El Mes de Concientización sobre Seguridad Cibernética se lleva a cabo desde 2004. Este año, Mes de Concientización sobre Ciberseguridad instó al público, los profesionales y los socios de la industria a «verse a sí mismos en la cibernética» de las siguientes maneras:
- El público, tomando medidas para mantenerse seguro en línea.
- Profesionales, uniéndose a la fuerza laboral cibernética.
- Socios de la industria cibernética, como parte de la solución de ciberseguridad.
CISA describió cuatro «cosas que puede hacer» para mantenerse seguro en línea para individuos y familias, incluida la actualización de su software, pensar antes de hacer clic, usar contraseñas seguras y habilitar la autenticación multifactor en cuentas confidenciales.
La industria ha estado enseñando consejos de seguridad a los empleados y al público durante mucho tiempo. Con tantos medios repetitivos y educación sobre la conciencia cibernética en el espejo retrovisor, el enfoque que regresa en octubre pesa sobre muchos. Aquí hay un resumen de las reacciones al mes cibernético y la tracción de los temas y mensajes de este año que deberían decirnos si hay más en la campaña que un ángulo de relaciones públicas.
Principales noticias del Mes de Concientización sobre Ciberseguridad de este año
Los sentimientos sobre el Mes de Concientización sobre Ciberseguridad 2022 van desde la atención plena hasta la conciencia de los memes, con sabios consejos y bromas entremezcladas con noticias agudas e inteligentes y piezas de interés.
En la parte superior de la pila se encuentra una revisión de «El pavor, la sinceridad y la comedia del Mes de Concientización sobre Ciberseguridad» del Washington Post.
El temor y la comedia fueron en su mayoría tuits sarcásticos sin reconocer el tema de este año. Ken Westin de Cybereason tuiteó que Hallmark creó el mes de concientización para vender más tarjetas de felicitación.
También hubo algunas murmuraciones. reportero de ciberseguridad Sean Lyngass tuiteó que el Mes de la Concientización sobre Ciberseguridad está lleno de lanzamientos de relaciones públicas aprovechando las brechas de seguridad. Anne Cutler, ejecutiva de relaciones públicas de Keeper Security, respondió«Estás equivocado. En realidad se llama Ciberseguridad. Los equipos de relaciones públicas no retendrán prisioneros y crearán conciencia, te guste o no, un mes. Ahora puedes considerarte consciente».
El Registro dio una mirada aleccionadora al mes de la concientización y sus desafíos inherentes en el «Programa Nacional de Concientización sobre Ciberseguridad 18 años después: No haga clic en eso.»
Se hizo eco de la frustración de mantener la conciencia de seguridad cibernética lo suficientemente técnica como para ser útil pero lo suficientemente simple de entender. Los participantes de la industria deben ir más allá de «pensar antes de hacer clic» sin perder sus audiencias y cualquier esfuerzo que el público ya esté haciendo para evitar el phishing.
The Register expresó la necesidad de convertir a los empleados con poco conocimiento en ciberseguridad en profesionales de seguridad de pleno derecho. Eso no sucederá pronto. Sin embargo, cuando la historia encapsuló el impulso de Mírate a ti mismo en la ciberseguridad, aunque la seguridad es compleja, depende de las personas hacer que funcione, eso tuvo sentido.
The Register señala que las personas son la solución porque las personas son el problema, con más del 80% de las infracciones que involucran el elemento humano, incluidas las personas que caen en ataques de phishing.
Según el Registro, Verse a sí mismo en la fuerza laboral cibernética recuerda a las organizaciones que contratan personal cibernético que la financiación de la capacitación está aumentando. Deben utilizarlo para los nuevos empleados y los profesionales que han adquirido experiencia desde la formación del año pasado.
Forbes reveló un tesoro de desafortunadas tendencias de ciberataques en «Para el Mes de Concientización sobre Seguridad Cibernética (y Halloween): algunas estadísticas aterradoras sobre amenazas cibernéticas.«
El Mes de Concientización sobre Seguridad Cibernética no ha tenido un efecto medible en las tendencias de incumplimiento. Las infracciones son cada vez más frecuentes y graves. El phishing fue el peor en el segundo trimestre de 2022, con más de 1 millón de ataques.
