¿Cómo hacer un plan de concientización en seguridad de la información?

Jun 8, 2021 | Ciberseguridad

Un plan de concientización en seguridad de la información dará a su personal las herramientas para no ser el eslabón más débil en la cadena de ciberseguridad y reducirá riesgos asociados con amenazas cibernéticas.
Cómo hacer un plan de Concientización en Seguridad de la Información

El ciberespacio es un lugar en donde suceden miles de cosas: intercambio de información, transacciones, pagos, acuerdos, conferencias, trabajo colaborativo, alimentación de bases de datos, almacenamiento de imágenes, resguardo de videos… pero también fraudes, delitos, robo de identidades, etcétera.

Y, aunque muchas empresas invierten cantidades considerables en ciberseguridad para salvaguardar tanto la información, como su infraestructura tecnológica, muchas veces son errores humanos los que le abren la puerta a la ciberdelincuencia.

Por ello, es importante implementar un plan de concientización en seguridad de la información o concientización en ciberseguridad (awareness es como se le conoce en inglés) , para dar a los colaboradores de la empresa las herramientas necesarias para reconocer cuándo están siendo el blanco de un ataque cibernético.

Cada momento que pasa, se suman nuevos usuarios al ciberespacio a través de sus computadoras, tabletas o celulares. Lo lamentable es que este es un espacio en el que se calcula que existen 431 millones de usuarios afectados por algún delito, cualquiera que sea de comportamiento antijurídico, no ético o no autorizado y que está relacionado con el procesado automático de datos o la transmisión de los mismos.

Esta es la descripción que ofrece la Organización de Cooperación para el Desarrollo Económico (OCDE) sobre el delito cibernético, uno de los más grandes males que aqueja a millones de empresas, sin importar su ubicación o tamaño.

Por su parte, la Organización de las Naciones Unidas estima que existen varios tipos de delitos cibernéticos: los fraudes, las falsificaciones y los daños o modificaciones a programas o de los datos.

Pero aunque exista una descripción de la OCDE o de la misma ONU sobre este concepto, es importante resaltar que los delitos cibernéticos siempre van varios pasos delante de los gobiernos de los países en cuanto a la tipificación, normalización y castigo.

Naciones como Austria, Gran Bretaña, Holanda, España, Chile y Estados Unidos han trabajado en la penalización. También existe el Convenio de Budapest o Convenio sobre Ciberdelincuencia.

Desafortunadamente, México no tiene su propio marco jurídico ni tampoco forma parte del Convenio de Budapest.

Existen sanciones sobre ilícitos realizados con recursos tecnológicos, sobre todo en temas financieros; no obstante, los fraudes crecen de manera sostenida en nuestro país y no solamente para los usuarios de instituciones financieras, sino para las empresas en general.

La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) es el órgano encargado de atender los delitos financieros que, ante el incremento de fraudes, ha publicado una serie de medidas de seguridad como:

  1. No dar clic en vínculos sospechosos
  2. No compartir datos personales ni de cuentas bancarias por correo electrónico
  3. Actualizar constantemente el antivirus en los dispositivos
  4. No realizar compras en páginas electrónicas que no cuenten con certificados de seguridad verificados (SSL), no descargar aplicaciones sin comprobar su origen, entre otros.

Lo más preocupante es que, así como las personas deberían considerar una serie de nuevos hábitos y precauciones en temas de su economía personal también deberían hacer lo mismo en cuanto a la información de las empresas para las que desempeñan alguna actividad.

¿Qué es la concientización en ciberseguridad?

El término de ciberseguridad ya no nos es ajeno. Al contrario, cada día escuchamos de casos sobre algún tipo de violación a la ciberseguridad de alguna empresa de cualquier índole y de cualquier parte del mundo.

Es común escuchar que existió una violación a alguna base de datos, a algún padrón, etcétera.

Esta situación no deja de lado a las empresas pequeñas, medianas y grandes de México. Por el contrario, todas están mirando hacia la seguridad de su información y de sus procesos debido a las nuevas amenazas y, desde hace ya varios años, destinan recursos a equipos y programas para salvaguardar su información.

