Sesiones destacadas
Corazones, mentes y acciones: Métodos contraintuitivos para crear vínculos y cambiar comportamientos
Los responsables de la concienciación en materia de seguridad lo tienen difícil. Sabemos que la información por sí sola no cambia el comportamiento, pero compartir información sigue siendo fundamental para el éxito de nuestros programas. También sabemos que es fundamental moldear los comportamientos de seguridad e influir en la cultura... pero se trata de conceptos difusos. En esta sesión, Perry Carpenter compartirá una serie de ideas contraintuitivas con las que ha tropezado desde que escribió su primer libro, "Transformational Security Awareness" allá por 2019. Discutirá sus lecciones aprendidas más recientes sobre la conexión humana, la construcción de relaciones, el compromiso empático, la formación del comportamiento y más.
Lecciones aprendidas desde dentro del ataque a SolarWinds
El CISO de SolarWinds, Tim Brown, ofrecerá una perspectiva privilegiada momento a momento de haber sido víctima de un ataque extremadamente sofisticado, compartiendo ideas sobre la colaboración público/privada cuando realmente importa, y sobre cómo SolarWinds demostró ser resistente al final del día.
Espionaje económico: Estudio conductual sobre la notificación de incidentes de seguridad por parte de los empleados
En 2020, los psicólogos conductuales de MITRE llevaron a cabo un experimento de comportamiento sensible, el primero de su clase, para obtener una comprensión basada en datos de por qué los empleados no denuncian los incidentes de amenazas internas. Para ello, enviamos una serie de mensajes de LinkedIn de un reclutador vinculado a un adversario extranjero a 300 empleados al azar de una empresa mediana de la región de la capital nacional. Conozca los resultados de este experimento, presentado por la Dra. Deanna Caputo, Científica Jefe de Investigación y Soluciones de Amenazas Internas de MITRE.
Lecciones de la aviación: Construir una cultura ciberseguridad
Las compañías aéreas no "hacen seguridad", son seguras. No siempre ha sido así. Al aceptar que los seres humanos son falibles y crear sistemas que prevén los errores humanos y las decisiones individuales erróneas en materia de riesgos, el sector de las aerolíneas mejoró la seguridad. Únase a John Elliot, autor, Pluralsight para aprender la lección clave de la experiencia de la aviación de que la cultura es vital, y pasar de "hacer seguridad" a ser seguros.
En directo Podcast de la serie CISO
David Spark grabará un programa especial en directo para su podcast, The CISO Series, con Hadas Cassorla, CISO, M1 y Chris Hatter, CISO, Nielsen.
Stop, Drop & Roll
Si nos prendemos fuego, ¡nos enseñan a PARAR, CAER y RODAR!Pero, ¿cuántas veces te has prendido fuego?Las probabilidades de que se produzca un incidente cibernético son mucho mayores que si nos prendemos fuego, y sin embargo hacemos que los programas de concienciación sobre seguridad sean tan difíciles.En lugar de eso, tienen que ser fáciles, relacionables y retenibles.Aquí es donde realmente se cambia el comportamiento.Así es como se gana en el mundo de la concienciación sobre seguridad. Aprenda a diseñar sus programas de concienciación sobre seguridad para que sean tan fáciles como parar, soltar y rodar.
Ciber Piedra Rosetta: El uso de tabletas para implicar a los ejecutivos en la conversación sobre los riesgos cibernéticos
El mayor obstáculo para el debate sobre los riesgos cibernéticos es el lenguaje que utilizamos para hablar de ciberseguridad. Los ejercicios de simulación, cuando se hacen bien, pueden ser la piedra Rosetta necesaria para traducir los unos y ceros de la seguridad en dólares y céntimos de pérdidas financieras y de reputación. Acompañe al autor y experto en ciberseguridad Mark Sangster en su recorrido por la identificación de los escollos de los ejercicios de mesa y la creación de un marco sencillo para sentar a la mesa a ejecutivos y responsables de seguridad con el fin de colaborar, reducir el riesgo empresarial y prepararse para un inevitable incidente cibernético.
