Concienciación de usuarios en ciberseguridad

Un aspecto, a menudo olvidado, en las estrategias de ciberseguridad empresarial es la educación y concienciación de los usuarios (conocido en inglés como User training and Awareness). Si tenemos en cuenta que más del 80% de las incidencias de seguridad comienzan por una acción de un usuario de la compañía, que en la mayoría de los casos, hubiera sido completamente evitable.

Según Allen Paller, director de investigación del SANS Institute, el 95% de todos los ataques a las redes empresariales son el resultado de un spear phishing (phishing dirigido a una compañía o individuo).

Siendo, el usuario el eslabón más débil en la seguridad de las compañías, es necesario dedicar tiempo y recursos; es un dinero bien invertido, ya que si eliminamos la ocasión evitamos el peligro y en una enorme cantidad de casos esto es posible.

Hay que tener muy presente que, en ciberseguridad la mejor tecnología y los presupuestos ilimitados no pueden garantizar por si solos el éxito. Una buena estrategia de formación y concienciación de los usuarios pueden hacernos ahorrar mucho dinero a todos los niveles (inversiones en tecnología, remediación, perdidas de productividad, sanciones, imagen y prestigio, etc).

Una buena forma de actuar, dentro de esta estrategia, podría ser la siguiente:

  1. Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos.
  2. Definir un plan inicial de formación para los empleados.
  3. Comprobar, mediante simulaciones, la efectividad de la formación impartida y los resultados obtenidos de ella.
  4. Analizar la información, definir procesos de mejora y repetir el proceso desde el punto 1.

Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos

Básicamente en esta etapa inicial, debemos averiguar de qué punto partimos: cual es el nivel actual de concienciación de los usuarios, en qué puntos necesitan mejorar, etc.

Es importante bajar al detalle y segmentar los usuarios tanto como podamos y resulte práctico. No todos los empleados se enfrentan a las mismas amenazas, manejan la misma información, ni tienen el mismo nivel de riesgo.

  • El personal de IT tiene que estar perfectamente formado en cómo identificar y defenderse, incluso de las formas de amenazas más sofisticadas. Estos empleados suelen tener credenciales privilegiadas que, de caer en las manos equivocadas, permitirían al hipotético atacante acceder a gran parte de la organización.
  • Los comerciales y personal de marketing, tienen mucho contacto con el exterior; reciben una gran cantidad de emails del exterior, que pueden contener amenazas de todo tipo. Además, el acceso indebido a la información que manejan puede tener graves consecuencias para la empresa (datos sobre sus clientes, sus productos, planes y estratégicas, o secretos empresariales de todo tipo).
  • Personal administrativo: Por regla general, tiene un riesgo más bajo que el de los grupos anteriores, ya que la información que manejan no suele ser tan crítica y además, y esto es importante, suelen tener mucho menos contacto con el exterior. El problema real es que una incidencia que afecte a estas personas puede tener graves consecuencias llegando a paralizar áreas determinadas de la empresa.
  • Personal de alto riesgo por la información que maneja y por el daño que podría producir un atacante. Depende mucho de cada compañía, pero podríamos hablar de personal de Recursos Humanos, Compras, Contabilidad, Técnicos de producción, etc.
  • Dirección y ejecutivos de la compañía: Manejan una información de la compañía extremadamente sensible y tienen un gran poder de decisión. No queremos que nadie pueda acceder a su información o realizar una acción suplantando su identidad.
  • Personal externo. En muchas compañías hay personal que no pertenece a la propia compañía; están allí realizando una labor más o menos puntual, o limitada en el tiempo, pero tienen acceso a los sistemas de información de la empresa y utilizan sus recursos. En este caso, tendremos que aplicar una política adecuada a cada caso.

Definir un plan inicial de formación para los empleados

Ahora que sabemos cuáles son los riesgos de cada grupo de usuarios, podremos definir la formación que necesitan. Quizá queramos crear un módulo de formación para todos los empleados que les ayude a reconocer el phishing y no caer en él, otro para los directivos que les ayude a identificar como proteger su información (como usar cifrado, utilizar los permisos de red adecuadamente e identificar quien tiene acceso a ellos, etc).

