Identifique los riesgos y proteja su organización
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir cómo los especialistas en concientización sobre seguridad identifican los riesgos y las necesidades de capacitación.
- Explicar los tipos de programas de concientización implementados por los profesionales de la concientización en seguridad.
Identificar riesgos y necesidades de capacitación
¿Sabía que el ransomware es una de las formas más extendidas y dañinas de ciberataques? Ha afectado a pequeñas empresas, ciudades y hospitales. El ransomware es un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se paga una suma de dinero. Normalmente funciona cifrando los archivos del equipo afectado, lo que los hace inaccesibles. La mayor parte del ransomware se envía por email aparentemente legítimo, en el que se incita a los usuarios a hacer clic en un vínculo o a descargar un archivo adjunto que contiene software malicioso. También se puede enviar a través de un sitio web malicioso, o a través de las redes sociales. El impacto del ransomware puede ser devastador para una organización y, lamentablemente, muchos trabajadores de oficina no son conscientes de la amenaza. Dado que los piratas informáticos se basan en errores humanos para enviar ransomware o emails de phishing a un usuario, la capacitación en ciberseguridad es fundamental para mantener la seguridad de una organización.
A la hora de decidir qué tipo de capacitación implementar, los especialistas en concientización sobre seguridad comienzan por identificar las amenazas, vulnerabilidades y riesgos más relevantes para su organización. Para ello, establecen una red de concientización sobre seguridad con las principales partes interesadas de la organización para asegurarse de que comprenden los riesgos y los objetivos de negocio. A continuación, examinan los papeles y funciones en la organización para identificar los conocimientos, las destrezas y las habilidades necesarias para defender a la compañía, prestando especial atención a la capacitación que necesitan los usuarios privilegiados (administrativos). Estos pasos se mencionan en Controles de Center for Internet Security 14.
El especialista en concientización sobre seguridad también analiza las vulnerabilidades mediante preguntas críticas. ¿Qué tipos de comportamiento de los usuarios ponen en peligro a la organización? ¿Saben los usuarios cómo detectar un email de phishing? ¿Qué controles existen para detectar e impedir que personas malintencionadas hagan daño? Los especialistas en concientización sobre seguridad también tienen en cuenta los tipos de leyes, reglamentos y requisitos de cumplimiento que se aplican a su organización. Se aseguran de que los usuarios son conscientes de sus responsabilidades en relación con estos requisitos, y también alinean la capacitación con las políticas de seguridad de la compañía. Trabajan con el equipo de políticas para asegurarse de que estas se actualizan para cumplir la normativa vigente y de que son claras para los empleados.
Implementar iniciativas de capacitación y concientización
Los especialistas en concientización sobre seguridad disponen de diversas herramientas para formar a los empleados sobre cómo defender a la organización de la ingeniería social, el phishing, el ransomware, los intrusos malintencionados y otros tipos de amenazas. El especialista en concientización sobre seguridad planifica, diseña, desarrolla, aplica y mantiene un programa de concientización integral. Crea contenidos de concientización sobre seguridad para varios canales, como redes sociales y sitios de intranet. También difunden comunicaciones técnicas a los usuarios para informarles sobre la evolución de las amenazas, los nuevos requisitos normativos o los cambios en la política de la compañía. Crean materiales de aprendizaje electrónico, como cursos de capacitación en línea, contenidos de video, podcasts, seminarios web o foros de debate.
La capacitación puede ser específica para cada puesto de trabajo o centrarse en reforzar a los empleados contra amenazas concretas que se aprovechan de los puntos débiles del comportamiento humano. Por ejemplo, la capacitación específica de un trabajo puede incluir la capacitación de analistas del Centro de operaciones de seguridad (SOC) en el uso de una nueva herramienta para detectar actividades anómalas en la red. O los especialistas pueden desarrollar una capacitación para desarrolladores de aplicaciones sobre cómo depurar su código para protegerlo contra vulnerabilidades de inyección y ayudar a asegurar el ciclo de vida de desarrollo de software (SDLC). Por lo general, imparten capacitación sobre las normas que se aplican al trabajo de un empleado, para ayudarlo a comprender su función a la hora de garantizar que la organización cumpla las normas. Por ejemplo, proporcionar a un empleado que implementa soluciones de autenticación para el acceso remoto capacitación sobre las normas de seguridad de datos de la Industria de tarjetas de pago (PCI), mediante el intercambio de la información sobre las Mejores prácticas de PCI para mantener el cumplimiento de PCI DSS.
Otros tipos de capacitación y concientización se pueden centrar en aumentar la atención de los usuarios sobre amenazas específicas, o en poner a prueba los procedimientos de organización a través de simulaciones. Por ejemplo, los especialistas en concientización sobre seguridad suelen poner en práctica ejercicios de capacitación para aumentar la concientización sobre phishing. Esto puede incluir educar a los usuarios sobre cómo reconocer los emails maliciosos, o cómo proteger su presencia en las redes sociales de la ingeniería social. Muchas organizaciones utilizan también emails de phishing simulados para asegurarse de que los usuarios se mantienen alerta ante esta amenaza y para evaluar el ritmo al que los empleados caen en los emails de phishing. Esto ayuda a determinar qué tipo de capacitación correctiva se necesita para cambiar el comportamiento de los usuarios.
Otro tipo de capacitación incluye ejercicios teóricos y simulaciones, que se pueden llevar a cabo con personal operativo o con ejecutivos. Estas sesiones de capacitación llevan a un equipo a través de una simulación de un escenario de la vida real, como un ataque de ransomware, para demostrar cómo funcionan los procesos de respuesta de la organización. Estas sesiones también pueden ilustrar áreas en las que existen brechas que se pueden beneficiar de un mayor desarrollo o capacitación de políticas/procesos.
Las compañías pueden desarrollar internamente el aprendizaje electrónico, las simulaciones de phishing y los ejercicios de mesa, o pueden subcontratar esta función a un proveedor de educación y sensibilización. En este caso, el especialista en sensibilización sobre seguridad es el propietario y gestiona las relaciones con los proveedores y se asegura de que cumplen los objetivos de capacitación de la compañía. ¿Cómo se asegura el especialista de que la capacitación cumple sus objetivos? Ese es el tema de la próxima unidad sobre detección de riesgos e integración de las actividades de concientización sobre seguridad con la respuesta a incidentes.