elena@8layer-latam.com
Elena Farfan hace 10 meses
elena@8layer-latam.com #concienciacion

Plan de concienciación de seguridad informática

La delincuencia cibernética en los últimos años se ha vuelto una mina de oro y parece que en ningún rincón del mundo han quedado fuera de esta amenaza que lamentablemente sigue aumentando. Basta con ver los portales de noticias acerca de ciberseguridad para darnos cuenta de ataques cibernéticos que se han dado en estos últimos años, fuga de datos y caos mundial que se produce a causa de esta ola de delitos digitales.

El costo medio de la ciberdelincuencia para una organización ha aumentado en 1,4 millones de dólares en el último año hasta alcanzar los 13 millones de dólares. Y el número medio de infracciones de seguridad en el último año ha aumentado en un 11%.

Cada día surgen amenazas nuevas, es por eso que las organizaciones no pueden seguir confiando solo en su defensa tecnológica para mantener a salvo su información sensible. El cibercrimen a pulido su manera de robar información, utilizando sofisticadas técnicas de la ingeniería social para eludir las barreras que ponen las organizaciones. Y todo de traduce a qué uno de sus colaboradores haga click en un enlace malicioso para que el castillo de naipes de vaya a suelo.


Tu colaborador son la primera línea de tu empresa, no tienen porque ser el eslabón más débil si les entregamos las herramientas necesarias como el conocimiento y las habilidades para proteger cada una de las áreas de la empresa. Un programa integral sobre concienciación en seguridad cibernética es la mejor manera de educar al personal y crear una cultura de seguridad prioritaria.


Entonces, analicemos parte por parte que es un plan de concienciación de seguridad


¿Qué es un Plan de Concienciación de Seguridad informática?

Un programa de concienciación es un programa formal que tiene como objetivo poder capacitar a los usuarios finales sobre las amenazas que se puedan dar en el ciberespacio y que ataquen a la organización y así evitar situaciones que puedan colocar en riesgo datos de la organización.


Muchas veces en seguridad de la información el usuario final tiende a ser el eslabón más débil, la gente quiere ser útil y hacer un buen trabajo. La gente quiere brindar un buen servicio a sus compañeros de trabajo, clientes y proveedores. Los ingenieros sociales buscan explotar estas características en los humanos.


La única defensa que conocemos actualmente para la ya conocida ingeniería social es un plan efectivo de concienciación de seguridad. A menos que los usuarios comprendan tácticas de ingenieros sociales , serán victimas y pondrán en riesgo datos importantes de la organización.


Una encuesta de las brechas recientes revelará que una gran mayoría de ellas aprovecharon la explotación de los humanos. Un ejemplo es el ataque «Aurora» contra Google y otras grandes compañías de software. Se envió a los usuarios a un sitio web que les infectó con un exploit de día 0. El resultado fue que una gran cantidad de propiedad intelectual, incluido el código fuente, fue robada de compañías como Google y Adobe.


Objetivos

El objetivo de un programa de concienciación de seguridad es:

 

·      Reducir la superficie de ataque de la organización


·      Capacitar a los usuarios para que asuman la responsabilidad personal de proteger la información de la organización


·      Hacer cumplir las políticas y procedimientos que la organización ha implementado para proteger sus datos


Las políticas y procedimientos pueden incluir , entre otros , políticas de uso de ordenadores, políticas de uso de Internet, políticas de acceso remoto y otras políticas que tienen como objetivo gobernar y proteger los datos de la organización.


Hoy en día, ciberdelincuentes no intentan entrar a través del firewall. Los malos van por el cortafuegos.


Hay soluciones como antivirus, sistemas de detección de intrusos, sistemas de prevención de intrusiones y otras soluciones técnicas a la información de protección. Con estas soluciones sofisticadas, los atacantes ahora están recurriendo a ataques más específicos enfocados en engañar a los usuarios para que hagan clic en enlaces o abran archivos adjuntos.


Esto puede parecer simplista, pero ¿qué harían la mayoría de los usuarios si recibieran un archivo adjunto que parece provenir del departamento de recursos humanos que parece ser una hoja de cálculo de aumentos para todos en la organización? La curiosidad podría no solo matar al gato, también podría poner en riesgo tus datos.

 

Importancia

 

Con un buen plan de concienciación de seguridad es una buena manera de poder informarle a los equipos de todas las áreas de la empresa de cualquier tipo de actividad maliciosa dirigida al uso del ciberespacio de una empresa.


