Algunas de las mejores prácticas de seguridad cibernética, como nunca compartir o reutilizar contraseñas, parchear vulnerabilidades conocidas y hacer cumplir los privilegios mínimos, resisten la prueba del tiempo y permanecen inalteradas después de décadas. Otras recomendaciones de seguridad de TI han demostrado ser más volubles, evolucionando en períodos de tiempo bastante cortos para reflejar los cambios en los vectores de ataque, los modelos de madurez de seguridad, o simplemente, mejores datos sobre qué funciona y qué no.
Revisemos algunas políticas de seguridad que alguna vez se consideraron como mejores prácticas, pero que ahora es el momento de romperlas. Luego, hablaré sobre cómo lograr que sus empleados desaprendan estas prácticas de seguridad obsoletas.
Solo descargue el software directamente del proveedor
La mayoría de las aplicaciones comerciales solo son accesibles directamente desde el fabricante, pero las aplicaciones modernas, como Microsoft Office, generalmente están disponibles en las tiendas de aplicaciones para Windows y MacOS.
Descargar las aplicaciones directamente desde la fuente puede proporcionar una garantía mayor de que el software no ha sido manipulado. Por otro lado, la instalación de una aplicación desde una tienda de aplicaciones autorizada, ya sea a través del sistema operativo o administrada por su organización, ayuda a garantizar que los problemas de compatibilidad, las actualizaciones y la verificación de la seguridad se hayan resuelto por adelantado.
Por ejemplo, con Microsoft Office 365 ahora disponible en MacOS Application Store, tanto los usuarios como las organizaciones comerciales pueden sentirse seguros de que se está utilizando un solo mecanismo de actualización para brindar actualizaciones de seguridad. Esta selección adicional proporciona la garantía de que el software no ha sido manipulado.
Con lo anterior en mente, considere las tiendas de aplicaciones autorizadas y seguras como una opción viable para la entrega de software.
Cambio frecuente de contraseñas personales
Actualmente, la guía de NIST aconseja no forzar cambios frecuentes y arbitrarios en las contraseñas personales (la recomendación es cambiar la contraseña solo en casos especiales, como en el caso de un robo o compromiso de contraseña). Si bien esto puede sonar negligente para algunos, esté seguro, se aplican ciertas condiciones previas. Lo más importante es que esta práctica se refiere a contraseñas personales para una sola cuenta con credenciales. Estas contraseñas se almacenan solo para su uso personal y no se deben reutilizar para ningún otro recurso. Más allá de esto, también deben cumplir con los parámetros de complejidad adecuados.
Tenga en cuenta que las cuentas privilegiadas, las cuentas compartidas y las cuentas de aplicaciones y servicios no están incluidas en esta recomendación. Estas credenciales privilegiadas deben rotarse con frecuencia, incluso después de cada uso para las cuentas / credenciales más sensibles. En la mayoría de los entornos con una complejidad mínima, esto se logra mejor con una solución de administración de contraseñas con privilegios, que puede automatizar los flujos de trabajo de seguridad de contraseñas a escala.
Entonces, ¿por qué el cambio en la orientación NIST? Resultó que imponer cambios de contraseña en humanos para cuentas personales en realidad resultó ser contraproducente en la práctica. Cuando se les obliga a cambiar sus contraseñas con frecuencia, las personas eligen contraseñas fáciles de recordar, mientras que también repiten las mismas contraseñas en muchas cuentas. Y, cuando intentaron contraseñas únicas, a menudo lo pagaron con tiempo de inactividad, quedando fuera de las cuentas y olvidando la información de inicio de sesión.
Así, mientras que las contraseñas que cambian con frecuencia, en teoría, ayudarían a mitigar los ataques de reutilización de contraseñas, las otras malas prácticas a las que los humanos sucumbieron al elegir nuevas contraseñas tuvieron el efecto de socavar cualquier posible rigor de seguridad introducido por los frecuentes cambios de contraseñas.
Desaprender las recomendaciones de formación corporativa
Fuera de los equipos de seguridad de TI, la mayoría de los empleados corporativos no están lo suficientemente inmersos en la seguridad como para ser conscientes de las implicaciones sutiles (o grandes) de las nuevas tecnologías, las amenazas cibernéticas en evolución y los matices de las cambiantes estrategias de defensa cibernética. En lugar de absorber el conocimiento de seguridad todos los días, reciben su capacitación periódicamente, en breves comentarios (como correos electrónicos internos sobre ataques de phishing), o en pequeñas “comidas” de capacitación. Y a veces, estas nuevas lecciones los omiten y retienen información desactualizada por años.
Una vez que se aprende algo, puede ser difícil desaprenderlo. ¿Cómo hace para sobrescribir las prácticas de seguridad obsoletas con las nuevas prácticas recomendadas?
Una acción que recomiendo es que cada vez que se realice una capacitación actualizada, proporcione una visión general clara de los cambios de las prácticas anteriores. Resalte y describa las nuevas mejores prácticas de seguridad. También puede ayudar a la memoria si los empleados aprenden por qué ha ocurrido el cambio. Esta clara instrucción yuxtaponiendo lo antiguo con lo nuevo, junto con una explicación racional, ayuda a evitar cualquier conflicto que refleje: "Aprendí esto el año pasado y ahora me están enseñando algo contradictorio".
Toma como ejemplo el entrenamiento para ataques de phishing. Si bien la recomendación siempre ha sido la de no hacer clic en los enlaces incrustados en los correos electrónicos, hay muchas aplicaciones que incorporan enlaces a los que no se puede acceder directamente según las mejores prácticas. La capacitación de seguridad para empleados estándar dicta que siempre se debe inspeccionar la URL para HTTPS y los nombres de dominio antes de usar un enlace en un correo electrónico, ya que puede hacer clic en cualquier enlace integrado. Entonces, ¿cuál es la mejor práctica que debe seguir su organización y cuál está obsoleta? A medida que actualiza continuamente el material de capacitación, asegúrese de que algo tan simple como este esté resaltado y, cuando deban ocurrir excepciones, romper con las mejores prácticas anteriores.
We all need to periodically consider how to make a clean break with outdated behaviors, recognize when they are present, and embrace new ones to protect ourselves, our businesses, and our data.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.