SUSCRÍBETE
Fátima Rodríguez
Fátima Rodríguez

Ingeniera en Ciberseguridad en Ingeniería Dric, egresada de la carrera de Ingeniería en telecomunicaciones por la UNAM, cuenta con una maestría en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional, cuenta con experiencia en seguridad defensiva, ofensiva y regulación de la Seguridad de la Información. Profesional en Ciberseguridad con base en ISO27032:2012.

En principio de los 90’s, la era digital se desarrollaba con paso veloz alrededor del mundo. Las redes con enfoque de “Castillo y Foso” se extendieron como las gobernantes por excelencia en el campo de la seguridad empresarial. Sin embargo, esos tiempos han quedado en el pasado.

Con el paso a la transformación digital, hemos dejado atrás aquellas redes que resguardan bajo una pared infranqueable la información, que extendió su terreno para volverse portable y acompaña al usuario en todo momento ya sea en su amplia gama de dispositivos móviles o en la nube. Así pues, un nuevo paradigma de seguridad, la Confianza Cero pasó a formar parte de la arquitectura empresarial. Este modelo se basa en cinco pilares diferenciados para una seguridad efectiva, atendiendo las actuales necesidades de la digitalización y movilidad: confianza en los dispositivos, confianza en los usuarios, confianza en la sesión, confianza en las aplicaciones y confianza en los datos. Partiendo del enfoque de nunca confiar que un control se esté cumpliendo y en su lugar, mantenerlo verificado.

El día de hoy, vamos a enfocarnos al que debe ser considerado el pilar más importante: Usuarios. La pieza clave en la creación y transmisión de la información a un nivel granular.

Si tenemos en cuenta la probabilidad de éxito de un ataque de ingeniería social, las estadísticas de frecuencia de un ataque de este tipo previo a la explotación de ransomware y la proporción que guarda con el entrenamiento destinado a los usuarios, no falta mucho más para concluir que un buen entrenamiento y la concienciación de cada integrante son fundamentales para la salvaguarda de la información de la organización.

Cómo definir la Concienciación

No debemos pensar en nuestros colaboradores como el eslabón más débil de la cadena y tratar de enfocarnos en protegerlos de sí mismos, más bien hay que develarles su papel como actores principales y parte medular del tratamiento de la información. De esto va la concienciación de usuarios o awarness.

Una vez que los colaboradores tengan clara la importancia de su papel en el ecosistema de seguridad de la información y conocimiento sobre el tipo de información que manejan y qué puede atacarla, su necesidad de protegerla se desarrollará de manera holística y los controles que hoy parecen trabajo extra, tomarán sentido. Hacerlos conscientes es solo el primer paso.

En este contexto, hay que convertir las campañas de concienciación y el entrenamiento continuo en piezas clave que permitan revelar su valor de manera que no sean catalogados como una inversión sin retorno sino como aprendizaje significativo que incluso, pueda extenderse a la vida cotidiana. Para esto es crucial entender el cómo aplicar un programa efectivo con los factores clave que maximicen su utilidad, por ejemplo:

  • A quiénes se aplica
  • Cuál es el panorama de la organización
  • Cómo elaborar un programa
  • Cómo evaluar el programa
  • Cómo saber si es efectivo

A quiénes se aplica

Debemos contemplar un plan de capacitación especializado en cada parte integral de los colaboradores, sin excluir a uno solo, pero atendiendo a la necesidad de conocimientos que tiene cada uno:

  • El personal técnico y todo el personal de Tecnologías de la Información requiere una capacitación enfocada en la defensa de la red y la información. Así como todo lo referente a los controles técnicos establecidos o el reconocimiento de los controles faltantes.
  • La alta dirección, destinada a visibilizar los asuntos del riesgo, es por eso que la formación debe ser enfocada hacia esto: visibilizar la exposición de la organización al riesgo de sufrir un tipo de pérdida. 
  • Los usuarios finales. Este puede parecer el punto más obvio y prioritario, sin embargo, es importante no solo brindar una capacitación y entrenamiento de forma constante sino adecuarlo al contexto organizacional para que pueda ser efectivo. Al final del día la estructura y tipo de información de la organización es diferente para cada una de las áreas donde los colaboradores participan.

Una vez teniendo en cuenta que no podemos colocar a todos los integrantes de la organización en un mismo saco, el siguiente punto es entender a qué amenazas nos estamos enfrentando.

Panorama de las amenazas

Ya que no todos los colaboradores se enfrentan a las mismas amenazas, es importante entender el contexto general de las que rodean a los colaboradores:

  • Malware: Altamente recibido por quien tiene alto contacto con el exterior, como los colaboradores del área de ventas.
  • APT: Las amenazas avanzadas persistentes son de difícil detección, por lo que más que recibirlas, el personal de TI debe estar preparado poder identificarlas y responder.
  • Spear-phishing: Las amenazas de Ingenierías social más sofisticadas se dirigen por lo común a objetivos clave, encargados de decisiones estratégicas, presupuesto o colaboradores que manejan información financiera.
  • Phishing: Es la amenaza más extendida a la que puede enfrentarse el personal administrativo, a pesar de ser relativamente de fácil detección, los ataques de este tipo son solo el indicador principal de una cadena d
  • Ransomware: De las amenazas más peligrosas por tener el objetivo de extenderse por la red en un tiempo reducido. Cualquier tipo de colaborador está expuesto, desde que estas amenazas toman vectores de ataque diversos.
  • Acceso Físico: La suplantación de identidad no es un tema meramente digital. Colaboradores bajo resguardo de áreas restringidas o ingreso están expuesto a amenazas de personificación para las que deben estar preparados a responder de forma adecuada.
  • Atacantes Externos: Los colaboradores externos ya sean proveedores continuos o por evento representan siempre un riesgo a la organización, por lo que es importante que la definición de sus actividades puntuales sea de conocimiento de ellos y los colaboradores internos responsables.

Aunque la anterior no es una lista exhaustiva, plantea de forma general las amenazas informáticas a las que una organización está comúnmente expuesta. Una vez que se conocen también el contexto de las amenazas, no solo informáticas, tenemos que comenzar a dar forma al plan de capacitación y entrenamiento como tal.

Te invitamos nuestros nuevos servicios de seguridad TI:
Pruebas de pentesting
Análisis de vulnerabilidades
Hacking ético

Visitas: 105

ARTICULOS RELACIONADOS

Logra que la seguridad de tu infraestructura de TI realmente funcione

En iDric, utilizamos una evaluación de vulnerabilidades de cuatro etapas basado en el estandar PTES.

phishing ransomware seguridad de la información Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 20

¿Alguna vez has escuchado sobre Phishing?, Sabes cómo identificarlo y evitar caer en sus redes…

Phishing es una técnica que consiste en engañar al usuario para robarle información confidencial, claves de acceso, etc.

cibersecurity it security phishing Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 117

Cómo crear un programa de concienciación

¿ Como concientizar a los colaboradores de una empresa sobre los riesgos de seguridad de la información?

cibersecurity idric make it simple seguridad de la información Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 73

COMENTARIOS

SUSCRÍBETE

help_outline