase.es\/?p=24477"},"modified":"2023-04-10T10:28:36","modified_gmt":"2023-04-10T08:28:36","slug":"su-estrategia-de-ciberseguridad-esta-siendo-victima-de-estos-6-errores-comunes","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/su-estrategia-de-ciberseguridad-esta-siendo-victima-de-estos-6-errores-comunes\/","title":{"rendered":"\u00bfSu estrategia de ciberseguridad est\u00e1 siendo v\u00edctima de estos 6 errores comunes?"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">La investigaci\u00f3n del NIST revela conceptos err\u00f3neos que pueden afectar a los profesionales de la seguridad y ofrece soluciones.<\/h2>\n\n\n\n<p><\/p>\n\n\n\n<p>\u00bfSu equipo de seguridad considera a los empleados de su organizaci\u00f3n como sus aliados o sus enemigos?&nbsp;\u00bfCreen que los empleados son el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena de seguridad?&nbsp;Pong\u00e1moslo m\u00e1s amplio y sin rodeos: \u00bfSu equipo asume que los usuarios no tienen ni idea?&nbsp;<\/p>\n\n\n\n<p>Sus respuestas a esas preguntas pueden variar, pero&nbsp;<a href=\"https:\/\/csrc.nist.gov\/csrc\/media\/Projects\/usable-cybersecurity\/documents\/Final_Proof_Users_are_not_stupid.pdf\" target=\"_blank\" rel=\"noopener\">un art\u00edculo reciente<\/a>&nbsp;de la cient\u00edfica inform\u00e1tica del Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST, por sus siglas en ingl\u00e9s), Julie Haney, destaca un problema generalizado dentro del mundo de la seguridad inform\u00e1tica: muchos especialistas en seguridad albergan conceptos err\u00f3neos sobre los usuarios de la tecnolog\u00eda de la informaci\u00f3n y estos conceptos err\u00f3neos pueden aumentar el riesgo de infracciones de seguridad cibern\u00e9tica de una organizaci\u00f3n.&nbsp;Estos problemas incluyen comunicaciones ineficaces para los usuarios no profesionales y la incorporaci\u00f3n inadecuada de los comentarios de los usuarios sobre la usabilidad del sistema de seguridad.&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Una persona se prepara para columpiarse en una enredadera sobre un pozo, donde un cocodrilo etiquetado como &quot;conceptos err\u00f3neos&quot; espera con las fauces abiertas.\" class=\"lazyload\" data-src=\"https:\/\/www.nist.gov\/sites\/default\/files\/images\/2023\/01\/27\/CyberSecurityPitalls_960x600_v4_HeaderImage_words_Gators.png\"><figcaption class=\"wp-element-caption\"><em>Fuente: NIST<\/em><\/figcaption><\/figure>\n\n\n\n<p>\u201cLos especialistas en seguridad cibern\u00e9tica son profesionales capacitados y dedicados que realizan un gran servicio para protegernos de las amenazas cibern\u00e9ticas\u201d, dijo Haney.&nbsp;\u201cPero a pesar de tener las intenciones m\u00e1s nobles, la fuerte dependencia de la tecnolog\u00eda de su comunidad para resolver los problemas de seguridad puede disuadirlos de considerar adecuadamente el elemento humano, que juega un papel importante en la seguridad utilizable y efectiva\u201d. &nbsp;<\/p>\n\n\n\n<p>El elemento humano se refiere a los factores individuales y sociales que afectan la adopci\u00f3n de la seguridad por parte de los usuarios, incluidas sus percepciones de las herramientas de seguridad.&nbsp;Una herramienta o enfoque de seguridad puede ser poderoso en principio, pero si los usuarios perciben que es un obst\u00e1culo y tratan de eludirlo, los niveles de riesgo pueden aumentar.&nbsp;Un&nbsp;<a href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/2022\/dbir\/2022-dbir-data-breach-investigations-report.pdf\" target=\"_blank\" rel=\"noopener\">informe reciente<\/a>&nbsp;de Verizon estim\u00f3 que el 82 % de las infracciones de 2021 involucraron al elemento humano, y en 2020, el 53 % de los&nbsp;incidentes cibern\u00e9ticos del gobierno de EE. UU&nbsp;. se debieron a que los empleados violaron las pol\u00edticas de uso aceptable o sucumbieron a los ataques de correo electr\u00f3nico.&nbsp;<\/p>\n\n\n\n<p>Haney, que tiene una combinaci\u00f3n comparativamente inusual de experiencia tanto en seguridad cibern\u00e9tica como en computaci\u00f3n centrada en el ser humano, escribi\u00f3 su nuevo art\u00edculo, \u00abLos usuarios no son est\u00fapidos: Se anularon seis trampas de seguridad cibern\u00e9tica\u00bb, para ayudar a las comunidades de seguridad y usuarios a convertirse en aliados para mitigar los riesgos cibern\u00e9ticos. . &nbsp;<\/p>\n\n\n\n<p>\u201cNecesitamos un cambio de actitud en ciberseguridad\u201d, dijo Haney.