Preparar al personal para descubrir la suplantación de identidad (phishing) u otros tipos de estafas cibernéticas significa proporcionar un sistema integral de capacitación, políticas e instrucciones de procedimiento que podrían ayudar a reconocer signos de malversación e informar actividades sospechosas y no ser presa de los estafadores.

 

El capacitar a tus colaboradores es lo que los empoderara para poder implementar una exitosa concienciación de seguridad.

 

Los detractores de los programas de capacitación de concienciación sobre seguridad a menudo señalan cómo, independientemente de la cantidad de capacitación que reciben los usuarios, las violaciones aún se cometen, y el elemento humano sigue siendo uno de los eslabones más débiles en la cadena de seguridad cibernética.

 

También se señala que hay una cierta desconexión entre lo que es e rendimiento y la capacidad de los usuarios finales de poder reconocer amenazas en entorno de ejercicio y comportamientos en un entorno de la vida real.

 

No obstante, la capacitación en conciencia de seguridad vale la pena. Todo el personal debe ser consciente de amenazas comunes, para que, como mínimo, no sean víctimas de estafas o intentos de phishing más básicos.

 

Si el usuario final llega a ser victima de ataques que más sofisticados, los usuarios pueden aplicar el conocimiento previo entregado en el entrenamiento del plan de concienciación para así disminuir los efectos de ataques, reunir información necesaria para que los profesionales del área de seguridad actúen y prendan las alertas al departamento apropiado, a través de los canales correctos.


El aspecto importante en el que centrarse es si el programa implementado es efectivo y realmente aborda las necesidades de la organización en la que se lleva a la práctica.

 

Elementos esenciales de un Plan efectivo de Concienciación en Seguridad informática


Aunque cada organización debe adoptar el plan de concienciación que se adecue a su estructura, composición y ubicación de su fuerza laboral, hay algunos otros aspectos que de deben tener en cuenta siempre, para así crear un programa robusto.


·      Realizar una evaluación de ciberseguridad para identificar el riesgos e impacto de los ciberataques


·      Métodos de capacitación preferidos

·      Estrategias de refuerzo y medición para garantizar que se cumplan los objetivos de seguridad de la empresa


·      Evaluación periódica del programa.

A continuación, analizamos los elementos principales de estos planes.


¿Cómo se debe capacitar al personal?

¿ Qué habilidades necesita el personal?


Si bien cada capacitación de concienciación debe incluir información relevante, para así satisfacer las necesidades de la empresa y así despertar el interés de los empleados que van a tener un papel efectivo en la resiliencia cibernética de la organización, es de suma importancia el enfocarse en contramedidas o comportamientos que se relacionan a amenazas reales, tanto internas como externas, a la infraestructura IT


Hay que destacar las debilidades

Parte de la evaluación implica también identificar posibles vulnerabilidades de seguridad en sistemas o procedimientos con un ojo puesto en el papel humano en la cadena de ciberseguridad.


Una revisión simple ayudará a establecer nuevos requisitos de seguridad y a idear acciones correctivas que podrían necesitar abordarse a través de la capacitación.

Aprobación y apoyo de la dirección ejecutiva

Antes de poder proceder el plan debe ser autorizado por lo mandos altos.


Obtener la autorización de la gerencia para avanzar en el proceso apoyará, impulsará, dará instrucciones y aplicará la implementación del plan. Es el liderazgo el que debe estar a favor de invertir en nuevas soluciones de seguridad, pero también en opciones de capacitación.


La participación y el apoyo de la alta dirección también determinarán el nivel de importancia que tendrá todo el programa y la capacitación a los ojos de los empleados y mostrará el compromiso del empleador con la seguridad.


Inversiones en la preparación del plan


Para que despegue un programa de Educación, Capacitación y Conciencia de Seguridad, se necesita una planificación significativa en la inversión para garantizar que se asegure suficiente financiamiento para cubrir al menos los requisitos mínimos de capacitación y garantizar un programa efectivo y orgánico.


El plan de concienciación y capacitación sobre seguridad debe ser respaldado por el presupuesto y cubrir los eventuales contratos y el material del curso que deben desarrollar y proporcionar los capacitadores.


Un plan a largo plazo necesita ser ideado y financiado a través del apoyo de la gerencia para que las opciones estén claras desde el principio. El alcance debe incluir conocimiento y capacitación especializada, así como cursos de actualización periódica para todos los usuarios de ordenadores empleados.


Adaptar el programa


Se debe desarrollar un programa de concienciación de acuerdo con los objetivos corporativos para garantizar que el programa satisfaga las necesidades del negocio y cumpla con las regulaciones, políticas, procedimientos, estándares y pautas relacionados.

