Saltar a contenido

UD 1 - 4.1 Plan de concienciación

1.4. Plan de formación y concienciación de seguridad

Tras establecer las medidas de seguridad necesarias, los responsables de la organización deben asegurarse de que los empleados estén al tanto de las políticas y procedimientos de seguridad de la información. Por tanto no basta con plasmar las medidas de seguridad en un documento, sino que es necesario que los empleados conozcan, comprendan y acaten todo su contenido. Para ello, es necesario diseñar un plan de formación y concienciación en seguridad de la información que capacite sobre estas medidas y fomente una cultura de seguridad en la toda la organización.

La formación en seguridad es fundamental para que los empleados conozcan los riesgos a los que se enfrentan y sepan cómo actuar para evitarlos.

La concienciación en seguridad es un aspecto fundamental para que los empleados sean conscientes de la importancia de la seguridad de la información y de su responsabilidad en la protección de los activos de la organización. Así, la concienciación en seguridad busca fomentar una cultura de seguridad en la organización.

1. Introducción

La ciberdelincuencia se ha convertido en un gran negocio y parece que ninguna zona del mundo ha quedado indemne ante esta creciente amenaza. Basta con echar un vistazo a los titulares para leer acerca de los últimos ataques cibernéticos, las filtraciones de datos y el caos mundial que se está produciendo a causa de esta ola de delitos digitales.

En los últimos años, el coste medio de la ciberdelincuencia para una organización ha aumentado en 1,4 millones de euros hasta alcanzar los 13 millones de euros. Y el número medio de infracciones de seguridad en el último año (2020) ha aumentado en un 11%. Además, el 68% de las organizaciones han experimentado un aumento solo en el número de ataques de phishing.

Cada vez surgen nuevas amenazas y las organizaciones ya no pueden confiar sólo en sus defensas tecnológicas para mantenerlas a salvo. Los ciberdelincuentes están utilizando sofisticadas técnicas de ingeniería social para eludir estas defensas. Y todo lo que se necesita es que un empleado haga clic en un enlace malicioso y ¡se acabó el juego!

Tus empleados son tu primera línea de defensa contra la ciberdelincuencia, por lo que es vital que estén equipados con todos los conocimientos y habilidades necesarias para proteger tu organización. Un programa integral de Formación y Concienciación de Seguridad Cibernética es la mejor manera de educar al personal y crear una cultura de seguridad prioritaria.

2. ¿Qué es un Plan de Formación y Concienciación de Seguridad de la información?

Un programa de formación y concienciación de seguridad es un programa formal con el objetivo de capacitar a los usuarios sobre las posibles amenazas a la información de una organización y cómo evitar situaciones que puedan poner en riesgo los datos de la organización.

En seguridad de la información, las personas son el eslabón más débil. La gente quiere ser útil y hacer un buen trabajo. La gente quiere brindar un buen servicio a sus compañeros de trabajo, clientes y proveedores. Los ingenieros sociales buscan explotar estas características en los humanos.

La única defensa conocida para los ataques de ingeniería social es un programa efectivo de formación y concienciación de seguridad. A menos que los usuarios comprendan las tácticas y técnicas de los ingenieros sociales, serán víctimas y pondrán en riesgo los datos de la organización.

Una encuesta de las brechas recientes revelará que una gran mayoría de ellas aprovecharon la explotación de los humanos. Un ejemplo es el ataque «Aurora» contra Google y otras grandes compañías de software. Se envió a los usuarios a un sitio web que les infectó con un exploit de día 0. El resultado fue que una gran cantidad de propiedad intelectual, incluido el código fuente, fue robada de compañías como Google y Adobe.

2.1. Objetivos

Los objetivos del programa de formación y concienciación en seguridad de la información son:

  • Reducir la superficie de ataque de la organización.
  • Capacitar a los TODOS los usuarios de la organización para que asuman la responsabilidad personal de proteger la información de esta.

    • Formación: Proporcionar a los usuarios la formación necesaria para que puedan identificar y responder a las amenazas de seguridad.
    • Concienciación: Crear una cultura de seguridad en la organización para que los usuarios sean conscientes de las amenazas de seguridad y de la importancia de proteger los datos de la organización.
  • Hacer cumplir las políticas y procedimientos que la organización ha implementado para proteger sus datos.

Las políticas y procedimientos pueden incluir, entre otros, políticas de uso de ordenadores, políticas de uso de Internet, políticas de acceso remoto y otras políticas del puesto de trabajo que tienen como objetivo gobernar y proteger los datos de la organización.

