Creación de una cultura de seguridad receptiva y adaptable - Guía de respuestas ante incidentes de seguridad de AWS

Creación de una cultura de seguridad receptiva y adaptable

En AWS, hemos aprendido que nuestros clientes y nuestros equipos internos tienen más éxito cuando los equipos de seguridad son facilitadores cooperativos para el negocio y sus desarrolladores y fomentan una cultura que garantiza que todas las partes interesadas cooperen y escalen para mantener una posición de seguridad ágil con una alta capacidad de respuesta. Si bien mejorar la cultura de seguridad de la organización no es el tema central de este documento, puede obtener información relevante del resto del personal si el equipo de seguridad es receptivo. Cuando el equipo de seguridad tiene una actitud abierta y accesible, con el apoyo de la dirección, es más probable que reciba notificaciones, colaboraciones y respuestas adicionales y oportunas para los eventos de seguridad.

En algunas organizaciones, el personal puede temer represalias si informa sobre un problema de seguridad. A veces, simplemente no saben cómo notificarlo. En otros casos, es posible que no quieran perder el tiempo o que se sientan avergonzados de notificar un posible incidente de seguridad que al final resulte no ser un problema. Desde el equipo directivo hacia abajo, es importante promover una cultura de aceptación e invitar a todos a formar parte de la seguridad de la organización. Proporcione un canal claro para que cualquiera pueda crear un ticket de gravedad alta, siempre que se crea que puede haber un riesgo o una amenaza potencial. Reciba estas notificaciones de buena gana y con una mente abierta y, lo que es más importante, deje claro al personal no relacionado con la seguridad que aprecia estas notificaciones. Enfatice que prefiere recibir más notificaciones de las necesarias sobre posibles problemas que no recibir ninguna en absoluto. Es mucho mejor que un desarrollador notifique su propio error que esperar a que un investigador lo señale en un artículo público.

Estas notificaciones ofrecen oportunidades valiosas para practicar investigaciones receptivas en situaciones de estrés. Pueden servir como un bucle de retroalimentación importante mientras desarrolla sus procedimientos de respuesta.