Acciones de formación

La formación se puede hacer de varias maneras, aunque la tendencia y la forma que mejores resultados suele dar es realizarla online y que cada empleado pueda elegir hacerla cuando mejor le convenga.

El contenido de la formación debe ser adecuada al trabajo real de cada persona. No tiene mucho sentido dar una formación a los comerciales sobre los riesgos y mejores prácticas de proteger los diseños de un área de ingeniería, o una formación en profundidad sobre GDPR a una persona que no tiene acceso ni maneja datos personales.

Lo ideal es establecer pequeñas “capsulas formativas” de pocos minutos seguida de un test para comprobar el aprovechamiento de la formación recibida.

Comprobar, mediante simulaciones, la efectividad de la formación impartida y los resultados obtenidos de ella

Esta etapa es muy importante ya que aquí es donde comprobaremos realmente el nivel de educación y concienciación de los usuarios y sabremos si estamos alcanzando los objetivos marcados.

Consistirá en serie de simulaciones de campañas de Phishing, Ransomware, Cryptojacking, etc.

En estas campañas se envía a todos los empleados o grupos determinados, una serie de emails de phishing, especialmente preparados para ellos, mediante una plataforma de simulación e intentaremos que los empleados “piquen”.

Las campañas pueden estar directamente conectadas con la plataforma de formación, de forma que si, por ejemplo, un empleado “pica” en un tipo determinado de ataque mediante ingeniería social, quede recogido en el sistema que necesita un refuerzo en esa área y sea redirigido de inmediato a la plataforma para mejorar sus capacidades para resistir ese tipo de ataques.

Análisis de la información

No sirve de mucho realizar una campaña de concienciación puntual sin analizar posteriormente los resultados obtenidos, tanto en cuanto a la formación en sí, como los resultados y mejoras obtenidas en el mundo real. Los mejores resultados se obtienen cuando la formación y concienciación forman parte de un proceso continuo y bien definido y planificado. Esto nos ayudará a definir procesos de mejora y repetir el proceso desde el punto 1 de forma periódica.

Es necesario obtener de los informes una visión completa sobre el rendimiento a nivel de la empresa y a nivel de los usuarios individuales.

Los resultados mínimos a obtener deberían ser:

  • Índice de predisposición actual de los usuarios
  • Total de usuarios evaluados
  • Total de usuarios captados
  • Días desde la última campaña
  • Puntuación media de aprobado de la formación

¿Cómo lo hago?

Lo más recomendable es contar con una compañía especializada, que cuente con una plataforma de e-learning con todos los recursos integrados:

  • Un temario amplio y especializado en ciberseguridad y concienciación de usuarios.
  • Alta calidad didáctica con utilización de recursos multimedia, vídeos, animaciones, etc.
  • Disponibilidad en la misma plataforma de las funcionalidades de simulación de ataques de una forma completamente integrada.
  • Servicios de personalización para que, por ejemplo, los usuarios reciban mensajes dirigidos a ellos de una forma más real (mensajes con el diseño de los mensajes reales de la compañía o de sus proveedores, firmados utilizando los nombres reales de sus jefes o directivos; tal y como un hacker lo haría.
  • Integración con los recursos de la compañía para optimizar la formación (por ejemplo, con el Directorio Activo de la compañía), lo que permitirá segmentar los usuarios de una forma sencilla y automática para que cada uno de ellos reciba la formación y las pruebas que tengan más relación con su departamento, funciones en el puesto, etc.
  • Un sistema de análisis y reportes potente y sencillo que permita obtener información real sobre el estado de la concienciación de los usuarios, su formación y su efectividad en las simulaciones, así como su evolución en el tiempo.

Leave a Reply

¿Quieres conocer lo último en tecnología y marketing?

¿Quieres conocer lo último en tecnología y marketing?



Responsable: INTEGRA ESTRATEGIA Y TECNOLOGÍA (Sociedad Aragonesa de Asesoría Técnica S.L.). - Finalidad: Gestionar el envío de información - Legitimación: Consentimiento del interesado. - Destinatarios: No se cederán datos salvo disposición legal. - Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. - Puede consultar información adicional sobre Protección de Datos en nuestro política de privacidad.


You have Successfully Subscribed!