Estafar al estafador
Durante los últimos meses, los investigadores de Cofense han estado tratando de obtener más información sobre el ciberdelito más lucrativo del mundo, el Business Email Compromise. El compromiso del correo electrónico empresarial, a menudo conocido simplemente como BEC o fraude del CEO, se produce cuando los actores de amenazas utilizan el fraude de correo electrónico para atacar a organizaciones comerciales, gubernamentales y sin ánimo de lucro con el fin de lograr un resultado específico que afecte negativamente a la organización objetivo. Básicamente, el objetivo de BEC es engañar a la gente haciéndoles creer que han recibido un correo electrónico legítimo relacionado con la empresa y convencerles de que hagan algo que creen necesario para ayudar a la empresa.
Cómo la formación en simulación de phishing fomenta una cultura de la seguridad
Ahora más que nunca, la formación en simulación de phishing forma parte integral de la integración de las mejores prácticas de ciberseguridad en la cultura de su organización. El phishing y otras amenazas cibernéticas son cada vez más complejas y comunes, sin embargo, según un informe reciente publicado por Terranova Security de Fortra e IPSOS, 1 de cada 5 empleados estadounidenses no cree que pueda ser blanco de un ciberataque. Únase a Theo Zafirakos, CISO de Terranova Security, que le guiará a través de datos cruciales que demuestran el valor de utilizar simulaciones de phishing reales como parte de su programa de formación de concienciación de seguridad.
Un riesgo calculado: combinar ciencia y datos para cambiar la mentalidad de la sociedad sobre el aspecto humano de la ciberseguridad.
Muchos de nosotros existimos para ayudar a nuestras organizaciones a gestionar el riesgo humano. (Bueno, quizá haya algo más en la vida, pero ya me entienden). Sin embargo, aún nos queda mucho camino por recorrer para entender realmente lo que eso significa, o para transmitir nuestras ideas de forma que tengan sentido para los responsables de la toma de decisiones.
La gran mayoría de las organizaciones dependen de la tecnología digital para funcionar. Y sabemos que una buena ciberseguridad protege esa capacidad de funcionamiento y garantiza que las organizaciones puedan aprovechar las oportunidades que brinda la tecnología. En esta charla amena e informativa, Oz Alashe, Director General de CybSafe, explica cómo la fusión de la investigación científica, el análisis de datos y la gestión de riesgos está creando una oportunidad para una nueva clase de profesionales de la seguridad. También está provocando algunos disgustos.
El mundo está cambiando rápidamente. Únase a nosotros para saber cómo y qué significa esto para usted como persona encargada de ayudar a su organización a gestionar los riesgos y aprovechar las oportunidades tecnológicas.
Por qué la gestión del riesgo humano es el siguiente paso lógico
Los seres humanos tienen la clave para proteger a las organizaciones de las infracciones. Las amenazas actuales nos obligan a predecir las posibles vulnerabilidades de los empleados, centrar la formación y la concienciación donde tengan mayor impacto y medir el impacto en el índice de riesgo de la organización. A esto lo llamamos Gestión del Riesgo Humano (HRM). En esta sesión, escuchará cómo Medtronic ve la GRH y su importancia, cómo se están preparando para implementarla en todos sus negocios y regiones, y cómo están evolucionando la concienciación en torno a los embajadores y las personas muy atacadas dentro de su organización.
La inclusión es un requisito, no una característica de la concienciación en materia de seguridad
Al diseñar para personas con diferentes discapacidades y antecedentes culturales, los equipos de aprendizaje de seguridad pueden impulsar un mayor compromiso y retención, al tiempo que garantizan la disponibilidad en cualquier lugar y en cualquier momento. En esta presentación, aprenderá a garantizar que su estrategia de concienciación sobre seguridad refleja a su audiencia para animarla a emplear las mejores prácticas de seguridad de forma rutinaria.
El valor de la formación en seguridad para desarrolladores
La concienciación en materia de seguridad sigue madurando en la mayoría de las organizaciones, pero ¿es suficiente para las funciones críticas para la seguridad, como los desarrolladores? ¿Ha llegado el momento de que la formación en seguridad pase de la mera familiarización con los conceptos de seguridad de las aplicaciones a la formación y el conocimiento suficientes para evitar la creación de vulnerabilidades de software? Amy Baker, de Security Journey, hablará de los pros y los contras de la concienciación de los desarrolladores frente a la formación, de cómo la formación en seguridad de las aplicaciones puede encajar en sus programas más amplios de concienciación en seguridad y de cómo demostrar la rentabilidad de la inversión y trabajar con las partes interesadas de toda su organización para ofrecer un software más seguro y crear una cultura de seguridad.