 

Es importante que el programa sea realista. Sería imposible restringir el uso de correos electrónicos y difícil limitar el uso de las redes sociales. Es mejor centrarse en cambiar los comportamientos en línea y en el uso adecuado y más seguro de cualquier herramienta.


Después de determinar cuáles son las necesidades de la organización, sus debilidades percibidas y el presupuesto, es importante adaptar el programa proporcionando información específica y actividades de capacitación relevantes para el trabajo del empleado.


Temas básicos como ingeniería social, spear phishing, seguridad de correo electrónico, contraseñas, seguridad de dispositivos móviles, y el malware siempre están presentes.


¿La fuerza laboral está distribuida y en diferentes zonas horarias?

¿Hay problemas culturales específicos que deben abordarse o tomarse en consideración?

¿Está la fuerza laboral altamente informada en IT en su totalidad o requiere información más básica?


Aplicar metodologías educativas particulares


El programa de capacitación ayudará a fortalecer una nueva postura de seguridad de los colaboradores primero definiendo su alcance y contenido vinculado a políticas y directivas de seguridad cibernética.


¿La capacitación vendrá de la misma empresa o será subcontratada? ¿Está capacitación será instructiva o autodidacta?


Las técnicas que debe adoptar la empresa deberían incluir al menos algunas de las siguientes herramientas de concienciación, instrucción y evaluación:

·      carteles,

·      salvapantallas y pancartas de advertencia,

·      alertas generadas por ordenador,

·      mensajes de correo electrónico de toda la agencia

·      sesiones basadas en la web,

·      teleconferencias o sesiones dirigidas por un instructor en persona.


Los colaboradores no tienen un estilo de aprendizaje si no que existen muchos estilos diferentes, y ciertos medios para transmitir información ya podrían estar saturados. Este paso requiere creatividad para idear formas de llegar a todos los empleados.

 

Es posible que desees incluir ejercicios prácticos para mantener el tema vivo y relevante. La frecuencia del entrenamiento también debe determinarse cuidadosamente. La conciencia de seguridad no debe ser un trato único sino un proceso continuo.


No obstante, demasiadas sesiones de capacitación repetitivas podrían hacer que los empleados pierdan interés en el tema.

Una vez que se determina cuál es la mejor manera de brindar capacitación en concienciación de seguridad a los empleados, se debe idear un plan para su implementación.


Una buena combinación de instrucción presencial con capacitación en ordenador puede ayudar a llegar a todos los empleados. Múltiples soluciones para entregar información pueden ayudar a involucrar a empleados externos, trabajadores remotos, personal de turno o empleados cuyo compromiso y roles de trabajo les impiden tener horarios predecibles.


2. Implementar


Estrategia y enfoque


Es hora de presentar el programa de seguridad de la información.

Debemos tener claros los alcances y los objetivos que queremos lograr con la capacitación que ya fueron establecidos anteriormente, así como la participación de los altos mandos, tiene que estar marcado en cada uno de los empleados.

Los supervisores de cada área deben participar para asegurar que los empleados tengan tiempo y oportunidad de participar en las cada una de las sesiones de capacitación o cursos en línea.


Esto es primordial, ya que esto transmitirá la cultura de capacitación de concienciación dentro de la jornada laboral de los colaboradores.


Involucrar a todo el personal de la empresa


El propósito de la conciencia cibernética es ayudar a las organizaciones a enseñar a sus empleados a asegurar el comportamiento. Por lo tanto, las compañías querrán invertir fuertemente en programas de educación en seguridad no solo para aquellos operadores que administran la infraestructura de IT sino también para incluir personal que no sea de IT.


Esto puede significar ajustar la estrategia de concienciación y capacitación para estar más en línea con los diferentes roles en la corporación y para satisfacer las necesidades de todos los usuarios dentro de ella, desde empleados hasta supervisores y gerentes funcionales.


Cada miembro del personal debe participar en un papel más activo en lo que respecta a la seguridad de TI y reducir la exposición a los ataques de integridad de datos y otras amenazas al preparar la última línea de defensa de la compañía: los empleados.


Establecer responsabilidad


Es de suma importancia, el comunicar de manera eficiente cuales son las partes obligatorias de la capacitación para que los colaboradores sean conscientes de las políticas y procedimientos de la empresa.


3. Operar y mantener


Ejercicios prácticos


El ejercicio practico y las evaluaciones de conocimientos por medio de conjuntos de habilidades son los que ponen énfasis en el aprendizaje interactivo pueden ayudar a hacer que a capacitación sea relevante y sencilla de relacionar con incidentes que se enlazan con la seguridad cibernéticas de la vida.


