¿ Como concientizar a los colaboradores de una empresa sobre los riesgos de seguridad de la informacion?

Lo tradicional es hacer charlas de concienciación reuniendo a todo el personal de la Empresa, mostrándoles con ejemplos reales los riesgos que los colaboradores corren al manejar información confidencial. Luego de finalizar las diferentes capacitaciones te pones a pensar si este programa de Concienciación tendrá resultados?, si es suficiente sólo hacer charlas de concienciación?.

Frente a lo anterior, he estado buscando en diferentes partes de Internet y preguntado a otros colegas, me quedo con esta fuente de INCIBE (Instituto de Ciberseguridad de España) ellos han desarrollado un “KIT de concienciación excelente, muy detallado primero felicitar y agradecer por este aporte a las Empresas, pasare hacer un resumen personal:

Fase 1, Ataque dirigido inicial, a los colaboradores de la Empresa.

Me sorprendió que empiece con “Ataque dirigido inicial”, tiene como objetivo concienciar a los colaboradores de los vulnerables que son y que deben ser precavidos a la hora de confiar en los archivos que ejecutan y los correos que reciben.

En el KIT de Concienciación de INCIBE se puede observar, el contenido bien estructurado, detallado, ejemplo:

Dentro del directorio de Ataque Dirigido:

Es muy acertado esta acción por que el principal vector de contacto y propagación de malware, ransomware es el correo electrónico enviado desde una cuenta de correo falsa, usando un dominio como: @empresa.com.pe, @institución.gob.pe que es muy parecido al de la Empresa o Empresa colaboradora e inclusive INCIBE propone que sea copiado una persona de alto cargo de la Empresa para dar credibilidad y dirigido a la mayor cantidad de colaboradores y tambien recomiendan que el Asunto debe ser lo más claro y creíble posible.

Como se puede ver el Asunto es claro y con un tema relacionado a una auditoria que causa la sensación de un tema serio y delicado. Luego en el correo explica que se adjunta un archivo (fichero) con el fin identificar el estado actual de los parches de seguridad del sistema operativo de las actualizaciones de aplicaciones, enviado desde el Departamento de Informática.

El archivo Malicioso tiene como misión abrir el navegador de usuario o, en el caso de que ya esté abierto, abrirle una pestaña, directamente a una página web de INCIBE donde se expongan los peligros de las acciones que acaba de realizar así como las medidas que debe tomar para no provocar una posible infección de malware en la red de la empresa.

Tambien te colocan el MD5sum para validar que te estes bajando el archivo correcto:

6d84ae97875a4deb5ea34ed014c13c28 -> incibeweb.exe

Fase 2, Distribución de Posters y trípticos:

La idea es colocarlo en zonas de común donde los colaboradores fácilmente pueden observarlo:

Los siguientes posters son de creación y autoria: INCIBE.

Seguridad de la Información en la Organización:

Fase 3, Proceso Formativo:

En el Kit, se incluyen cuatro píldoras (o temáticas de formación) diferentes. Cada una de estas píldoras, se empleará para transmitir información útil sobre seguridad de la información y consejos o buenas prácticas a la hora de manejar información corporativa. Cada píldora estará enfocada en un ámbito relevante en cuanto a seguridad en la empresa se refiere:

  • I.-La Información: tratamiento de la información sensible que maneja y genera la empresa, desde el punto de vista de la seguridad.
  • II.-Los soportes (Discos Duros, Unidades USB/pendrives, CD/DVD): medidas de seguridad a tener en cuenta y a aplicar en los diferentes soportes que utilizamos para trabajar con información corporativa, tanto dentro como fuera de la empresa.
  • III.-El puesto de trabajo: medidas de seguridad y buenas prácticas a tener en cuenta y a aplicar en nuestro puesto de trabajo para que éste sea lo más seguro posible.
  • IV.-Los dispositivos móviles: medidas de seguridad y buenas prácticas a tener en cuenta y a aplicar en los dispositivos móviles que utilizamos para trabajar con información corporativa, tanto dentro como fuera de la empresa.

I.- La Información: tratamiento de la información sensible que maneja y genera la empresa, desde el punto de vista de la seguridad.

INCIBE, ha desarrollado el material para tomarlo como base, referencial para formar y transmitir los conceptos mas importantes que debe conocer un colaborador:

Para el caso del Perú, aplicaría la ley de protección de datos personales Ley No 29733:

Fuente: https://www.minjus.gob.pe/wp-content/uploads/2013/04/LEY-29733.pdf

Referencia: https://www.minjus.gob.pe/wp-content/uploads/2013/04/LEY-29733.pdf

Copias de Seguridad: Ahora más que nunca esta recomendación es super importante por la proliferación de los ransomware que algunos de ellos se propagar por correo electrónico y bloquean los archivos de las PCs de colaboradores o servidores de Base de datos de la Empresa, he visto algunos casos donde la Empresa se ha pasado 1 año tratando de recuperar archivos de contabilidad a mano, por no tener una copia de seguridad.

Despues de explicar cada diapositiva con ejemplos y detalles, INCIBE ha elaborado un Test de Evaluación de cada unos los temas previamente explicados:

Donde permita validar si los colaboradores han tomado la atención correspondiente:

II.- Los soportes: medidas de seguridad a tener en cuenta y a aplicar en los diferentes soportes que utilizamos para trabajar con información corporativa, tanto dentro como fuera de la empresa.

