Jack Koziol, Fundador y CEO de seguridad de la información, se especializan en fortalecer a las organizaciones y a sus empleados contra las amenazas de seguridad con educación galardonada sobre seguridad y privacidad. Reconociendo que la seguridad cibernética es trabajo de todos, brindan desarrollo de habilidades y capacitación de certificación para profesionales de seguridad y TI, al mismo tiempo que desarrollan la aptitud de seguridad de toda la fuerza laboral con capacitación de concientización y simulaciones de phishing. Reconocido como un Elección de los clientes de Gartner Peer Insights para la formación informática basada en la concienciación sobre la seguridad, Infosec también es una de las «20 principales empresas de formación en TI» de la industria de la formación y el ganador de oro del programa de formación y educación en seguridad en los premios a la excelencia global de la Guía de productos de seguridad de la información.
Inicialmente, comenzó a trabajar en seguridad cibernética en Harris Bank en 2003, ¿qué implicó su trabajo y cómo ha cambiado la industria desde entonces?
Yo era el único profesional de seguridad cibernética que trabajaba en el banco en 2003. Teníamos otros roles multifuncionales en nuestra matriz corporativa, BMO, pero yo era el único empleado de tiempo completo dedicado a la seguridad cibernética en ese momento. Los cambios en la tecnología, y sus riesgos asociados, han impactado dramáticamente la industria desde mi tiempo en Harris Bank. Los presupuestos de seguridad cibernética y el tamaño de los equipos se han multiplicado al menos por diez para mantenerse al día con las amenazas de seguridad cibernética dirigidas a la industria de servicios financieros. Lo que se me asignó hace 15 años como colaborador individual ahora probablemente lo administre un equipo de más de 100 profesionales de ciberseguridad.
Mientras trabajabas en el banco publicaste “The Shellcoder’s Handbook”, uno de los primeros libros sobre hacking ético. ¿Cuál era su mentalidad al momento de escribir este libro?
Cuando escribí el libro, el foro principal para compartir información relacionada con exploits era una lista de correo llamada BUGTRAQ. El Manual de Shellcoder hizo que esta información un tanto arcana fuera más accesible al compartirla con una audiencia mucho más amplia de una manera fácil de entender. Muchas personas en ese momento querían, y necesitaban, aprender a escribir exploits. Sabía que podía enseñar a otros cómo escribir exploits de software con ejemplos prácticos de mi propia experiencia. Egoístamente, también quería dejar de trabajar para el banco y tomar mi carrera en una dirección diferente.
¿Podría compartir la historia de génesis detrás de Infosec?
Todo comenzó después de que publiqué el Manual de Shellcoder. Su popularidad impulsó el interés y la conciencia necesarios sobre la piratería ética y las vulnerabilidades del software, lo que generó múltiples solicitudes para enseñar campamentos de entrenamiento sobre las vulnerabilidades de software cubiertas en el libro. Usé el tiempo de vacaciones para enseñar algunos cursos, pero finalmente me quedé sin PTO, así que renuncié a mi trabajo diario en el banco y pasé los siguientes dos años viajando por el mundo enseñando a personas con trabajos corporativos cómo piratear. Fue bastante divertido.
Durante ese tiempo, la industria del software explotó. Las nuevas herramientas y plataformas introdujeron más riesgos de seguridad, lo que generó una necesidad aún mayor de capacitación en ciberseguridad. Y a medida que los ciberdelincuentes ampliaron los objetivos del software para incluir a los usuarios de software, la demanda de educación en ciberseguridad escalable y basada en roles se disparó.
Fue en ese momento que Infosec escaló nuestros servicios educativos a través de software como servicio y desarrolló las plataformas de educación en ciberseguridad más grandes del mundo, Habilidades de seguridad de la información y CI de seguridad de la información. Ambas plataformas brindan capacitación práctica y relevante para el rol a toda la empresa para capacitar a los empleados con el conocimiento, las habilidades y la confianza para burlar el ciberdelito. En la actualidad, más del 70 % de las empresas de Fortune 500 han confiado en Infosec Skills para desarrollar su talento y sus equipos de seguridad, y más de 5 millones de estudiantes en todo el mundo son más resistentes a la ciberseguridad gracias a la capacitación sobre phishing y concientización sobre seguridad de Infosec IQ.
¿Podría hablar sobre algunos de los certificados y cursos de ciberseguridad más populares que ofrece Infosec?
Infosec brinda educación en ciberseguridad basada en roles para toda la organización, desde el departamento de contabilidad hasta el equipo SOC. Dado que Infosec es un proveedor neutral, probablemente no sea sorprendente saber que algunos de nuestros campamentos de entrenamiento más populares son aquellos que preparan a los estudiantes para certificaciones en demanda como CISSP, Security+ y Certified Ethical Hacker (CEH). Lo que hace único a Infosec es la forma en que preparamos a los estudiantes para sus exámenes. Usamos una combinación de conferencias inmersivas y laboratorios prácticos en el rango cibernético para ayudar a los estudiantes a aprender haciendo y enseñar habilidades valiosas que se pueden aplicar de inmediato a sus trabajos. Él Gama cibernética Infosec Skills es una de las experiencias de aprendizaje más populares en la plataforma y algo en lo que estamos invirtiendo fuertemente este año.