Hoy en día, los ciberdelincuentes no intentan entrar a través del firewall. Hay soluciones como antivirus, sistemas de detección de intrusos, sistemas de prevención de intrusiones y otras soluciones técnicas a la información de protección. Con estas soluciones sofisticadas, los atacantes ahora están recurriendo a ataques más específicos enfocados en engañar a los usuarios para que hagan clic en enlaces o abran archivos adjuntos.

Esto puede parecer simplista, pero ¿qué harían la mayoría de los usuarios si recibieran un archivo adjunto que parece provenir del departamento de recursos humanos que parece ser una hoja de cálculo de aumentos para todos en la organización? La curiosidad podría no solo matar al gato, también podría poner en riesgo tus datos.

2.2. Importancia

Un buen programa de formación y concienciación de seguridad es una excelente manera de informar al personal sobre cualquier tipo de actividad maliciosa dirigida al uso del ciberespacio de una empresa.

Preparar al personal para descubrir la suplantación de identidad (phishing) u otros tipos de estafas cibernéticas significa proporcionar un sistema integral de capacitación, políticas e instrucciones de procedimiento que podrían ayudar a reconocer signos de malversación e informar actividades sospechosas y no ser presa de los estafadores.

La capacitación del usuario final es una de las claves para la implementación exitosa de cualquier programa de formación y concienciación de seguridad.

Los detractores de los programas de capacitación y concienciación sobre seguridad a menudo señalan cómo, independientemente de la cantidad de capacitación que reciben los usuarios, las violaciones que se cometen, y el elemento humano sigue siendo uno de los eslabones más débiles en la cadena de seguridad cibernética.

También señalan que existe una desconexión entre el rendimiento y la capacidad de los usuarios para reconocer las amenazas en un supuesto práctico vs sus comportamientos y respuestas en un entorno de la vida real.

Sin embargo, la capacitación en conciencia de seguridad vale la pena. Todo el personal debe ser consciente de las amenazas comunes, para que, como mínimo, no sean víctimas de las estafas y los intentos de phishing más fáciles.

Si son víctimas de ataques más sofisticados, los usuarios pueden aplicar el conocimiento adquirido durante el entrenamiento para mitigar los efectos del ataque, reunir la información necesaria para que los profesionales de seguridad actúen y notifiquen al departamento apropiado a través de los canales correctos.

El aspecto importante en el que centrarse es que: EL programa implementado sea efectivo y aborde las necesidades de la organización.

2.3. Elementos esenciales de un Plan efectivo de formación y concienciación

Aunque cada organización puede y debe adaptar un programa de formación y concienciación a sus necesidades y a la composición y ubicación de su fuerza laboral, hay algunos aspectos que siempre deben tenerse en cuenta para crear un programa que sea efectivo:

  • Realizar una evaluación de ciberseguridad para identificar el riesgos e impacto de los ciberataques.
  • Métodos de formación preferidos.
  • Estrategias de refuerzo y medición para garantizar que se cumplan los objetivos de seguridad de la empresa.
  • Evaluación periódica del programa.

A continuación analizamos los elementos principales de estos planes.

3. Planificación

3.1. Identificar las necesidades de sensibilización sobre ciberseguridad

¿En qué se debe formar al personal?, ¿Qué conjuntos de habilidades necesitan?

Si bien para la formación y concienciación se necesita información básica que siempre es relevante, para satisfacer las necesidades de la empresa y despertar el interés de los empleados, que tendrán un papel efectivo en la resiliencia cibernética de la organización, es importante adaptar el programa de seguridad al enfocarse en contramedidas o comportamientos relacionados con amenazas reales o posibles, internas o externas a la infraestructura de TI de la empresa.

Es importante completar una evaluación de riesgos y establecer la respuesta adecuada que permita al personal tomar medidas de mitigación adecuadas de manera adecuada. Una evaluación de impacto empresarial puede ayudar a desarrollar estrategias para gestionar un incidente al encontrar formas de minimizar sus impactos.

3.2. Destacar las debilidades

Parte de la evaluación implica también identificar posibles vulnerabilidades de seguridad en sistemas o procedimientos con un ojo puesto en el papel humano en la cadena de ciberseguridad.

Una revisión simple ayudará a establecer nuevos requisitos de seguridad y a idear acciones correctivas que podrían necesitar abordarse a través de la formación.

3.3. Aprobación y apoyo de la dirección ejecutiva

Antes de que uno pueda proceder, el programa de concienciación sobre seguridad debe ser aprobado.

Obtener la autorización de la gerencia para avanzar en el proceso apoyará, impulsará, dará instrucciones y aplicará la implementación del plan. Es el liderazgo el que debe estar a favor de invertir en nuevas soluciones de seguridad, pero también en opciones de formación.