Entre los dispositivos de soporte que más usamos son:

  • Discos duros (internos y externos).
  • Cintas y discos de copias de seguridad.
  • Unidades USB o pendrives.
  • Tarjetas de memoria (SD, microSD, etc.).
  • Discos ópticos (CD/DVD).

Fuente: INCIBE, Además de estos soportes, debemos tener en cuenta que un ordenador portátil, un smartphone o una tablet también puede ser considerado un soporte, al ser fácilmente transportable y disponer de una capacidad significativa para el almacenamiento de información. En este caso, también deben aplicarse las medidas de la píldora de dispositivos móviles.

1. Los Riesgos Involucrados:

Los soportes de información, especialmente los de pequeño tamaño, como USBs o tarjetas de memoria y dispositivos móviles, pueden ser objeto de pérdida, robo o rotura y/o avería.

2. Limitar el Impacto con el Cifrado:

Fuente: INCIBE La principal medida a aplicar sobre los soportes que utilizamos para evitar que la información se vea comprometida en el caso de robo o pérdida, es la de cifrar la información.

3. Implementa política de Destrucción Segura:

Fuente: INCIBE Para garantizar que nadie podrá acceder a la información que hubiera contenido el soporte, lo más frecuente es realizar una destrucción física del soporte.

Por ejemplo, si se trata de un USB, un CD/DVD o de una tarjeta de memoria, podemos destruirlos fácilmente con el uso de, por ejemplo, un martillo. Algunas destructoras de papel también permiten la destrucción de discos ópticos de manera segura.

4.Borrado Seguro:

En muchas de las empresas se reutiliza un equipo informático de otra área y viene formateada o quizas no formateada y uno finalmente llega a ver los arhivos originales.

Fuente: INCIBE Además, es necesario tener en cuenta que el formateo de un soporte no implica necesariamente el borrado seguro de su información. Algunas de las medidas de seguridad que debemos aplicar para evitar confusiones en el uso de soportes son:

  • Marcar o etiquetar los soportes de las distintas áreas o propietarios para que no sean intercambiados por error.
  • Evitar en la medida de lo posible el uso de memorias USB. En lugar de esto, podemos establecer carpetas departamentales con control de acceso lógico basado en perfiles y puestos.
  • Documentar el procedimiento a seguir para realizar un borrado seguro

Luego INCIBE propone realizar un test como el capitulo anterior:

III.- El puesto de trabajo: medidas de seguridad y buenas prácticas a tener en cuenta y a aplicar en nuestro puesto de trabajo para que éste sea lo más seguro posible.

El Puesto de Trabajo:

Gestión de la documentación, medidas de protección

Contraseñas Seguras:

Política de Mesas/Escritorios Limpios:

Ingenieria Social!! cuidado siempre caemos.

Test de Evaluación, El puesto de Trabajo:

IV.- Los dispositivos móviles: medidas de seguridad y buenas prácticas a tener en cuenta y a aplicar en los dispositivos móviles que utilizamos para trabajar con información corporativa, tanto dentro como fuera de la empresa.

Impedir el Acceso:

NO Conexiones Wifi Libres:

Medidas recomendables:

Test de Dispositivos Móviles:

Fase 4, Consejos Mensuales:

Los consejos son imágenes que se pueden publicar en el blog interno, en la intranet, pueden ser enviadas por correo electrónico dentro de un marco de formación continua. Puede ser impresas y utilizadas como posters. También pueden ser utilizadas como nuevos fondos de escritorio y/o salvapantallas. Se deja a la empresa la toma de decisión de cómo utilizar estos consejos de seguridad.

Ejemplo: Consejo del Mes 1

Ejemplo: Consejo del Mes 12

Fase 5, Recordatorio de los Ataques Dirigidos:

Se considera oportuno, una vez pasados unos 6 meses de la puesta en marcha del «kit de concienciación», repetir las pruebas de los ataques dirigidos o realizar una nueva con el fin de que sea algo nuevo para los empleados.

Objetivo: Los colaboradores recuerden los consejos de seguridad explicados mediante el material del «kit de concienciación»

Fase 6, Valoración Encuesta de Satisfacción:

Una vez se haya implantado el «kit de concienciación», la empresa puede hacernos llegar su experiencia y opinión sobre el proceso de implantación y su utilidad en materia de concienciación de la seguridad de la información.

Invirtiendo cinco minutos en cumplimentar dicha encuesta y enviarla a INCIBE, conseguimos una retroalimentación de información continua y una base sobre la que mejorar nuestro Kit. La encuesta consta de nueve aspectos a evaluar, con un valor del 1 al 5, donde el 5 se corresponde con la mejor valoración.

Agradecer a INCIBE por este excelente trabajo tan detallado y con material que nos sirve a los profesionales que estamos a cargo de evangelizar la importancia de la seguridad en las Empresas.

Fuente: INCIBE Kit-Concienciacion

Fuente: INCIBE Manual de Implantación

Fuente: https://www.incibe.es/protege-tu-empresa/kit-concienciacion

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store