Amazon está lanzando dos iniciativas destinadas a preparar mejor a las personas y las empresas para hacer frente a las amenazas de ciberseguridad y fortalecer la autenticación de los usuarios de su nube de AWS.
En una publicación en el sitio web aboutamazon.com, la compañía anunció que a partir de octubre, que es el Mes de la Concientización sobre Seguridad Cibernética, pondrá a disposición del público los materiales de capacitación que ha desarrollado internamente para mantener a sus empleados y la información confidencial a salvo de los ataques cibernéticos.
También reveló que ofrecerá a los clientes de Amazon Web Services «calificados» un dispositivo de autenticación multifactor gratuito diseñado para fortalecer la seguridad de sus entornos en la nube.
“Un problema fundamental al abordar las amenazas de seguridad cibernética actuales es la educación, por lo que nos complace compartir nuestra capacitación de Concientización sobre la seguridad de Amazon de forma gratuita, para ayudar a las organizaciones y las personas a comprender cómo navegar y luchar contra los eventos de seguridad”, dijo Steve Schmidt, CISO de AWS. en la publicación web.
“Y al brindarles a los clientes calificados de AWS acceso a tokens MFA gratuitos, hemos facilitado aún más a las empresas el uso de esta poderosa herramienta para proteger sus datos y activos tecnológicos importantes”, agregó.
Jake Williams, cofundador y CTO de BreachQuest, una empresa de respuesta a incidentes en Dallas, calificó el lanzamiento de los materiales de capacitación de Amazon como «un cambio de juego, en particular para las pequeñas y medianas empresas».
“La capacitación en concientización sobre seguridad puede tener un impacto sustancial en la prevención de infracciones”, dijo a TechNewsWorld.
“La capacitación de Amazon pondrá un producto de calidad al alcance de las organizaciones que de otro modo no lo tendrían, lo que probablemente prevenga miles de infracciones cada año”, dijo. “Si hay algo en el anuncio que dará un gran dolor de cabeza a los actores de amenazas, es esto”.
Tabla de Contenidos
Plan de estudios flexible
Amazon explicó que las personas y las organizaciones necesitan capacitación en seguridad para identificar y mantenerse a salvo de los ataques de ingeniería social, como los que se montan en correos electrónicos de phishing y llamadas telefónicas fraudulentas. Sin embargo, el problema es que las personas y las empresas no tienen tiempo para tomar cursos de capacitación que, si bien son efectivos, pueden durar horas.
Los materiales de capacitación de Amazon, señaló la compañía, forman un plan de estudios digerible y sucinto que permite a sus empleados anticipar posibles amenazas a la seguridad. Los materiales siguen principios probados de neurociencia y aprendizaje de adultos para mejorar la retención de contenido, agregó.
El plan de estudios también es flexible, continuó, por lo que las empresas y organizaciones pueden desarrollarlo para satisfacer sus necesidades.
Además, los materiales se actualizan regularmente para adaptarse al cambiante panorama de amenazas.
“Ningún empleado quiere ver la misma capacitación más de una vez”, observó Perry Carpenter, evangelista jefe y director de estrategia de KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.
«Una clave para una estrategia exitosa del programa de concientización sobre seguridad es siempre presentar conceptos clave frente a las personas de formas nuevas y únicas», dijo a TechNewsWorld.
“Rehacer el entrenamiento del año pasado no será suficiente”, dijo. “Los materiales deben actualizarse con hechos nuevos, nuevos escenarios e incluso para reflejar nuevos usos del lenguaje, tendencias culturales, marcas y más”.
“No solo cambian los métodos de los actores de amenazas, sino que también pueden cambiar la cultura de una organización, sus aplicaciones e infraestructura”, agregó Chenxi Wang, fundador y socio general de Rain Capital, una firma de capital de riesgo en San Francisco.
“Por esas razones”, dijo a TechNewsWorld, “los materiales de capacitación deben actualizarse constantemente para mantener la eficacia de la capacitación.