Los equipos de tecnología de las compañías toman un papel fundamental en la conservación de esta información y en asegurar la continuidad del negocio a pesar de cualquier tipo de ataque.

Es más, con la pandemia los equipos de sistemas tuvieron que poner a punto las redes para que los colaboradores de las empresas pudieran trabajar desde sus hogares.

Todo ello ha sido contemplado y, cada vez, son más sofisticados los programas de seguridad que existen en el mercado, con niveles más altos de seguridad, contraseñas, sistemas de identificación, etcétera.

Desafortunadamente, existe un elemento que es el eslabón más débil de esta cadena: el ser humano. El usuario común y corriente que elude toda esta fortaleza, que omite o menosprecia esta ardua labor y abre una pequeña puerta por la que inmediatamente sucederá un ataque.

Con un solo empleado que de clic a una liga que le aparece en un correo en donde se le ofrece una promoción, un premio o la descarga gratuita de alguna serie, basta para tirar abajo la fortaleza creada con software y hardware, como si se tratara de un castillo de naipes.

Es por ello que existe la concientización en ciberseguridad: para que todos, absolutamente todos los empleados de una organización, sin importar su posición, antigüedad, unidad de negocio o función, estén conscientes de esta situación, conozcan a la perfección las políticas y reglas de la operación en temas de seguridad y las cumplan. Todo ello se contempla en un plan de concientización en seguridad de la información.

Un estudio realizado por la empresa de consultoría EY determinó que una tercera parte del presupuesto en ciberseguridad de las empresas de países nórdicos se destina a los centros de operaciones de seguridad (SOC, por sus siglas en inglés) pero que las infracciones se originan en los puntos finales, en las personas.

Y es independiente a las herramientas empleadas, pues es el ojo humano el que puede responder a una alerta o ajustar un parámetro de seguridad. La razón es muy sencilla: la tecnología de ciberseguridad no es mágica, requiere de personal capacitado que sepa cómo usarla y cómo configurarla.

La siguiente frase es muy buena para ejemplificar: “Las infracciones son causadas por vulnerabilidades humanas y deben abordarse.” En la actualidad, los atacantes saben que la sofisticación de los productos es cada vez mayor. Por eso, están dando la vuelta para sortear las grandes murallas, buscando que quien abra la puerta sea un simple usuario.

Algunas de las amenzas cibernéticas más comunes en la empresa

A lo largo de los años, los productos y herramientas de ciberseguridad han evolucionado y su eficacia y solidez han aumentado sustancialmente.

Aunque la eficacia de los productos y herramientas se basa en procesos manuales e intervenciones humanas, hoy en día es más difícil atacar con éxito los sistemas o aplicaciones de una organización a través de medios técnicos. 

Y es esta es la principal razón por la que los hackers o ciberdelincuentes van detrás del eslabón más débil: el usuario.

Y la entrada a un sistema puede suceder por motivos que hasta parecen cándidos como enviar un correo con información confidencial a un destinatario equivocado… o al uso de una contraseña débil, o a la no actualización de una contraseña, a la pérdida de una computadora o al préstamo de su equipo a algún miembro de su familia que lo usó para “navegar inocentemente” buscando información para una tarea.

El informe de EY revela que 75% de las infracciones a la ciberseguridad se debieron a la debilidad de un empleado por tres principales razones:

  1. Inconsciencia en ciberseguridad: desconocen las amenazas en temas de seguridad cibernética, pero también ignoran las políticas de ciberseguridad que tiene la empresa. O bien, las pasan por alto rompiendo las reglas. De esta forma minimizan el uso de contraseñas, identificaciones o hasta el acceso y difusión de información clasificada como confidencial.
  2. Desconocimiento en combate a la amenaza: Quizá haya algunos empleados que conozcan y respeten las reglas, pero no saben qué hacer en caso de una amenaza para continuar salvaguardando la seguridad a pesar de un intento de ataque. O, en otros casos, no saben cómo utilizar las herramientas para cifrar información confidencial. También sucede que no logran distinguir lo que es clasificado en comparación con la información interna.
  3. Apatía del empleado: esta es la más severa porque conocen las reglas, saben que existen y que son para salvaguardar los datos. También saben distinguir la información confidencial de la que no lo es, incluso saben cómo cifrarla; sin embargo, no les interesa en lo más mínimo porque no es su propiedad y se muestran apáticos a los temas de protección. Ésta, por más ilógico que suene, es la más fácil de resolver si existe una cultura organizacional consciente de la importancia de la información interna y de la salvedad de los datos de los clientes para la continuidad del negocio.