La ciencia de la cultura
Crear una cultura de seguridad sólida es difícil. Pero no tiene por qué serlo.Durante esta sesión debatiremos las características de una cultura de seguridad próspera y cómo puede alinear y transformar a las personas de objetivos pasivos a defensores proactivos. Karen Letain, de Proofpoint, analizará la mejor forma de establecer una cultura de seguridad de referencia y, a continuación, mejorarla con la combinación adecuada de formación, simulación y estímulo.
Conciencia de marca: Cómo influir REALMENTE en el comportamiento y la cultura de la organización
Todos sabemos que hay una diferencia entre "saber" y "hacer": centrarse únicamente en la "concienciación" ya no es suficiente. Pero cambiar el comportamiento de los empleados requiere modificar el lenguaje de la concienciación, dejar atrás el enfoque de entretenimiento e implantar una metodología probada que puede suponer una carga adicional para unos equipos de seguridad ya de por sí muy ocupados. Entonces, ¿qué pueden hacer los líderes en concienciación sobre seguridad para lograr un impacto REAL con el mínimo esfuerzo? Mike Polatsek, cofundador y CSO de CybeReady, compartirá ejemplos reales y mejores prácticas que pueden dar un giro a sus esfuerzos de formación en ciberseguridad.
Evaluación de riesgos de infraestructuras críticas en todo el Estado de Florida: Qué significa para usted
El Estado de Florida ha realizado recientemente una importante inversión en el Centro de Ciberseguridad de Florida (Cyber Florida) para llevar a cabo una Evaluación de Riesgos de Ciberseguridad en todo el Estado. El alcance incluye organizaciones de todos los tamaños y en los 16 sectores de CI, lo que significa que pueden participar todos los sectores de la salud, la energía, los servicios financieros, el gobierno, la agricultura, etc. Es gratuita, anónima (excepto por sus informes gratuitos de NIST CSF y Ransomware Readiness), autoadministrada, y una oportunidad para (de nuevo, anónimamente) comunicar su realidad operativa al Gobernador y su equipo para que puedan tomar decisiones informadas sobre políticas e inversiones - ¡que pueden incluir financiación para formación y otras iniciativas para aquellos que participen!
Proteger el ecosistema: Cómo extender un programa de concienciación sobre seguridad a los clientes
El panorama de la seguridad evoluciona constantemente, pero esta evolución natural se aceleró rápidamente durante la pandemia. La ampliación de las superficies de ataque resultante de un panorama laboral de "trabajo desde cualquier lugar", el aumento del phishing y el ransomware, y el papel que desempeñan los seres humanos en estas violaciones son factores que contribuyen a ello. No sólo la empresa se ha visto afectada, sino que los clientes también se enfrentan a retos cada vez más difíciles para proteger sus datos. En esta nueva normalidad, los equipos de concienciación sobre la seguridad deben trabajar para proteger todo el ecosistema, no sólo la base de empleados.
Medición de la eficacia de los programas de concienciación sobre seguridad del Gobierno de Estados Unidos: Un estudio de investigación
El objetivo de los programas de concienciación sobre seguridad es influir positivamente en los comportamientos de seguridad de los empleados. Sin embargo, las organizaciones en sectores centrados en el cumplimiento pueden tener dificultades para determinar la eficacia del programa, a menudo basándose en las tasas de finalización de la formación en lugar de medir el impacto real. En esta presentación, describiremos los resultados de un estudio de investigación en varias fases que, en parte, pretendía descubrir enfoques y retos para medir la eficacia de los programas de concienciación en materia de seguridad dentro del gobierno de los Estados Unidos. Nuestros resultados pueden ayudar a los profesionales de la concienciación sobre seguridad a desarrollar medidas de eficacia basadas en el impacto e informar a los desarrolladores de directrices de concienciación sobre seguridad y otras iniciativas que pueden ayudar a las organizaciones dentro y fuera del gobierno.
A nivel local, al estilo CISA
¿Sabía que hay cientos de expertos en seguridad de CISA repartidos por todo el país listos para ayudar a empresas, organizaciones sin ánimo de lucro y gobiernos estatales y locales a reducir sus riesgos y mejorar su resistencia? Los asesores de ciberseguridad y seguridad de protección de CISA son las botas en el terreno para la agencia, trabajando diariamente para ayudar a proteger la infraestructura crítica de nuestra nación. Obtenga más información sobre los programas de asesores de seguridad de CISA y los tipos de servicios que prestan justo en su patio trasero.