La empresa también debe entender que necesitan estar preparadas para entregar capacitación que ayudará a un personal menos técnico a comprender principios básicos de IT y entender mejor los conceptos de conciencia.


4. Monitorizar y evaluar


Revisiones en progreso


Las evaluaciones posteriores a la implementación deben llevarse a cabo durante las autoevaluaciones anuales para garantizar que la orientación y los recursos se actualicen y mantengan, ya que deben permanecer adaptables y proporcionar un refuerzo continuo.


Aquí es donde se identifican y discuten las oportunidades para la mejora del programa (incluidas las brechas y deficiencias).


Si es necesario, se puede cambiar el programa de capacitación.


La evaluación posterior a la implementación del programa es imprescindible para proporcionar comentarios sobre el material de sensibilización y capacitación y garantizar que los empleados hayan recibido la educación requerida. Las técnicas de evaluación y retroalimentación pueden proporcionar información que debería resultar en una actualización del plan del programa de concienciación y capacitación.


Inspecciones


Inspecciona los informes de capacitación y los resultados de la auditoría para comprender completamente las fortalezas y debilidades del programa de seguridad.

 

La evaluación de los planes y programas de seguridad puede mostrar que se están haciendo progresos para garantizar que los planes de seguridad de la empresa estén alineados adecuadamente con la misión, metas y objetivos de sus programas.


Métrica, supervisión administrativa y operativa


Las métricas claras pueden ayudar a demostrar el éxito y ajustar el programa. Mide el progreso para ayudar a determinar la conciencia de seguridad de TI de tu empresa y si las necesidades de capacitación son suficientes o si un área no mejora como se esperaba.


Deben usarse métricas de seguridad efectivas para identificar debilidades, determinar tendencias para utilizar mejor los recursos de seguridad y juzgar el éxito o el fracaso de las soluciones de seguridad implementadas.


Actividades de evaluación del programa y comentarios

Las personas necesitan comentarios regulares sobre su desempeño después de implementar nuevas prácticas de seguridad.


Es una buena idea solicitar ideas para el usuario final o fomentar comentarios para medir el éxito y el crecimiento del programa.


¿Cuántos usuarios realmente completan la capacitación? ¿Qué les gustó? ¿Aprendieron algo? ¿Han cambiado los comportamientos? Además, solicita nuevas ideas y sugerencias para mejorar. Fomenta la creatividad.


Un programa de concienciación de seguridad no es un trato único, sino que comprende un enfoque continuo y holístico. Tiene un ciclo de vida continuo que debe evaluarse y mejorarse constantemente; de lo contrario, los esfuerzos inconsistentes abren la organización a un mayor riesgo.


Cuestiones para incluir en el Plan de Concienciación en ciberseguridad

Tener cuidado con el wifi público


Si bien la mayoría de los puntos de acceso Wi-Fi públicos son perfectamente seguros, eso no siempre es así.


El cibercrimen a menudo transmite dispositivos como un punto de acceso público, especialmente e lugares públicos. Luego, cuando el usuario final se conecta a internet por medio de estos, el atacante puede interceptar toda la información que se mueven entre la victima y su sitio de comprar en línea o aplicaciones, bancos o cualquier sitio en el que navegue.


Muchos dispositivos inteligentes buscan automáticamente puntos de conexión conocidos, como Wi-Fi de su hogar

 

Los ataques más nuevos observan este comportamiento y simplemente preguntan al dispositivo qué SSID están buscando. Cuando el teléfono les dice que está buscando su enrutador ‘hogar’, el ataque responde: «Soy el enrutador de su hogar», y el teléfono continúa y se conecta.


Para combatir estos problemas, es una buena práctica que los usuarios apaguen el Wi-Fi y Bluetooth hasta que sean necesarios.


En el caso del acceso inalámbrico, deben verificar el SSID de una ubicación, a menudo simplemente preguntando a un establecimiento el nombre de su punto de acceso Wi-Fi antes de conectarse. Los usuarios también deben considerar instalar un software VPN para asegurarse de que solo hagan conexiones seguras y encriptadas a servicios conocidos.


Utilice contraseñas robustas


¿Uno de los errores más comunes que cometen los usuarios finales es usar la misma contraseña para todas las cuentas que tiene en línea, esto porque muchas veces es más sencillo de recordar cierto? Ya que muchas veces se hace más engorroso tener una contraseña para cada cuenta que exista.


Pero coloquemos un ejemplo, si el atacante cibernético intercepta esa contraseña única, el tendrá acceso a todas las cuentas que el usuario final tenga, incluido sus sitios bancarios o de compras.


