| | | | | | | |

Cómo identificar la madurez de tu Programa de Concientización de Seguridad

Conocé si estás en la dirección correcta para alcanzar los objetivos de seguridad de tu organización sabiendo cómo identificar la madurez de tu Programa de Concientización de Seguridad

Introducción

El factor humano es el principal vector de ataque de los incidentes de seguridad. Estudios recientes, indican que el error humano representa más del 90% de las brechas de seguridad en las organizaciones.

Un plan de concientización de seguridad de usuarios puede ayudar a incorporar las prácticas de seguridad necesarias y reforzar la cultura de seguridad de la organización. Esto puede hacer la diferencia entre una organización saludable y exitosa, y aquella que tiene sus operaciones de negócio y reputación afectada significativamente. La formación en concientización de seguridad se ha convertido en la forma más eficaz de identificar, combatir y superar estos riesgos.

Modelo de Madurez de Concientización de Seguridad

Con el objetivo de ayudar a su organización a construir, mantener y medir el programa de concientización de seguridad, un grupo de más de 200 profesionales de seguridad de la información colaboraron para desarrollar el Modelo de Madurez de Concientización de Seguridad coordinados por el SANS Institute.

Este modelo permite a las organizaciones identificar fácilmente dónde se encuentra actualmente su programa de concientización de seguridad de usuarios, definir hacia dónde quiere o puede llegar, y describe el camino para llegar a destino. El modelo se basa en cinco etapas distintas, cada una de las cuales se apoya en la etapa anterior:

Los 5 Niveles de Madurez
  • Inexistente: el programa no existe. La fuerza laboral no tiene idea de que es un objetivo, no conoce ni comprende las políticas de seguridad de la organización y puede fácilmente ser víctima de ataques o de sus propios errores.
  • Centrado en el cumplimiento: el programa está diseñado principalmente para cumplir con requisitos específicos de auditoría o conformidad. La capacitación se limita a un entrenamiento anual o específico. La fuerza laboral no está segura de las políticas de la organización, su papel en la protección de los activos de información de la organización y cómo prevenir, identificar o informar un incidente de seguridad.
  • Promoción de concientización y cambio de comportamiento: el programa define los temas de capacitación que tienen el mayor impacto en el apoyo a la misión de la organización y se enfoca en esos temas clave. El programa va más allá de la capacitación anual e incluye un refuerzo continuo durante todo el año. El contenido se aborda de una manera atractiva y positiva que fomenta el cambio de comportamiento en el trabajo y en el hogar. Esto ayuda a la fuerza laboral a comprender y seguir las políticas de la organización y a reconocer, prevenir e informar activamente los incidentes.
  • Sostenibilidad a largo plazo y cambio cultural: el programa cuenta con procesos y recursos para un ciclo de vida a largo plazo, que incluye (como mínimo) una revisión y actualización anual tanto del contenido de la capacitación como de los métodos de comunicación. El programa va más allá de solo cambiar comportamientos y comienza a cambiar la cultura de la organización.
  • Marco de métricas robusto: el programa tiene un marco de métricas sólido para monitorear el progreso y medir el impacto. Como resultado, el programa mejora continuamente y puede demostrar el retorno de la inversión.

Beneficios de un Programa de Concientización de Seguridad

Son diversos los beneficios de un programa de concientización de seguridad de usuarios en una organización. Entre los principales, podemos mencionar:

  1. Desarrollar una cultura centrada en la Seguridad donde se refuerzan buenos hábitos y se dispone de una actitud proactiva de protección
  2. Empoderar a los colaboradores para realizar su trabajo de forma más productiva y segura
  3. Proteger los activos que más importan
  4. Mantenerse actualizado de las amenazas y riesgos de las tecnologías emergentes
  5. Estar en Conformidad con Leyes y Regulaciones

Recurso Didáctico de CiberSergei para conocer la Madurez de tu programa de concientización de seguridad

Hemos integrado un checklist de análisis del programa de concientización de seguridad de usuarios para conocer el nivel de madurez del mismo.

Podrás completar el checklist y enviarlo a CiberSergei donde realizaremos un análisis rápido. De forma adicional al nivel de madurez, te brindaremos información acerca de cómo tu organización se compara con una base de más de 1.500 profesionales que han evaluado su programa de concientización, así como recomendaciones prácticas para mejorar tu programa.

    Completa estos 10 aspectos para realizar el Análisis de tu Programa de Concientización de Seguridad

    1. Se han realizado entrenamientos de concientización para usuarios?

    En caso afirmativo, indicar cuál es la frecuencia de estos entrenamientos?

    2. Se han identificado los estándares de conformidad o auditoría que se requieren en el programa de concientización de seguridad?

    En caso afirmativo, indicar cuáles son los estándares de conformidad requeridos?

    3. El contenido es entretenido y entregado de una forma positiva que promueve el cambio de comportamiento?

    4. Se hace seguimiento de los usuarios que completan el entrenamiento y cuándo lo realizan?

    5. Se ha obtenido el patrocinio/apoyo de la Alta Adminsitración para el Programa de Concientización de Seguridad?

    6. Se han realizado ejercicios de phishing u otro tipo de ejercicios para identificar la situación actual (baseline) sobre el nivel de concientización de usuarios?

    7. Existe un programa/iniciativa de Concientización formalizada en un plan?

    En caso afirmativo, indicar si:

    8. Existe un Grupo de Asesores/Aliados de la organización involucrados en el programa de concientización?

    9. El programa de concientización tiene identificados a quién, qué y cómo se va realizar la concientización?

    En caso afirmativo, indicar quién:

    En caso afirmativo, indicar qué:

    En caso afirmativo, indicar cómo:

    10. Se llevan métricas para medir el desempeño del programa de concientización?

    En caso afirmativo, indicar las métricas utilizadas:

    Observaciones Adicionales (opcional)

    Cómo identificar la madurez de tu Programa de Concientización de Seguridad: Conectándo los puntos

    Precisamos direccionar un cambio de comportamiento de los usuarios para proteger lo que más importa y habilitar a la organización para alcanzar los resultados de forma segura.

    Mejorando el conocimiento de los usuarios acerca de las amenazas y buenas prácticas de seguridad podremos resguardar nuestra reputación y la de nuestra organización.

    No hay nada mejor que conocer el nivel de madurez de tu programa de concientización de seguridad de usuarios para saber donde estás, hacia dónde querés llegar, y poner en práctica recomendaciones efectivas para llegar a buen destino!

    Frase para Guardar en el Bolsillo

    “La principal línea de defensa contra las amenzas cibernéticas son las personas.”

    “La seguridad comienza con la concientización.
    La concientización comienza contigo.”

    Si querés conocer más recursos de CiberSergei para mejorar tu productividad, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

    Publicaciones Similares

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *