Formación en materia de seguridad en Akamai

En Akamai, la concienciación y formación en materia de seguridad es un proceso continuo que comienza desde el primer día para la mayoría de los empleados. A continuación encontrará un resumen del programa, seguido de las experiencias de formación personal de uno de los empleados.

Formación en materia de seguridad en Akamai

Finalidad:

Además de las actividades de educación tradicionales, Akamai sabe que hablar acerca de la seguridad de la información y establecer prioridades mejora la concienciación de la seguridad.

Ámbito:

Esta política se aplica a todo el personal de Akamai. 

Política:

Los empleados reciben formación genérica en materia de seguridad en su primer mes y, posteriormente, cada año. Durante la orientación del primer día, los nuevos contratados reciben una introducción de 40 minutos sobre los procedimientos de seguridad de Akamai, impartidos personalmente por miembros del grupo InfoSec de Akamai.

Funciones y responsabilidades:

Cada año, todos los empleados deben confirmar haber recibido el programa de seguridad de la información de Akamai y un curso de actualización. Los cursos de actualización están disponibles principalmente como presentaciones en vídeo y documentación. El grupo Seguridad de la Información realiza el seguimiento de las confirmaciones de los empleados y se asegura de que la tasa de confirmación de los empleados de Akamai sea superior al 96 % en todo momento. 

El grupo Gestión de Productos garantiza que los requisitos en materia de seguridad sean tratados como un componente clave en todos los grandes lanzamientos de productos, y que los datos de los titulares de tarjetas y otros datos confidenciales se protejan en todas las soluciones conforme a las normas de seguridad pertinentes.

El grupo Gestión Ejecutiva revisa habitualmente diversos aspectos de la posición de Akamai en cuanto a la seguridad, entre ellos:

  • Avances en la identificación y corrección de vulnerabilidades y riesgos para la seguridad. 
  • Oportunidades de comunicación a toda la empresa para reforzar las prácticas de seguridad y la concienciación. 
  • Otros aspectos de la seguridad y presencia corporativa continuas de Akamai en el sector de la seguridad de red. 

Estudio de caso:

El siguiente es el testimonio en primera persona de Bill Brenner, empleado de Akamai, acerca de su participación en la formación de Akamai sobre seguridad. Como Director Senior de Programas, Brenner tiene la tarea de contar la historia de la seguridad de Akamai a través de artículos, podcasts, vídeos, blogs y otros medios de comunicación.

Aunque llevo una década escribiendo sobre InfoSec, he pasado mis momentos de vergüenza. Una vez, el año pasado, caí en uno de los trucos de ingeniería social más antiguos del manual, hacer clic en el vínculo de un mensaje directo de Twitter en el que alguien con quien había trabajado me preguntaba si había visto el mensaje desagradable que otra persona había escrito sobre mí. La cuenta de Twitter del compañero había sido secuestrada y se enviaron mensajes similares a sus contactos. Al segundo de hacer clic en el vínculo, supe que acababa de hacer algo que podría poner en peligro mi cuenta y mis máquinas.

Esta historia es similar a otra que me ocurrió hace unos años, cuando hice clic en el enlace a un sitio de ciencia ficción que había recibido por correo electrónico de alguien disfrazado de un viejo amigo. Ese día se descargaron quinientos elementos de malware en mi portátil, sobre todo de esas que abren adware para pornografía y ventanas con estafas bursátiles por toda la pantalla. Pasé varias horas limpiando el desorden y mis compañeros de oficina se rieron un buen rato a mi costa. 

En ambos casos, no había recibido formación en las empresas que me contrataron, aunque como escritor de historias de seguridad debería haberlo sabido. En términos de concienciación sobre la seguridad de la empresa, recibimos advertencias de seguridad cuando se produce un ataque, pero nunca una lección ni las prácticas recomendadas.

En mi primer día en Akamai, se dedicó casi una hora de orientación al tema. Yo había escrito acerca de la importancia de la formación de los empleados en materia de seguridad muchas veces a lo largo de los años, pero esta era la primera vez que la recibía.

En el mundo de los negocios, la formación en materia de seguridad no es algo que se pueda hacer con un modelo de talla única. Cada empresa tiene unas necesidades diferentes, y Akamai no es la excepción. Tratamos detalles que no mencionaré aquí, pero muchas de las indicaciones eran bastante básicas y aplicables en cualquier empresa y sector. 

Por ejemplo: 

Se nos dijo que podemos utilizar la aplicación de mensajería instantánea que queramos para comunicarnos con amigos y familiares. Pero, para las comunicaciones internas relacionadas con el trabajo, debemos utilizar una herramienta de mensajería instantánea específica diferente, una que cuenta con medidas de protección. 

Tenemos una programación periódica que envía parches de seguridad para diversos programas y, en ocasiones, vemos aparecer un cuadro en la pantalla que nos invita a pulsar un botón para instalar las nuevas actualizaciones. En las sesiones de formación, se deja claro que tenemos que prestar atención y atender la llamada para actualizar cuando se solicite. También se nos dice que nos aseguremos de que estamos actualizando desde una fuente autorizada. No en vano, las ventanas emergentes en la pantalla pueden ser peligrosas.

Si dejamos el ordenador desatendido, debemos bloquear la pantalla para que otros no puedan acceder a nuestros datos o aplicaciones. En mi segundo día, me fui y dejé varias aplicaciones ejecutándose en mi equipo. Cuando volví, encontré una nota adhesiva en el monitor que decía: "¡Los protectores de pantalla!".

Hablando de notas adhesivas, otra directiva que tenemos es no dejar nunca notas con nuestras contraseñas u otros datos de autorización escritos en ellas.

Si vemos que alguien sin distintivo intenta entrar en el edificio o en un área protegida, somos responsables de asegurarnos de que se identifica ante nosotros, ante el grupo de seguridad corporativa o mediante alguna de nuestras herramientas de autenticación (incluidos compañeros, directorios de empleados, etc.). 

Nuestro programa incluye muchos más detalles, pero estos son algunos ejemplos de los conceptos básicos que otras empresas podrían adoptar para beneficiarse de ellos.