La participación y el apoyo de la alta dirección también determinarán el nivel de importancia que tendrá todo el programa y la formación a los ojos de los empleados y mostrará el compromiso del empleador con la seguridad.

3.4. Inversiones en la preparación del plan

Para que despegue un programa de Educación, Formación y Conciencia de Seguridad, se necesita una planificación significativa en la inversión para garantizar que se asegure suficiente financiamiento para cubrir al menos los requisitos mínimos de formación y garantizar un programa efectivo y orgánico.

El plan de concienciación y formación sobre seguridad debe ser respaldado por el presupuesto y cubrir los eventuales contratos y el material del curso que deben desarrollar y proporcionar los capacitadores.

Un plan a largo plazo necesita ser ideado y financiado a través del apoyo de la gerencia para que las opciones estén claras desde el principio. El alcance debe incluir conocimiento y formación especializada, así como cursos de actualización periódica para todos los usuarios de ordenadores empleados.

3.5. Adaptar el programa

Se debe desarrollar un programa de concienciación de acuerdo con los objetivos corporativos para garantizar que el programa satisfaga las necesidades del negocio y cumpla con las regulaciones, políticas, procedimientos, estándares y pautas relacionados.

Es importante que el programa sea realista. Sería imposible restringir el uso de correos electrónicos y difícil limitar el uso de las redes sociales. Es mejor centrarse en cambiar los comportamientos en línea y en el uso adecuado y más seguro de cualquier herramienta.

Después de determinar cuáles son las necesidades de la organización, sus debilidades percibidas y el presupuesto, es importante adaptar el programa proporcionando información específica y actividades de formación relevantes para el trabajo del empleado.

Temas básicos como ingeniería social, spear phishing, seguridad de correo electrónico, contraseñas, seguridad de dispositivos móviles, y el malware siempre están presentes.

Pero ¿qué más hay que tener en cuenta?

¿La fuerza laboral está distribuida y en diferentes zonas horarias?

¿Hay problemas culturales específicos que deben abordarse o tomarse en consideración?

¿Está la fuerza laboral altamente informada en TI en su totalidad o requiere información más básica?

3.6. Aplicar metodologías educativas particulares

El plan de formación es lo que ayuda a fortalecer la postura de seguridad de la compañía al definir primero su alcance y contenido vinculado a las políticas y directivas de seguridad cibernética.

¿La formación vendrá de la propia empresa o subcontratada? ¿Será instructiva o autodidacta?

Las técnicas de la compañía pueden incluir una o más de las siguientes herramientas de concienciación de instrucción y evaluación:

  • carteles,
  • salvapantallas y pancartas de advertencia,
  • alertas generadas por ordenador,
  • mensajes de correo electrónico de toda la agencia
  • sesiones basadas en la web,
  • teleconferencias o
  • sesiones dirigidas por un instructor en persona.

Los empleados tienen diferentes estilos de aprendizaje e intereses, y ciertos medios para transmitir información ya podrían estar saturados. Este paso requiere creatividad para idear formas de llegar a todos los empleados.

Es posible que desees incluir ejercicios prácticos para mantener el tema vivo y relevante. La frecuencia del entrenamiento también debe determinarse cuidadosamente. La conciencia de seguridad no debe ser un trato único sino un proceso continuo.

Sin embargo, demasiadas sesiones de formación repetitivas podrían hacer que los empleados pierdan interés en el tema.

Una vez que se determina cuál es la mejor manera de brindar formación en concienciación de seguridad a los empleados, se debe idear un plan para su implementación.

Una buena combinación de instrucción presencial con formación en ordenador puede ayudar a llegar a todos los empleados. Múltiples soluciones para entregar información pueden ayudar a involucrar a empleados externos, trabajadores remotos, personal de turno o empleados cuyo compromiso y roles de trabajo les impiden tener horarios predecibles.

4. Implementar

4.1. Estrategia y enfoque

Hora de presentar el programa de seguridad de la información.

El alcance y los objetivos de la formación deben estar claramente establecidos, y la importancia de la participación en el programa, así como la participación de la alta gerencia, debe ser evidente para los empleados.

Los supervisores deben participar para asegurarse de que los empleados tengan tiempo y oportunidades para participar en sesiones de formación o cursos en línea.

Esto es importante ya que transmite que la capacitación en concienciación es una parte esencial de la jornada laboral de los empleados.

