¿La educación del usuario se considera una medida de seguridad?

Sí, el conocimiento y la capacitación sobre seguridad de los usuarios es una parte integral de una política de seguridad global.

Se suele decir a los seres humanos que son el punto más débil de la cadena de seguridad, ya que puedes parchar una vulnerabilidad de software pero no puedes parchear a un ser humano. Lo mejor que puede hacer es concienciar a las personas y mantener su atención regularmente sobre posibles problemas de seguridad que afectan sus actividades diarias.

Generalmente, cuando hay una herramienta disponible (es decir, está ahí, lista para implementarse) que permite aplicar su política, no hay razón para no usarla. Si esta herramienta afecta negativamente a sus usuarios, esto no significa que las herramientas no deban instalarse, esto significa que es posible que se deba revisar su política.

Pero, lamentablemente, no todo puede ser automatizado, y hay muchas áreas donde simplemente no habrá herramientas. Ninguna herramienta impedirá a un usuario dar su contraseña por teléfono, abrirle la puerta a otra persona o compartir su credencial de acceso.

El objetivo de la capacitación en conciencia de seguridad será:

• Para abordar estas áreas donde la seguridad se basa casi exclusivamente en el comportamiento del usuario porque no existe una forma técnica práctica de hacer cumplir la política (ya sea porque las herramientas no existen o porque la compañía ha optado por no implementarlas: tal vez son caros, demasiado complejos, etc.).

• Para evitar que los usuarios pasen por alto las medidas técnicas actuales: las medidas de seguridad deberían ayudar a los usuarios a respetar la política de seguridad, los usuarios no deberían verlos como obstáculos para eludir, de lo contrario su seguridad global se debilitará rápidamente.

La capacitación sobre concienciación sobre seguridad debe formar parte de su estrategia general de seguridad cibernética, y yo lo consideraría una medida de seguridad. La tecnología solo puede llegar tan lejos. Independientemente de las soluciones existentes, es poco probable que sean 100% efectivas, el 100% del tiempo.

Es esencial proporcionar capacitación sobre la seguridad. Es tan fácil asumir que los usuarios finales comprenden mucho mejor la seguridad que realmente tienen. MediaPro hizo una buena encuesta sobre esto: enlace - aunque hay muchos otros que han mostrado niveles impactantes de conciencia de seguridad. Los usuarios finales siempre serán un punto débil, pero no necesitan ser una responsabilidad.

También recomendaría bloquear ciertas actividades de riesgo. Por ejemplo, bloquear ciertos archivos adjuntos en el correo electrónico (ej., Archivos zip), bloquear sitios web para compartir archivos, etc. Los usuarios deben tener cierta libertad, pero no es necesario correr demasiados riesgos.

  

¿La educación del usuario es una medida de seguridad en el contexto de los ejemplos dados o tenemos nombres diferentes para este tipo de medidas?

La educación del usuario en sus ejemplos no es la medida de seguridad. La medida de seguridad es el control técnico para impedir que hagan algo (o hacer que hagan algo) y el control administrativo para informarles de lo que deben o no deben hacer.

Dicho entrenamiento / enseñanza a sus usuarios sobre qué hacer es muy importante. Algunos investigadores y profesionales de seguridad argumentan que los humanos son el eslabón más débil, ya que no siempre siguen las reglas y, a menudo, toman decisiones irracionales. Esta es una de las razones principales por las que se incluyen controles técnicos para obligar al usuario a cumplir con una política asociada.

  

Bonificación: ¿Existen pautas de seguridad o mejores prácticas sobre cuándo educar al usuario (advertir) y cuándo impedir que el usuario haga cosas específicas (como instalar una aplicación)?

Éstos variarán según lo que usted espera "asegurar". Un buen enfoque es implementar un enfoque de defensa en profundidad, y al hacerlo puede combinar diferentes tipos de controles para proteger su activo. En este caso, la capacitación sería un control administrativo que advierte a los usuarios, y un control técnico sería bloquear la instalación de una aplicación.

La educación es un fuerte punto de seguridad. Se sorprendería de cuánta gente no sabe que los anuncios, las aplicaciones, los correos electrónicos y otras formas de comunicación pueden contener malware o riesgos de seguridad. En general, aumentar la conciencia y la preocupación de que tales acciones están ocurriendo es un buen comienzo para cualquier grupo de la empresa o grupo de usuarios con el que esté trabajando o con la consultoría. Las medidas de seguridad también dependen en gran medida de su trabajo y la sensibilidad de la información en cuestión. Si está trabajando con el material disponible públicamente, no es una gran preocupación. Pero si su información es confidencial, la libertad del usuario debe limitarse a las necesidades mínimas.

Cuando se trata de directrices, estoy seguro de que hay muchos artículos y documentos de investigación sobre lo que las personas deberían hacer para estar más seguros. Y a lo largo de los años las personas han desarrollado ciertas prácticas. En cuanto al acceso, es difícil decidir cuándo el usuario debe o no debe acceder a algo. En su ejemplo, incluso las plataformas de chat pueden convertirse en un peligro, todo se reduce a que el usuario se dé cuenta de sus acciones y posibles amenazas.