Y, por supuesto, en temas de liderazgo esta tercera razón es simple y sencillamente motivo de terminación de la relación laboral.

Así como lo determina el informe de EY, estas tres razones son las primeras en analizar para tener un punto de partida sobre el cual se elaborará un plan de concientización en seguridad de la información que sea sumamente exitoso y que aborde vulnerabilidades humanas.

Algunos tipos de amenazas cibernéticas para las empresas

Phishing

No solamente se da a través de medios electrónicos sino también vía telefónica. Los delincuentes se hacen pasar por un empleado formal de alguna institución financiera y solicitan la verificación de datos de cuentas bancarias alegando algún problema con los datos y su inmediata necesidad de rectificación.

Parece una verdadera tontería pero muchas personas caen en esta trampa y es que en ocasiones se trata de personas que parecen “muy profesionales” en la manera como elaboran la comunicación, las preguntas que realizan y el diálogo que siguen.

Incluso, algunas ya tienen información, pequeños datos que crean confianza en sus víctimas. Por estas razones, es uno de los más comunes en México de acuerdo con la Condusef.

Pharming

A través de una liga (o link) dirigen al usuario a una página falsa en donde le solicitarán información para completar una compra o la entrega de datos bancarios.

Spam

De los más conocidos, esta práctica tiene la finalidad de que los usuarios descarguen un archivo que les puede parecer atractivo y que generalmente trae consigo un virus que robará la información del equipo en donde se descargó.

Claro, muchos de los incautos jamás podrán confesar que dieron clic de manera consciente… sobre todo si se trataba de alguna recompensa como premios, series o películas gratis, etcétera.

¿Cómo generar un plan de concientización en ciberseguridad? 

Como hemos visto hasta ahora, la solución en ciberseguridad conformada por software y hardware es sólo una parte de la ecuación, pero también es indispensable que las personas sepan usarlo, tengan la intención y estén conscientes de que su papel es fundamental para el éxito de la seguridad al interior de la empresa y justo son ellos los principales involucrados en la implementación de un Plan de Concientización en Seguridad de la Información.

El plan de concientización en seguridad de la información tiene el objetivo de capacitar a los usuarios sobre todo lo relacionado con la ciberseguridad, las herramientas existentes, los distintos caminos y soluciones y, por supuesto, su cumplimiento en cada una de las distintas posibles amenazas.

Un plan se deberá fincar en reducir los ataques, capacitar a los usuarios para que asuman su responsabilidad de salvaguardar la información y también para que cumplan en tiempo y forma con los distintos procedimientos y reglas de la empresa en temas del uso de la información.

Cada empresa tiene sus distintos usos sobre la información, dependiendo de su giro y de la confidencialidad, así que será tarea de cada directivo determinar cuáles son las políticas y procedimientos sobre los usos de las computadoras, las contraseñas de acceso a servidores, las políticas del uso de internet, del acceso remoto, el acceso a las carpetas de un servidor, la codificación de los documentos, los niveles de permisos y de seguridad para leer, consultar o modificar, entre otros muchos ejemplos.

Imagínate que, de repente, recibes un correo que parece provenir de una persona del departamento de Recursos Humanos. El mail trae un documento adjunto llamado nómina… esa es una gran tentación para cualquiera, pero también es uno de los casos más usuales de un ciberataque porque a pesar de que el empleado sabe que no es el remitente, no es de su incumbencia, ni tampoco de su área de función, la realidad es que la curiosidad por conocer la nómina de la compañía es una tentación difícil de sortear.

¿Qué debe incluir un Programa de Concientización en Ciberseguridad?