4.2. Involucrar a todo el personal de la empresa

El propósito de la conciencia cibernética es ayudar a las organizaciones a enseñar a sus empleados a asegurar el comportamiento. Por lo tanto, las compañías querrán invertir fuertemente en programas de educación en seguridad no solo para aquellos operadores que administran la infraestructura de TI sino también para incluir personal que no sea de TI.

Esto puede significar ajustar la estrategia de concienciación y formación para estar más en línea con los diferentes roles en la corporación y para satisfacer las necesidades de todos los usuarios dentro de ella, desde empleados hasta supervisores y gerentes funcionales.

Cada miembro del personal debe participar en un papel más activo en lo que respecta a la seguridad de TI y reducir la exposición a los ataques de integridad de datos y otras amenazas al preparar la última línea de defensa de la compañía: los empleados.

4.3. Establecer responsabilidad

Es importante comunicar con claridad qué partes de la formación son obligatorias para que los empleados sean plenamente conscientes de las políticas y procedimientos específicos de la empresa.

También es esencial diseñar mecanismos para garantizar la asistencia obligatoria a la formación o determinar quién será responsable de garantizar la asistencia para garantizar que el personal pueda obtener la formación que necesitan.

5. Operar y mantener

5.1 Ejercicios prácticos

Los ejercicios prácticos simulados y evaluaciones de conocimiento a través de conjuntos de habilidades que ponen énfasis en el aprendizaje interactivo pueden ayudar a hacer que la formación sea más relevante y más fácil de relacionar con incidentes relacionados con la seguridad cibernética de la vida real.

La organización también debe estar preparada para proporcionar formación fundamental que pueda ayudar a un personal menos técnico a comprender los principios básicos de TI y a comprender mejor los conceptos de conciencia.

6. Monitorizar y evaluar

6.1. Revisiones en progreso

Las evaluaciones posteriores a la implementación deben llevarse a cabo durante las autoevaluaciones anuales para garantizar que la orientación y los recursos se actualicen y mantengan, ya que deben permanecer adaptables y proporcionar un refuerzo continuo.

Aquí es donde se identifican y discuten las oportunidades para la mejora del programa (incluidas las brechas y deficiencias).

Si es necesario, se puede cambiar el programa de formación.

La evaluación posterior a la implementación del programa es imprescindible para proporcionar comentarios sobre el material de sensibilización y capacitación y garantizar que los empleados hayan recibido la educación requerida. Las técnicas de evaluación y retroalimentación pueden proporcionar información que debería resultar en una actualización del plan del programa de concienciación y capacitación.

6.2. Inspecciones

Inspecciona los informes de capacitación y los resultados de la auditoría para comprender completamente las fortalezas y debilidades del programa de seguridad.

La evaluación de los planes y programas de seguridad puede mostrar que se están haciendo progresos para garantizar que los planes de seguridad de la empresa estén alineados adecuadamente con la misión, metas y objetivos de sus programas.

6.3. Métrica, supervisión administrativa y operativa

Las métricas claras pueden ayudar a demostrar el éxito y ajustar el programa. Mide el progreso para ayudar a determinar la conciencia de seguridad de TI de tu empresa y si las necesidades de capacitación son suficientes o si un área no mejora como se esperaba.

Deben usarse métricas de seguridad efectivas para identificar debilidades, determinar tendencias para utilizar mejor los recursos de seguridad y juzgar el éxito o el fracaso de las soluciones de seguridad implementadas.

6.4. Actividades de evaluación del programa y comentarios

Las personas necesitan comentarios regulares sobre su desempeño después de implementar nuevas prácticas de seguridad.

Es una buena idea solicitar ideas para el usuario final o fomentar comentarios para medir el éxito y el crecimiento del programa.

¿Cuántos usuarios realmente completan la capacitación? ¿Qué les gustó? ¿Aprendieron algo? ¿Han cambiado los comportamientos? Además, solicita nuevas ideas y sugerencias para mejorar. Fomenta la creatividad.

Un programa de concienciación de seguridad no es un trato único, sino que comprende un enfoque continuo y holístico. Tiene un ciclo de vida continuo que debe evaluarse y mejorarse constantemente; de lo contrario, los esfuerzos inconsistentes abren la organización a un mayor riesgo.

7. Cuestiones a incluir en el Plan de Formación y Concienciación en ciberseguridad

Las principales cuestiones a incluir en un Plan de Concienciación en Seguridad informática son las siguientes:

7.1. Tener cuidado con el wifi público

Si bien la mayoría de los puntos de acceso Wi-Fi públicos son perfectamente seguros, eso no siempre es cierto.