&nbsp;\u201cHablamos con los usuarios en un idioma que realmente no entienden, agobi\u00e1ndolos y menospreci\u00e1ndolos, pero a\u00fan esperando que sean profesionales estelares de la seguridad.&nbsp;Ese enfoque no los prepara para el \u00e9xito.&nbsp;En lugar de ver a las personas como obstruccionistas, debemos empoderarlos y reconocerlos como socios en ciberseguridad\u201d.&nbsp;<\/p>\n\n\n\n<p>El documento detalla seis trampas que amenazan a los profesionales de la seguridad (&nbsp;<a href=\"https:\/\/tsapps.nist.gov\/publication\/get_pdf.cfm?pub_id=936113\" target=\"_blank\" rel=\"noopener\">tambi\u00e9n disponibles en este folleto<\/a>&nbsp;), junto con posibles soluciones: &nbsp;<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Asumiendo que los usuarios no tienen ni idea.&nbsp;<\/strong>Aunque las personas cometen errores, menospreciar a los usuarios puede resultar en una relaci\u00f3n poco saludable de \u00abnosotros contra ellos\u00bb entre los usuarios y los profesionales de ciberseguridad.&nbsp;La investigaci\u00f3n sobre los no expertos revela que los usuarios simplemente est\u00e1n abrumados y, a menudo, sufren&nbsp;<a href=\"https:\/\/www.nist.gov\/news-events\/news\/2016\/10\/security-fatigue-can-cause-computer-users-feel-hopeless-and-act-recklessly\" target=\"_blank\" rel=\"noopener\">fatiga de seguridad<\/a>&nbsp;.&nbsp;Una posible soluci\u00f3n consiste en establecer relaciones positivas con los usuarios y empoderarlos para que sean socios activos y capaces en materia de ciberseguridad.&nbsp;<\/li>\n\n\n\n<li><strong>No adaptar las comunicaciones a la audiencia.&nbsp;<\/strong>Los profesionales de la seguridad a menudo usan una jerga t\u00e9cnica que reduce la participaci\u00f3n de la audiencia y es posible que no adapten las lecciones de manera que atraigan lo que les importa a los usuarios en su vida diaria.&nbsp;Varias estrategias pueden ayudar, desde centrarse en mensajes en un lenguaje sencillo hasta presentar informaci\u00f3n en m\u00faltiples formatos y solicitar la ayuda de la oficina de asuntos p\u00fablicos de una organizaci\u00f3n. &nbsp;<\/li>\n\n\n\n<li><strong>Creaci\u00f3n involuntaria de amenazas internas debido a la mala usabilidad.&nbsp;<\/strong>Los usuarios que ya est\u00e1n al l\u00edmite debido a presiones de tiempo u otras distracciones pueden convertirse ellos mismos en amenazas sin darse cuenta, ya que se vuelven propensos a tomar malas decisiones.&nbsp;(Por ejemplo, las pol\u00edticas de contrase\u00f1as complejas pueden inspirar malas decisiones, como usar la misma contrase\u00f1a en varias cuentas). La descarga de la carga de seguridad del usuario puede ayudar, por ejemplo, explorando si el servidor puede filtrar m\u00e1s el correo para que haya menos phishing. pasan los correos electr\u00f3nicos.&nbsp;Adem\u00e1s, al probar nuevas soluciones de seguridad, probar el enfoque primero con un peque\u00f1o grupo de usuarios puede revelar una posible confusi\u00f3n que se puede corregir antes de una implementaci\u00f3n m\u00e1s amplia.&nbsp;<\/li>\n\n\n\n<li><strong>Tener demasiada seguridad.&nbsp;<\/strong>\u201cDemasiado\u201d implica que una soluci\u00f3n de seguridad puede ser demasiado r\u00edgida o restrictiva para el contexto laboral espec\u00edfico.&nbsp;Si bien usar siempre las herramientas m\u00e1s seguras disponibles suena inteligente en principio, algunos usuarios pueden encontrar la complejidad resultante sofocante para el trabajo diario, lo que los lleva a violar las pol\u00edticas de seguridad con m\u00e1s frecuencia.&nbsp;En lugar de una postura de \u00abtalla \u00fanica para todos\u00bb, realizar una evaluaci\u00f3n de riesgos utilizando un&nbsp;<a href=\"https:\/\/csrc.nist.gov\/projects\/risk-management\/about-rmf\" target=\"_blank\" rel=\"noopener\">marco de gesti\u00f3n de riesgos<\/a>&nbsp;puede ayudar a determinar qu\u00e9 nivel de ciberseguridad se adapta mejor a un entorno determinado. &nbsp;<\/li>\n\n\n\n<li><strong>Dependiendo de medidas punitivas o mensajes negativos para lograr que los usuarios cumplan.&nbsp;<\/strong>El refuerzo negativo es com\u00fan dentro de las organizaciones hoy en d\u00eda: los ejemplos incluyen deshabilitar cuentas de usuario si no se complet\u00f3 la capacitaci\u00f3n en seguridad y avergonzar p\u00fablicamente a las personas que causan incidentes de seguridad cibern\u00e9tica.