1.    Planeación: Entiende la razón de ser de la información en la organización, identifica necesidades, destaca debilidades y genera una propuesta que debe ser avalada por el director general para, posteriormente, aplicarlo a la empresa determinando las metodologías a seguir en temas de la capacitación.

2.   Implementación: Generar el plan estratégico para que todos en la organización estén capacitados, generando responsabilidades.

3.   Operación y mantenimiento: Hasta ahora hablamos de capacitación y responsabilidades, pero requerimos que todo eso suceda en el día a día con situaciones simuladas que sean controladas, comprendidas y dominadas a través de ejercicios prácticos.

4.   Monitoreo y evaluación: Si no lo podemos medir, no podremos mejorarlo, así que las revisiones e inspecciones deberán ser programadas con métricas claras y fáciles de entender por todos los involucrados para que les permitan calificar si sus acciones están cumpliendo con la salvaguarda de la información que es el principal objetivo.

Knowbe4: el aliado perfecto de la concientización en ciberseguridad

Como has visto, la manera en que el programa de concientización en ciberseguridad debe suceder involucra temas de cultura organizacional, liderazgo, toma de decisiones y, por supuesto, esto va mucho más allá de determinar si se toma o no un curso sobre virus y antivirus.

Es un asunto de estrategia del negocio para su correcta continuidad.

Afortunadamente, existen herramientas como KnowBe4, que es una de las más grandes plataformas especializadas para la capacitación en phishing y ransomware. Knowbe4 ha analizado a cuatro millones de usuarios en temas de comportamiento y evalúa las razones por las cuales existen ataques a la seguridad de la información en las empresas.

Sus datos son realmente preocupantes: de un universo de cuatro millones de usuarios descubrieron que la probabilidad de que un empleado sea víctima de phishing es de 37.9%.

Por fortuna, luego de un programa de concientización y de capacitación la cifra se reduce a 14.1% en tan solo 90 días y puede reducirse hasta 4.7% luego de un año, debido a las buenas prácticas implementadas en aquellas empresas que han dado seguimiento.

Knowbe4 ofrece una vasta biblioteca de módulos interactivos, juegos, carteles, boletines información e información, así como campañas de capacitación automatizadas con recordatorios enviados por correo electrónico.

También brinda la posibilidad de realizar ataques simulados de phishing para poner a prueba las acciones que toman los empleados. Esto medirá su grado de conocimiento y de acción en la toma de decisiones. Además, ofrece pruebas de referencia para que la empresa evalúe su propensión a sufrir ataques.

¿Qué ofrece la plataforma Knowbe4? 

De las opciones más impactantes que ofrece KnowBe4 es Phish-Prone, su prueba de referencia, porque deja en claro la vulnerabilidad de la empresa frente a un ataque.

Indicador de riesgo de una empresa de Knowbe4

La capacitación sobre concientización de seguridad se realiza después de una planeación, al igual que la puesta en marcha y la medición complementan perfectamente el círculo.

Todo se evalúa y se califica precisamente en los ataques simulados con miles de plantillas de uso ilimitado para conocer los resultados que tendrían los empleados de la organización en una situación real.

KnowBe4 ofrece tres niveles de acceso a la capacitación y más de 1,000 elementos, dependiendo de cuáles sean las necesidades de cada cliente.

Por ejemplo, la capacitación es interactiva desde un navegador y puede seleccionarse el idioma para su completo entendimiento. Los módulos se pueden personalizar con los logotipos, colores corporativos y mensajes de cada compañía.

De igual forma, las empresas podrán cargar su propio contenido de video para cuestiones específicas en temas de capacitación. También se pueden personalizar las plantillas de phishing para hacerlas más congruentes con el giro del negocio.

Plantillas para ataques de Phishing simulados de Knowbe4

La plataforma está creada con juegos de competencia entre usuarios que promueven el trabajo en equipo a través de recompensas visibles sobre su logros obtenidos para salvaguardar la información.

Esto es posible gracias a las evaluaciones en temas de conocimiento, de políticas sobre seguridad, cultura de seguridad que son previamente determinadas por el líder del proyecto, con métricas específicas.

Existen evaluaciones basadas en habilidades para conocer las conductas más que los conocimientos que son fundamentales en la concientización en ciberseguridad.

