Tácticas de seguridad de inicio: encuestas de fricción


21 de junio de 2023Las noticias del hackerLa seguridad cibernética

Cuando hacemos trimestralmente planificaciónmi equipo clasifica nuestros objetivos en cuatro resultados perennes:

  1. Reducir el riesgo de incidentes de seguridad de la información
  2. Aumente la confianza en el programa de seguridad de la información de Vanta
  3. Reducir la fricción causada por los controles de seguridad de la información
  4. Utilice la experiencia en seguridad para respaldar el negocio

En este artículo, me voy a centrar en el número tres: reducir la fricción.

Declarando tus intenciones

Tiene valor hacer de la “reducción de la fricción” un objetivo explícito de su programa de seguridad. Establece el tono correcto con sus homólogos en toda la organización y es un paso hacia la creación de una cultura de seguridad positiva.

La primera vez que presenté esos resultados en un foro de toda la empresa, recibí un mensaje de Slack de un líder sénior que acababa de unirse a la empresa:

“Es fantástico saber que los equipos de seguridad se centran en eliminar los controles de seguridad invisibles. Excelente filosofía para el equipo de seguridad.

[…]

es simplemente increíble

demasiados equipos de seguridad ven la seguridad como una compensación exclusiva entre el poder operativo del equipo y la seguridad”

Fricción oculta

A veces, cuando se introducen nuevos controles de seguridad, se hace un equilibrio bien considerado entre la seguridad y la experiencia del usuario. Hay una serie de escenarios en los que la fricción no se entiende tan claramente:

  1. Usted o su equipo no entienden bien la fricción causada por un control de seguridad antes de tiempo
  2. Una persona ajena a su organización está habilitando los controles de seguridad con buenas intenciones, pero sin informarle a usted ni a su equipo.
  3. Los empleados atribuyen un control molesto al equipo de seguridad, pero en realidad se implementó por razones completamente ajenas

Cada uno de estos escenarios da como resultado una fricción oculta. La fricción oculta corroe la confianza en su equipo y empuja su cultura de seguridad hacia la negatividad.

Una solución a la fricción oculta es la encuesta de fricción.

Encontrar fricción oculta

En Vanta, llevamos a cabo una encuesta semestral de empleados para encontrar fricciones ocultas. Para evitar la “fatiga de la encuesta” cuando los empleados también son encuestados a través de encuestas de participación, nos unimos a otros dos equipos: ingeniería empresarial y privacidad, riesgo y cumplimiento.

Cada uno de nuestros tres equipos reúne una pequeña cantidad de preguntas para comprender mejor cómo ve la empresa la fricción causada por nuestro trabajo.

En el equipo de seguridad, hacemos tres preguntas:

  1. ¿Cómo calificaría la fricción causada por los controles de seguridad de Vanta en el desempeño de sus actividades diarias? (escala 1-5)
  2. Describa cómo y dónde los controles de seguridad afectan su trabajo en Vanta.
  3. ¿Alguna otra idea o comentario sobre el equipo de seguridad o nuestro trabajo? (Nos encantaría saber de usted si seleccionó 3/neutral o menos para cualquiera de las preguntas anteriores).

La primera vez que realizamos esta encuesta fue en el segundo trimestre de 2022. Recibimos calificaciones positivas y no muchos comentarios procesables. Tiendo a ver esto como una señal de compromiso limitado, en lugar de una crítica favorable.

Realizamos la encuesta nuevamente en el cuarto trimestre de 2022 y obtuvimos resultados mucho más interesantes. Descubrimos importantes fuentes de fricción que se atribuyeron a la seguridad, pero que no tenían nada que ver con nuestro equipo.

También descubrimos que muchas personas tenían problemas con las nuevas políticas de autenticación que habíamos comenzado a implementar. No sabían cuál era el flujo esperado, por lo que cuando se encontraron con errores que les obligaban a autenticarse varias veces al día, asumieron que solo era parte de la política.

Tomando acción

Como resultado de la encuesta, elaboramos un documento para compartir con la empresa que resume los resultados y las acciones que planeamos tomar. Queremos ser lo más transparentes posible. El objetivo es dejar en claro cuándo algo tiene fricción porque hicimos una compensación explícita, cuándo cometimos un error y cuándo hay un contexto adicional que ayudará a las personas a comprender mejor los controles.

Resultados

La encuesta de fricción es una herramienta valiosa para luchar contra las normas heredadas de la cultura de seguridad. Al tener relaciones de trabajo positivas con cada compañero de trabajo, seremos mucho más efectivos en los otros resultados que nuestro equipo busca lograr.

Con el tiempo, estos resultados se convierten en una potente métrica del programa y se pueden rastrear como parte de sus KPI.

Nota: Este artículo aportado por expertos está escrito por Rob Picard, líder de seguridad en Vanta. Rob Picard lidera de vanta programa de seguridad de la información. Antes de unirse, fue el fundador de una startup de seguridad respaldada por Y Combinator, consultor de seguridad durante mucho tiempo y creó varias funciones de seguridad en Robinhood. Le gusta usar las lecciones que ha aprendido para ayudar a las empresas emergentes a crear programas de seguridad modernos, efectivos y eficientes. Este artículo fue publicado originalmente en LinkedIn.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57