Por el lado de la concientización y capacitación en seguridad, nuestro recién lanzado Elige tu propia aventura® Juegos de concientización sobre la seguridad han cambiado por completo la forma en que nuestros clientes brindan capacitación y concientización sobre seguridad a sus empleados. Nos asociamos con el equipo detrás de la marca Choose Your Own Adventure® para llevar la emoción y el misterio de la popular serie de libros de juegos a los programas de capacitación y concientización sobre seguridad en todo el mundo. Los juegos ponen a los alumnos a cargo de su propio programa de capacitación en concientización sobre seguridad con argumentos interactivos que fomentan el pensamiento crítico y la toma de decisiones, al mismo tiempo que hacen que la capacitación sea divertida.
¿Qué tan importante es crear conciencia en los empleados sobre las amenazas de ciberseguridad?
Desarrollar la conciencia de los empleados sobre las amenazas de ciberseguridad proporciona beneficios más allá de la seguridad y el cumplimiento de los datos corporativos. Más allá de las ventajas obvias de ayudar a las organizaciones a evitar incidentes de seguridad costosos, a menudo perjudiciales, los programas de educación en ciberseguridad protegen a los empleados tanto en el trabajo como en el hogar. Saber cómo evitar un ataque de phishing o asegurar un dispositivo IoT puede proteger a los empleados de devastadoras pérdidas personales e incluso amenazas para sus familias. Comprender cómo mantenerse seguro en línea ya no es solo una cuestión de trabajo, es una habilidad para la vida. No podríamos estar más orgullosos de ayudar a nuestros clientes a proteger sus negocios, clientes y personal de las amenazas cibernéticas y los malos actores.
¿Cuál es el método más común en el que los empleados son víctimas de exploits o piratas informáticos?
La mayoría de los investigadores de ciberseguridad están de acuerdo en que la mayoría de las filtraciones de datos se pueden atribuir a un error humano. Él último estudio de IBM X-Force Threat Intelligence Index informa ransomware, robo de datos y acceso al servidor como los tres tipos de ataque más comunes en 2020, y exploración y explotación, phishing y robo de credenciales como los tres principales vectores de ataque iniciales. El phishing es una amenaza de seguridad muy grave y común y, por lo tanto, está ampliamente cubierto por los medios de comunicación. La realidad es que, si bien muchas infracciones comienzan con phishing y malware, la medida en que los piratas informáticos obtienen acceso a información y sistemas confidenciales suele ser un reflejo de la infraestructura de TI de la organización y la postura de seguridad general. El incidente reciente de SolarWinds es solo uno de los muchos ejemplos en los que algo tan simple como una política de contraseñas más sólida o un programa de concientización de seguridad más efectivo puede haber evitado una brecha importante.
En pocas palabras: las brechas de conocimiento sobre seguridad cibernética en cualquier nivel de la organización plantean riesgos de seguridad para la organización y deben mitigarse con la concienciación y educación sobre seguridad de los empleados.
La ciberseguridad siempre está evolucionando, ¿con qué frecuencia los empleadores y los empleados deben volver a familiarizarse con las posibles amenazas cibernéticas?
Como profesionales de la seguridad, nunca hemos terminado de aprender. Es nuestra responsabilidad evolucionar junto con las necesidades de la tecnología, y las nuevas vulnerabilidades que pueden introducir, para adelantarnos al ciberdelito. Recomendamos al menos 1 a 3 horas de aprendizaje dedicado por semana para los profesionales de la seguridad cibernética, y simulaciones de phishing y capacitación de concientización mensuales para el personal no técnico.
Los expertos en aprendizaje de adultos a menudo citan Curva de olvido de Ebbinghaus para recalcar la importancia de la capacitación frecuente de los empleados. La teoría establece esencialmente que sin la repetición espaciada para reforzar los nuevos conocimientos, los empleados olvidarán el 90 % de la información nueva en un mes.
Capacitación técnica práctica a través de un rango cibernético o conciencia de seguridad gamificada a través de un Elige tu propia aventura® Juego de concientización sobre la seguridad son solo algunas de las formas en que ayudamos a nuestros clientes a aprender haciendo y maximizar la retención de conocimientos. Los programas de aprendizaje continuo como estos inspiran hábitos seguros mientras ayudan a construir una cultura de seguridad en el lugar de trabajo.
Gracias por la gran entrevista, los lectores que deseen obtener más información deben visitar seguridad de la información