28 ene. 2016

Los CISOs deben tomar enserio el entrenamiento en seguridad [I]

La formación y awareness en seguridad es fundamental para la organización, y ahora, es más importante que nunca. En muchos sentidos la concientización en seguridad y la formación ejemplifica cómo los altos directivos se toman la protección de la información de sus clientes.

El enfoque tradicional de capacitar una vez al año en un aula, instalar algunas actualizaciones de seguridad y colocar avisos escritos en las paredes y la Intranet, a menudo hacen "apaciguar" a autoridades de protección de datos, PCI y reguladores de industria; pero la capacitación ofrecida de esta manera es relativamente básica y podría decirse que hasta condescendiente.

Los tiempos están cambiando. Las amenazas están creciendo con la llegada de millones de móviles y otros accesorios personales, cada uno con su propia dirección IP; el cibercrimen organizado orientado hacia el estado/nación y los grupos creadores de APT buscan nuevas formas de comprometer las víctimas. Los nuevos kits de explotación, troyanos, ransomware, phishing y estafas de ingeniería social están cambiando el juego.

La industria de seguridad de la información ha reconocido esto, llamando a acabar con las defensas enfocados en la prevención para centrarse más en las respuestas. Seguramente esto también ignifica que la capacitación de seguridad debe cambiar.

La capacitación todavía tiene una prioridad baja

Hay un debate entre los oficiales de seguridad de información (CISOs) o jefes de seguridad (CSO) sobre la manera de llevar adelante la formación en seguridad y sobre lo bien que lo están haciendo.

Un estudio, encargado por ClubCISO el año pasado, encontró que el 21 por ciento de los CISO nunca había dado entrenamiento de seguridad; otro 21 por ciento indica que sólo lo hizo al nuevo personal de la empresa. Treinta y siete por ciento dijo que llevó a cabo capacitación sobre una base anual y el 21 por ciento restante dijo que lo llevó a cabo "con frecuencia".

Más de la mitad (52%) de los CISOs admitió que sus programas de formación de seguridad no tenían ninguna medida de efectividad; mientras que el 24% dijo que se basó en pruebas en línea. Un 14 por ciento dijo que realizaban una prueba después del entrenamiento. Sólo un 10 por ciento dijo realizar una medición de incidentes y volúmenes de llamadas de apoyo antes y después del entrenamiento.

Pete Wood, Director Ejecutivo de First Base Technologies, dice que "los programas de capacitación tienen que cambiar, de arriba hacia abajo. El negocio finalmente está entendiendo que el personal tiene que se parte de la postura defensiva, en lugar de simplemente tirar el dinero en productos. Históricamente este tema ha sido algo que las organizaciones odian y esto no es realmente una buena solución del siglo XXI".

Continuará...

Fuente: Network World - CSO

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!