La razón por la que su departamento de TI tiene que ser dinámico en cuanto a la formación en seguridad es porque el panorama de amenazas cambia constantemente, y sus usuarios internos se volverán apáticos si no se les hace tomar conciencia constantemente de los posibles peligros.
Una cosa que los profesionales de la informática pueden hacer para motivar a los empleados a mantenerse vigilantes es preguntarles: «¿Qué has aprendido este mes? ¿El trimestre? ¿Año?» en lo que respecta a la seguridad y las vulnerabilidades. Esta pregunta es útil en 1:1s como una comprobación de competencias y para ayudar a eliminar la sensación de «invencibilidad», y también puede ser utilizada como un lema interno o un tema de conversación de RR.HH. para reunir a la empresa en torno a la seguridad. Al preguntar constantemente a los demás y a nosotros mismos: «¿Qué has aprendido?» nos recordamos a nosotros mismos la importancia de estar un paso por delante de los ataques. Y mientras los empleados demuestran que están haciendo todo lo posible para ayudar a proteger su empresa, ¡recompénselos! Una simple tarjeta de regalo de Starbucks puede llegar muy lejos.
Con tu gente adecuadamente entrenada, puedes concentrarte en cómo configurar tus sistemas, software y herramientas para mantenerte a salvo. «Desconfiguraciones de X» parece ser la frase que escuchamos y leemos casi siempre que se informa de una brecha importante, hasta el punto de que roza el cliché. Así que, ¿cómo evita un equipo de TI la mala configuración de sus «X»? Siempre le digo a la gente de seguridad que primero hay que entender cómo funciona la «X». No hablo de entenderlo a un nivel de 3.000 metros, sino de conocer realmente todos los entresijos. ¿Qué API utiliza? ¿Modifica algún archivo durante la instalación o el despliegue? Cuando salen las actualizaciones, ¿se le proporcionan detalles exhaustivos sobre los cambios que se producen? ¿Afectarán o violarán esos cambios sus políticas de seguridad? Si es así, debe revisar y reescribir esas políticas y asegurarse de que todos los involucrados estén al tanto de los cambios.
La vigilancia regular de terceros es también una práctica crítica para frenar los ataques. Cuando miramos las violaciones pasadas, vemos que los atacantes han violado las empresas utilizando conexiones en la red de destino a través de terceros. Los departamentos de TI necesitan asegurarse de que los terceros con los que trabajan tienen los controles de seguridad adecuados y tienen una supervisión continua para asegurarse de que todos los involucrados tienen los controles de seguridad adecuados en su lugar – y que todos tienen los mismos estándares para lo que constituye «seguro».