La mejor opción es utilizar un administrador de contraseñas que almacene el nombre de usuario y la contraseña para cada cuenta. Por supuesto, se debe tener especial cuidado para garantizar que la contraseña del administrador sea especialmente segura y fácil de recordar.


Uno de los trucos para crear contraseñas seguras es utilizar las primeras letras de una oración, letras de una canción o frase, incluir mayúsculas y minúsculas, números y caracteres como el punto, la coma, el asterisco, etc. Es así y solo así que podemos obtener contraseñas robustas y seguras.


Para estar aún más seguro, considera agregar autenticación de dos factores para cualquier ubicación donde se almacenen datos confidenciales. Es un paso adicional en el proceso de inicio de sesión, pero aumentará significativamente la seguridad de tus cuentas y datos.


Reconocer el phishing


Probablemente les hayas repetido a tus empleados que nunca hagan clic en los enlaces en los anuncios enviados a su correo electrónico o publicados en sitios web a menos que los revisen primero.


Hay muchos avisos, como una mala redacción o gramática, URL complejas o mal escritas, y un diseño deficiente que puede ser un indicio clave de que un correo electrónico es malicioso.


El caso es que siempre existirá quien no pueda resistirse a abrir un correo electrónico, acceder a un archivo adjunto de alguien que no conoce o pinchar en un enlace de una web, sobre todo cuando incluye un asunto atractivo.


Es por eso que cualquier esfuerzo educativo debe complementarse con soluciones efectivas que puedan detectar spam y phishing, validar enlaces y ejecutar archivos ejecutables en un entorno limitado, incluso para correo electrónico personal, para garantizar que las trampas maliciosas simplemente funcionen no llegar a un usuario final.


Actualizar dispositivos y usar software de seguridad


Los usuarios deben tener un agente de seguridad aprobado por la empresa o una solución instalada en cualquier dispositivo que tenga acceso a los recursos corporativos. Este software también necesita mantenerse actualizado, y los análisis de dispositivos deben ejecutarse regularmente.


Del mismo modo, los dispositivos de punto final deben actualizarse y parchearse regularmente.


Los controles de acceso a la red deberían poder detectar si la seguridad y el software del sistema operativo son actuales, y si no, los usuarios deberían ser redirigidos a un servidor de corrección para realizar las actualizaciones necesarias o alertados sobre el estado no seguro de su dispositivo.


Monitorizar las redes sociales


El cibercrimen a menudo personaliza sus ataques para que esto sea más común y que una victima haga click en el enlace

Y acá hay otro problema ya que el problema más común de donde obtienen información personal de los usuarios es en sus redes sociales privadas (por eso es muy importante al menos tener nuestras cuentas de forma privada, tener cuidado con páginas que muchas veces venden, accesorios, ropa, etc. Donde se vea poco movimiento o seguidores)


Las personas que quieren un perfil abierto a todo público deben entender que es imprescindible seleccionar cuidadosamente quién va a ser su amigo. Si no conoces al seguidor, o si el sitio parece extraño, es mejor rechazar la solicitud.

Aunque la persona que quiere seguirte es conocida, es mejor primero verificar si ya es tu amigo, si esto es así, existe una posibilidad muy alta de que la cuenta haya sido suplantada o clonada.

1
248

Login to Post comments

Comentarioss 0
Ponte al día con las soluciones tecnológicas junto a Veeam y 8Layer Chile: Todo lo que tienes que saber sobre las nuevas Licencias Universales de Veeam (VUL)

Ponte al día con las soluciones tecnológicas junto a Veeam y 8Layer Ch...

defaultuser.png
Elena Farfan
 hace 6 meses
¿Cómo comienzo este 2023 con una rutina de backup?

¿Cómo comienzo este 2023 con una rutina de backup?

defaultuser.png
Elena Farfan
 hace 4 meses
¿Conoces algunas técnicas que utilizan los ciberdelincuentes para propagar el ransomware?

¿Conoces algunas técnicas que utilizan los ciberdelincuentes para prop...

defaultuser.png
Elena Farfan
 hace 5 meses
El Rol De Las Mujeres En El Mundo TI; Una Brecha Que Aún Persiste

El Rol De Las Mujeres En El Mundo TI; Una Brecha Que Aún Persiste

defaultuser.png
Elena Farfan
 hace 1 año
Riesgos a un solo Click: Destinos Turísticos: La tecnología al servicio de los Ciberataques

Riesgos a un solo Click: Destinos Turísticos: La tecnología al servici...

defaultuser.png
Elena Farfan
 hace 1 año