&nbsp;Ya sea que estas medidas funcionen o no a corto plazo, generan resentimiento hacia la seguridad a largo plazo.&nbsp;En cambio, ofrecer incentivos positivos para los empleados que respondan a las amenazas de manera adecuada puede mejorar las actitudes hacia la seguridad, al igual que adoptar un enfoque de colaboraci\u00f3n con los usuarios que luchan.&nbsp;<\/li>\n\n\n\n<li><strong>No considerar medidas de efectividad centradas en el usuario.&nbsp;<\/strong>Dado que los empleados a menudo encuentran que la capacitaci\u00f3n en seguridad es una actividad aburrida, \u00bfcu\u00e1nto est\u00e1n reteniendo realmente?&nbsp;Sin comentarios directos de los usuarios e indicadores concretos de comportamiento, las organizaciones pueden tener dificultades para responder esa pregunta.&nbsp;Es \u00fatil pensar en m\u00e9tricas concretas como identificadores de s\u00edntomas, como llamadas a la mesa de ayuda que revelan los puntos d\u00e9biles de los usuarios e incidentes como clics de phishing que pueden mostrar d\u00f3nde los usuarios necesitan m\u00e1s soporte.&nbsp;Despu\u00e9s de identificar los s\u00edntomas, los equipos de seguridad pueden usar encuestas, grupos focales u otras interacciones directas con los usuarios para determinar la causa ra\u00edz de los problemas y mejorar sus soluciones.&nbsp;<\/li>\n<\/ol>\n\n\n\n<p>Haney enfatiz\u00f3 que no todos los profesionales de la seguridad tienen estos conceptos err\u00f3neos;&nbsp;ciertamente hay equipos y organizaciones de seguridad que est\u00e1n logrando avances positivos en el reconocimiento y tratamiento del elemento humano de la seguridad.&nbsp;Sin embargo, estos conceptos err\u00f3neos siguen siendo frecuentes dentro de la comunidad.&nbsp;<\/p>\n\n\n\n<p>Haney dijo que aunque el problema de descuidar el elemento humano ha sido bien conocido durante a\u00f1os (su art\u00edculo cita evidencia de encuestas de la industria, publicaciones gubernamentales y publicaciones de investigaci\u00f3n de seguridad utilizable, as\u00ed como el trabajo original de su grupo de investigaci\u00f3n), existe una brecha entre los hallazgos de la investigaci\u00f3n. y practica.&nbsp;<\/p>\n\n\n\n<p>\u201cHa habido mucha investigaci\u00f3n sobre este tema, pero la investigaci\u00f3n no est\u00e1 llegando a manos de personas que puedan hacer algo al respecto.&nbsp;No saben que existe\u201d, dijo.&nbsp;\u201cAl trabajar en NIST, donde tenemos una conexi\u00f3n con todo tipo de expertos en TI, vi la posibilidad de cerrar esa brecha.&nbsp;Espero que llegue a sus manos\u201d.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"731\" height=\"1024\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" class=\"wp-image-24480 lazyload\" sizes=\"(max-width: 731px) 100vw, 731px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-731x1024.jpg\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-731x1024.jpg 731w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-214x300.jpg 214w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-768x1075.jpg 768w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-1097x1536.jpg 1097w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1-1463x2048.jpg 1463w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/03\/Julie-Haney-5x7-1.jpg 1500w\"><figcaption class=\"wp-element-caption\"><em>Julie Hanie, National Institute of Standards and Technology<\/em><\/figcaption><\/figure>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La investigaci\u00f3n del NIST revela conceptos err\u00f3neos que pueden afectar a los profesionales de la seguridad y ofrece soluciones. \u00bfSu equipo de seguridad considera a los empleados de su organizaci\u00f3n como sus aliados o sus enemigos?&nbsp;\u00bfCreen que los empleados son el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena de seguridad?&nbsp;Pong\u00e1moslo m\u00e1s amplio y sin rodeos: \u00bfSu [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":24479,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-24477","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=24477"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24477\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/24479"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=24477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=24477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=24477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}