Los delincuentes a menudo transmiten su dispositivo como un punto de acceso público, especialmente en lugares públicos. Luego, cuando un usuario se conecta a Internet a través de ellos, el delincuente puede interceptar todos los datos que se mueven entre la víctima y su sitio de compras en línea, banco o cualquier otro lugar al que navegue.

Muchos dispositivos inteligentes también buscarán automáticamente puntos de conexión conocidos, como el Wi-Fi de su hogar.

Los ataques más nuevos observan este comportamiento y simplemente preguntan al dispositivo qué SSID están buscando. Cuando el teléfono les dice que está buscando su enrutador ‘hogar’, el ataque responde: «Soy el enrutador de su hogar», y el teléfono continúa y se conecta.

Para combatir estos problemas, es una buena práctica que los usuarios apaguen el Wi-Fi y Bluetooth hasta que sean necesarios.

En el caso del acceso inalámbrico, deben verificar el SSID de una ubicación, a menudo simplemente preguntando a un establecimiento el nombre de su punto de acceso Wi-Fi antes de conectarse. Los usuarios también deben considerar instalar un software VPN para asegurarse de que solo hagan conexiones seguras y encriptadas a servicios conocidos.

7.2. Usar mejores contraseñas

Otro error que cometen los usuarios es usar exactamente la misma contraseña para todas sus cuentas en línea, generalmente porque recordar una contraseña única para cada sitio en el que tienen una cuenta puede ser imposible.

Pero si un delincuente logra interceptar esa contraseña, tendrá acceso a todas las cuentas del usuario, incluidos los sitios bancarios y de compras.

La mejor opción es utilizar un administrador de contraseñas que almacene el nombre de usuario y la contraseña para cada cuenta. Por supuesto, se debe tener especial cuidado para garantizar que la contraseña del administrador sea especialmente segura y fácil de recordar.

Un truco para crear contraseñas seguras es utilizar las primeras letras de una oración, letra de canción o frase, insertar letras mayúsculas, números y caracteres especiales, y obtendrás una contraseña bastante segura.

Para estar aún más seguro, considera agregar autenticación de dos factores para cualquier ubicación donde se almacenen datos confidenciales. Es un paso adicional en el proceso de inicio de sesión, pero aumentará significativamente la seguridad de tus cuentas y datos.

7.3. Reconocer el phishing

Probablemente les hayas repetido a tus empleados que nunca hagan clic en los enlaces en los anuncios enviados a su correo electrónico o publicados en sitios web a menos que los revisen primero.

Hay muchos avisos, como una mala redacción o gramática, URL complejas o mal escritas, y un diseño deficiente que puede ser un indicio clave de que un correo electrónico es malicioso.

El caso es que siempre existirá quien no pueda resistirse a abrir un correo electrónico, acceder a un archivo adjunto de alguien que no conoce o pinchar en un enlace de una web, sobre todo cuando incluye un asunto atractivo.

Es por eso que cualquier esfuerzo educativo debe complementarse con soluciones efectivas que puedan detectar spam y phishing, validar enlaces y ejecutar archivos ejecutables en un entorno limitado, incluso para correo electrónico personal, para garantizar que las trampas maliciosas simplemente funcionen no llegar a un usuario final.

7.4. Actualizar dispositivos y usar software de seguridad

Los usuarios deben tener un agente de seguridad aprobado por la empresa o una solución instalada en cualquier dispositivo que tenga acceso a los recursos corporativos. Este software también necesita mantenerse actualizado, y los análisis de dispositivos deben ejecutarse regularmente.

Del mismo modo, los dispositivos de punto final deben actualizarse y parchearse regularmente.

Los controles de acceso a la red deberían poder detectar si la seguridad y el software del sistema operativo son actuales, y si no, los usuarios deberían ser redirigidos a un servidor de corrección para realizar las actualizaciones necesarias o alertados sobre el estado no seguro de su dispositivo.

7.5. Monitorizar las redes sociales

Los delincuentes a menudo personalizarán un ataque para que sea más probable que una víctima haga clic en un enlace.

Y el lugar más común para que obtengan esa información personal es de los sitios de redes sociales.

La forma más fácil de evitar eso es simplemente configurar controles de privacidad estrictos que solo permitan que las personas preseleccionadas vean su página.

Las personas que desean un perfil abierto de redes sociales deben seleccionar cuidadosamente a quién van a hacer amigos. Si no conoces a alguien, o si algo en su sitio personal parece extraño, rechaza su solicitud. E incluso si la persona es alguien que conoces, primero verifica si ya es un amigo. Si es así, existe una posibilidad significativa de que su cuenta haya sido secuestrada o duplicada.

Fuente