Forbes señala que los ataques a los estados-nación no son solo para la infraestructura nacional crítica, con el 64% de las empresas diciendo que los estados-nación los han pirateado. Aún así, los sistemas de control industrial y OT están en más peligro que los activos de TI normales.
Implementación de consejos del Mes de Concientización sobre Seguridad Cibernética 2022
La iniciativa CISA «cuatro cosas que puede hacer» para el Mes de Concientización sobre Seguridad Cibernética de 2022, incluida la actualización de software, pensar antes de hacer clic para evitar el phishing, usar contraseñas seguras y habilitar la autenticación multifactor, se publicitó con el objetivo de influir en el comportamiento del usuario final hacia mejores prácticas de seguridad. . Pero, ¿realmente funcionan los consejos directivos como este?
El registro aclara que el éxito o el fracaso del Mes de la Concientización sobre Ciberseguridad depende de cómo lo mida. El mes cibernético no ha funcionado si esperas que se resuelva la ciberseguridad. Si esperaba que las personas y las organizaciones se tomaran la cibernética más en serio, entonces el mes de la concientización es un éxito.
El Mes de Concientización sobre Seguridad Cibernética y «las cosas que puede hacer» funcionaron bastante bien. Lo más resonante que se pudo hacer fue encontrar una solución basada en personas más efectiva para el phishing más allá de «Piense antes de hacer clic.»
Bajo la superficie del artículo del Post, voces en twitter aclaró que la educación sobre el phishing, como las conferencias de señalar con el dedo y las pruebas sorpresa de phishing, no es bienvenida.
CISA quiere que los socios de la industria se vean a sí mismos como parte de la solución, trabajando juntos para construir un ecosistema tecnológico seguro y resistente. Al diseñar productos para que sean seguros por diseño, pueden reducir colectivamente el riesgo y proteger la infraestructura crítica con la que cuentan los estadounidenses.
En su Artículo de Forbes, Chuck Brooks señala que, a pesar del mes de concientización, el sector de la energía y la red eléctrica corren un riesgo significativo de ataque. Asegurar la infraestructura nacional crítica contra los piratas informáticos del estado-nación, como los que atacaron Colonial Pipeline, es un desafío. Debe ser una prioridad del sector público y privado, como lo ha avalado CISA.
¿Cómo podemos mejorar la ciberseguridad en 2023 más allá de un esfuerzo de relaciones públicas?
Ir más allá del Mes de Concientización sobre Ciberseguridad significa que las organizaciones son responsables de la educación sobre ciberseguridad de sus usuarios finales, pero hay también soluciones técnicas que pueden solucionar el mal comportamiento del usuario final y aun así salvaguardar la seguridad de TI de su organización. Algunas victorias rápidas para hacer lo antes posible:
1 — Parchee su software
Las organizaciones pueden ver las actualizaciones de software como costosas y muchas evitan las actualizaciones, por lo que no dañan las aplicaciones que se ejecutan en el software. Pero para cumplir con los objetivos de ciberseguridad en 2023, las organizaciones deben parchear su software tan pronto como haya actualizaciones disponibles.
2 — Bloquear el uso de contraseñas violadas conocidas
Al escanear Active Directory en busca de vulnerabilidades relacionadas con contraseñas con Specops Password Auditor, las organizaciones pueden identificar el uso de más de 900 millones de vulnerabilidades y violaciones dentro de su Active Directory. Los piratas informáticos utilizan credenciales robadas en ataques a infraestructuras nacionales críticas. Las auditorías de contraseñas garantizan que esas contraseñas violadas no estén en uso en su organización.
3: Audite el nivel de seguridad de las aplicaciones de terceros que está utilizando
Un informe reciente encontró que las aplicaciones populares relacionadas con el trabajo tienen algunas brechas de seguridad importantes cuando se trata de contraseñas y MFA. Haga un inventario de las aplicaciones web en las que confía su organización y asegúrese de que MFA, o al menos 2FA, esté habilitado para sus usuarios finales.