KnowBe4 incluye un botón de alerta de phishing para que los usuarios puedan reenviar al equipo de soporte técnico responsable las amenazas de correo electrónico que han detectado, con la intención de que sean analizadas. Esta opción también elimina el correo de la bandeja del usuario para evitar que la amenaza continúe ahí.

Los indicadores de ingeniería social son otra de sus grandes ventajas porque convierte cada correo electrónico de phishing simulado en una herramienta que puede utilizar el departamento de TI para capacitar de forma dinámica a los empleados, mostrándoles instantáneamente las señales de alerta ocultas que pasaron por alto en ese correo electrónico.

Otra de sus características es la Gestión de los usuarios. Se trata de un directorio activo que carga los datos de cada usuario y evita que se administre manualmente.

También puede aprovechar la función Grupos Inteligentes para personalizar y automatizar sus campañas de phishing, asignaciones de capacitación y aprendizaje correctivo según el comportamiento de sus empleados y los atributos del usuario.

KnowBe4 integra también la opción de Roles de seguridad para limitar los roles con combinaciones ilimitadas de niveles de acceso y capacidad administrativa.

Y, por supuesto, la entrega de informes con distintos tipos de vistas integrales y detalles sobre los indicadores claves de la capacitación.

La plataforma incluye Virtual Risk Officer (VRO), una opción fundamental para el encargado del programa de concientización en ciberseguridad porque le permitirá identificar el riesgo en diversos niveles: usuario, grupo y organización de manera muy sencilla.

Además, este se complementa con PhishER que administra los correos y reportes de los usuarios capacitados y comprometidos que también estarán vigilando a la empresa de cualquier ciberataque y facilitará la gran cantidad de mensajes reportados por los empleados sobre temas de amenazas.

Mejorar la ciberseguridad requiere cambios y con la concientización suceden estos cambios, no solamente en los conocimientos, sino en la actitud de los empleados.

Si bien hoy no existe una ley que castigue este tipo de delitos, las empresas tienen en sus manos la opción de protegerse contra los ciberataques subiendo al barco a todos; absolutamente todos los empleados que forman parte porque se ha comprobado que la cultura de la ciberseguridad no solamente compete a los departamentos de TI y que no existe inversión que pueda resolver el problema, si no existe una conciencia y el conocimiento indicado.

KnowBe4 es una solución magnífica por todas las características que ofrece, por su entrenamiento para los ataques y por la simulación de los mismos, pues genera los ambientes propicios para que los usuarios puedan poner en práctica sus conocimientos, pero también tengan la facilidad de tomar decisiones inteligentes por las que serán galardonados en pro de la seguridad de la información de las empresas.

En Tec Innova ofrecemos productos y soluciones completas en ciberseguridad para empresas de todos los tamaños. Solicite una reunión para conocer más sobre Knowbe4 y sobre un plan de concientización en seguridad de la información.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Artículos relacionados

¿Que es Azure Storage?

¿Que es Azure Storage?

La plataforma de Azure Storage es la solución de almacenamiento en la nube de Microsoft para los escenarios modernos de almacenamiento de datos. Azure Storage ofrece almacenamiento de alta disponibilidad, escalable de forma masiva, duradero y seguro para una gran variedad de objetos de datos en la nube.

leer más
FortiVoice – Comunicaciones unificadas seguras

FortiVoice – Comunicaciones unificadas seguras

Las comunicaciones unificadas seguras de FortiVoice, conjuntamente con los teléfonos IP de FortiFone, ayudan a las organizaciones a adaptarse a las cambiantes necesidades de comunicación por la evolución de la infraestructura, el trabajo remoto o híbrido y BYOD.

leer más
¿Que es FortiAnalyzer ?

¿Que es FortiAnalyzer ?

Una arquitectura de seguridad integrada con capacidades de análisis y automatización puede abordar y mejorar drásticamente la visibilidad y la automatización. Como parte de Fortinet Security Fabric, FortiAnalyzer ofrece análisis y automatización de security fabric para permitir una mejor detección y respuesta contra riesgos cibernéticos.

leer más
Abrir chat
¿Cómo podemos ayudarte?