SUSCRÍBETE
Fátima Rodríguez
Fátima Rodríguez

Ingeniera en Ciberseguridad en Ingeniería Dric, egresada de la carrera de Ingeniería en telecomunicaciones por la UNAM, cuenta con una maestría en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional, cuenta con experiencia en seguridad defensiva, ofensiva y regulación de la Seguridad de la Información. Profesional en Ciberseguridad con base en ISO27032:2012.

No debemos pensar en nuestros colaboradores como el eslabón más débil de la cadena y tratar de enfocarnos en protegerlos de sí mismos, más bien hay que develarles su papel como actores principales y parte medular del tratamiento de la información. De esto va la concienciación de usuarios o awarness.

Una vez que los colaboradores tengan clara la importancia de su papel en el ecosistema de seguridad de la información y conocimiento sobre el tipo de información que manejan y qué puede atacarla, su necesidad de protegerla se desarrollará de manera holística y los controles que hoy parecen trabajo extra, tomarán sentido. Hacerlos conscientes es solo el primer paso.

El contexto de la organización es único y determinante en la elección de una estrategia para el programa de concientización, pero se debe poder responder las siguientes preguntas con la estrategia seleccionada:

  • ¿Se considera la adquisición de una plataforma de e-learning, la adquisición solo del servicio o por medios gratuitos o internos a la organización?
  • ¿Todos los colaboradores tienen acceso a un equipo empresarial para poder tomar una capacitación en una plataforma?
  • ¿La concienciación incluirá capacitación técnica mínima para usuarios que no pertenecen a TI?
  • ¿Los equipos administrados por la organización ya cuentan con un baseline definido y se encuentra contemplado dentro de los temas del programa el uso de estas herramientas de protección?
  • ¿El programa contempla que el contenido esté siempre disponible o solo durante las campañas?
  • ¿La manera en que se imparten los temas necesitan tiempos amplios o se impartirán en pequeñas cápsulas?
  • ¿El programa integrará información para todas las amenazas identificadas?
  • ¿De qué manera se evaluará la comprensión de los temas impartidos?
  • ¿Los temas del programa van a dividirse por áreas de negocio o serán generales para todos los colaboradores?


Lo más efectivo es un programa que contemple al menos la segmentación de tipo de información utilizado por cada colaborador, sin perder de vista a los colaboradores que resguardan físicamente la organización y la postura de la organización ante sus proveedores. Una vez elegidos los medios y aplicado el programa, debemos ser capaces de evaluar su valor.

Evaluar el programa de concienciación

No hay que perder de vista que el fin último de el programa de concienciación siempre será la detección, prevención y respuesta oportuna de los usuarios ante cualquier tipo de amenazas. Es por eso que una forma efectiva de medir la eficiencia de estos programas es la aplicación de campañas que expongan a los usuarios a situaciones lo cercanas posibles a un ataque real, de manera controlada y medible.

Hay que tener en cuenta que, si bien la evaluación no puede ser exhaustiva, la muestra seleccionada de visibilidad real de el grado de efectividad que podría llegar a tener un ataque. Medir el número de usuarios que se ha comprometido y sobre todo la acción que han realizado después del evento (si lo han reportado o no, o en el peor de los casos no supieron cómo reportarlo) ayudará enormemente a la mejora continua del programa aplicado.

¿Y cómo saber si funciona?

 La parte medular de la evaluación será siempre la conclusión del análisis de los resultados obtenidos. Es aquí donde la estrategia y la planificación de la tecnología, la información propuesta en las campañas y los resultados de las simulaciones de amenaza cobran sentido.
Podemos considerar que un Programa de Concienciación es efectivo cuando a lo largo del tiempo podemos detectar:

  • Incremento en la visibilidad de eventos de seguridad reportados oportunamente a TI
  • Decremento en el número de ejecutables maliciosos descargados por usuarios en las consolas administradas de antivirus
  • Decremento en el número de usuarios cautivos durante las campañas de amenazas
  • Incremento en el cumplimiento de controles de seguridad ya implementados.


Esto es un trabajo constante y una parte importante del mismo es rodear al colaborador con la cultura que refleje lo valiosa que es la seguridad, así como mostrarle las herramientas que tiene a mano para su protección y la importancia de su participación en el ecosistema de seguridad, sobre todo crear la conciencia de que sin importar a qué parte de la organización pertenezca, la seguridad la hacemos todos.

Te invitamos a conocer más de nuestros servicios de seguridad TI:
Pruebas de pentesting
Análisis de vulnerabilidades
Hacking ético

Visitas: 110

ARTICULOS RELACIONADOS

Ciberataques de ransomware en el sector financiero

Los ciberataques le cuestan al sector financiero 1,16 millones.

ciberataques ransomware sector financiero Seguir leyendo keyboard_arrow_right
Jun 2021 Visitas: 48

El estado del ransomware 2021

Solo el 8% de las empresas que pagan un rescate recuperan todos sus datos.

cibersecurity malware ransomware Seguir leyendo keyboard_arrow_right
Jun 2021 Visitas: 78

10 principales percepciones erróneas de seguridad

Percepciones erróneas al neutralizar e investigar un ciberataque.

mtr rdp sophos Seguir leyendo keyboard_arrow_right
Jun 2021 Visitas: 62

COMENTARIOS

SUSCRÍBETE

help_outline