‘Gesto simbólico’
El acceso a los materiales de capacitación en seguridad por sí solo no hará que una organización sea segura, afirmó Doug Britton, director ejecutivo de Haystack Solutions, una empresa de evaluación de talentos en seguridad cibernética en Kensington, Maryland.
“Este es un gesto simbólico en nombre de AWS”, dijo a TechNewsWorld. “Simplemente tener materiales de capacitación de primer nivel no garantizará la seguridad”, dijo.
“¿Cómo se asegura una organización de que el personal se tome el tiempo para leer y comprender los materiales de capacitación?” preguntó. “¿Existe un sistema de gestión del aprendizaje que haga un seguimiento de la capacitación? ¿Hay alguna manera de validar que el personal haya absorbido la información?”
“La cultura de una organización es el elemento crítico para hacer que los materiales de capacitación sean más efectivos”, sostuvo.
Una organización obtiene de la capacitación en seguridad lo que pone en ella, agregó Carpenter.
“Con eso quiero decir que si una organización solo habla de boquilla sobre la conciencia de seguridad y la capacitación de los empleados, terminará con una cultura en la que las personas solo hablan de boquilla sobre la seguridad misma”, explicó.
“Pero”, continuó, “si una organización está dispuesta a hacer un esfuerzo dedicado para ofrecer un programa de concientización de seguridad transformacional, entonces valdrá la pena”.
“Tal programa es extremadamente intencional sobre la comunicación, la gestión del comportamiento, teniendo en cuenta la naturaleza humana y tomando medidas deliberadas para fomentar una cultura que valore la seguridad”, dijo.
Ficha MFA gratuita
Además de los materiales de capacitación gratuitos, Amazon ofrecerá a algunos usuarios de AWS un token gratuito que se puede usar con una contraseña para acceder a los activos en la nube de una organización.
En su publicación en línea, Amazon explicó que los clientes de AWS con acceso a la Consola de administración de AWS podrán autenticarse escribiendo sus contraseñas y luego simplemente tocando el token de seguridad MFA, que se conecta a un puerto USB en su computadora.
El token MFA gratuito agrega una capa de seguridad para proteger las cuentas de AWS de los clientes contra ataques de phishing, secuestro de sesiones, intermediarios y malware, señaló Amazon.
Los clientes también pueden usar sus dispositivos MFA para acceder de manera segura a varias cuentas de AWS, así como a otras aplicaciones habilitadas con token, como GitHub, Gmail y Dropbox, agregó.
“El uso de tokens de autenticación de hardware o software es muy superior a la autenticación de dos factores basada en SMS y puede mejorar enormemente la seguridad de cualquier organización”, observó Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, una empresa de consultoría de ciberseguridad y pruebas de penetración en Scottsdale, Arizona. .
“La autenticación de dos factores basada en SMS es rutinaria y simplemente eludida por los atacantes que utilizan ataques de intercambio de SIM y debe evitarse a menos que sea absolutamente necesario”, dijo a TechNewsWorld.
Carpenter señaló, sin embargo, que hay una desventaja en el uso de tokens físicos como un factor de MFA.
«Me encanta la idea de los tokens de hardware desde una perspectiva de seguridad», dijo, «pero también soy realista en cuanto a que los tokens de hardware no son para todos».
“Se agrega una fricción adicional para el usuario porque ahora tiene que formar nuevos hábitos y mantenerse al día con una cosa más”, continuó. “El token físico se convierte en una cosa más de la que la gente tiene que hacer un seguimiento”.
Aún así, el peso de Amazon como empresa podría cambiar la opinión de los usuarios sobre los tokens.
“Dada la notoriedad y la posición de mercado de Amazon, sin duda hará que las empresas y las personas presten atención a este movimiento”, observó Dean Coclin, director senior de desarrollo comercial de DigiCert, una empresa de seguridad digital en Lehi, Utah.
“El Fire Stick es un gran éxito para esta empresa”, dijo a TechNewsWorld. «Quizás la ‘Ficha de Fuego’ tendrá un resultado similar».