¿Ha fracasado la concientización de seguridad informática?

Desde mi punto de vista o ha fracasado o no sabemos el grado de éxito que ha tenido. La concientización de seguridad en una empresa, idealmente, debería de cambiar el comportamiento de los empleados corporativos para que orienten sus acciones hacia la protección de la información. Un programa de concientización echará mano de diversos mecanismos para lograrlo, ya sea usando posters, correos informativos, videos o tazas de café con leyendas de seguridad (por mencionar algunos).

Existen diversos ejemplos de cómo implementar un programa de concientización. Y estándares de seguridad lo exigen (ISO/IEC 27001). Las mejores prácticas nos conminan a llevar a cabo estos programas y no es extraño que los hallazgos de auditorías indiquen la necesidad de  una campaña para que los empleados no caigan en trampas de phishing, reporten incidentes, creen contraseñas robustas e identifiquen llamadas telefónicas o correos apócrifos.

Todos hablan de los programas de concientización; pocos son los que realmente saben cómo hacerlo y casi nadie se cuestiona lo útil de estos programas porque iría contra el status quo establecido de seguridad informática. En general, como actualmente se implementan, opino que su utilidad como agente de cambio es mínima, lo cual se traduce en fracaso.

Lo primero que deseo expresar es que al usuario promedio, honestamente no le importa seguir las recomendaciones de seguridad que se dicen en las campañas de concientización. “Para eso está el área de seguridad informática”, dirán algunos. La mayoría estimará que eso no es parte de su trabajo y que realmente tienen otras prioridades en qué pensar y a las cuales dedicarse. Su trabajo se mide por cuántas ventas hacen, no por cuántas ligas maliciosas evitan.

Pensemos en aquellos expertos de seguridad que dirán que “ellos han participado en exitosos programas de concientización”. Yo también he participado armando uno en la vida real, y me hicieron dos preguntas: “A.- ¿Y cómo sabemos que ha dado resultado?”, “B.- ¿Cómo vamos a medir su efectividad?” Ahí fue donde ya no tuve tantas respuestas. Como dicen por ahí, algo que no se mide objetivamente es algo que no demuestra claramente su valor y se desconoce si funciona. Y no es medir por medir, sino dar parámetros que realmente midan la efectividad del programa de concientización. Por ejemplo, con evaluaciones de conocimiento antes y después de haber aplicado la campaña.

Por otro lado, la concientización de la seguridad se ha vuelto uno de los mayores lamentos de la comunidad de seguridad en las empresas. Cito uno de muchos artículos: “It followed an earlier analysis that showed a major, if not the major, threat that concerns them is their own staff awareness –or lack of awareness– about cyber security issues”. Caray. ¿Por qué siguen haciendo click a ligas con código malicioso? ¿Qué no entienden que se interponen en la labor del área de seguridad? ¿Por qué no ayudan?

Las áreas de seguridad podrían ver hacía sí mismas y analizar si no están poniendo demasiada responsabilidad en sus usuarios. Ante un hackeo, muchas veces se traslada la culpa al empleado que “debió de seguir una cultura de seguridad”. ¿Cabe la posibilidad de que un control tecnológico o administrativo pudo haber evitado la intrusión? Cuando cae un empleado con un correo tipo phishing y se explota una debilidad en su Adobe Flash: ¿no se pudo haber evitado si esa aplicación hubiera estado parchada en un principio? ¿O de todas maneras es culpa del usuario?

Puede ser que no sepamos implementar las campañas de concientización. Hagámoslas diferentes esta vez. Por ejemplo: midámoslas y pensemos que la manera en que un empleado va a cambiar su comportamiento y orientarse a lo que queremos para que proteja la información es que la seguridad se haga parte de su trabajo. ¿Cómo lograrlo? A mí me queda claro que con sanciones pequeñas para las faltas pequeñas, y (realmente) severas para las violaciones importantes.

Soy un creyente. Quiero pensar que las campañas de concientización sirven, pero los resultados me dicen lo contrario. Quisiera establecer tres cosas: Primero, es necesario dejar de usarlas como excusa, evasión de responsabilidad y motivo de lamento entre la comunidad de seguridad. Segundo, que se mida su efectividad; y por último, deben de estar respaldadas con consecuencias –conozco un caso donde un solo despido hizo más que mil slogans y videitos. Piénsenlo.

@FaustoCepeda

Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.