| | | | | | | | | |

Inteligencia de Concientización Ágil – un nuevo enfoque para fortalecer la postura de seguridad de tu organización

Reimagina la forma en que promueves el cambio de comportamiento y la cultura utilizando la Inteligencia de Concientización Ágil – un nuevo enfoque para fortalecer la postura de seguridad de tu organización.

Introducción

La concientización de seguridad tradicional cumple la función de un mandato de conformidad y es percibido como una obligación (mal necesario) por parte de los usuarios, no agregando valor para los usuarios ni para la organización. Mucho más cuando la seguridad se basa en la construcción de muros de protección custodiados por el área de Tecnología de la Información y no cuenta con el apoyo y la participación del resto de la organización.

Esta situación junto al incremento de las amenazas cibernéticas vienen incidiendo en el aumento de los riesgos de factor humano de las organizaciones, que son explotados cada vez más como un vector de ataque fértil por parte de los ciberdelincuentes.

La posibilidad de abordar la causa raíz de los riesgos de factor humano junto al uso de métodos de desarrollo personal respaldados por la investigación científica, están permitiendo revolucionar la concientización de seguridad. Esto es lo que denominamos de Inteligencia de Concientización Ágil.

Definición

Es un enfoque para mejorar continuamente las capacidades de concientización de la seguridad de una organización, basado en la entrega continua de servicios para fomentar el conocimiento del usuario, garantizar el cumplimiento regulatorio e impulsar el cambio de comportamiento y el cambio cultural.

Principios de la Concientización de Inteligencia Ágil

Son siete los principios de la Concientización de Inteligencia Ágil. Cada uno de estos principios deben aplicarse de la forma más holística posible. Ningún principio tiene precedencia sobre otro, ni existe una secuencia esperada.

  1. Entregar valor continuamente: direccionar el trabajo de concientización de acuerdo a las necesidades y cultura de la organización. Los responsables de la iniciativa se organizan para realizar entregas frecuentes, de corto plazo y siempre comunicar los resultados a los usuarios y las partes involucradas. Si se detectan errores, se los corrige y se continúa con el próximo paso. La cadencia de acción es contínua y se maximiza la entrega de valor.
  2. Medir temprano y frecuente: los responsables de la iniciativa y los usuarios miden las capacidades de concientización a través de ejercicios de simulacro, phishing, USB y otros tipos de ejercicios. Dar visibilidad de los resultados desde el inicio y de forma continua permite identificar la progresión de avance y hacer las correcciones necesarias.
  3. Mantener el impetud/momento: el programa de concientización precisa mantener de forma continua el compromiso y la participación de los usuarios y de las partes involucradas. Para esto es importante hacer que los contenidos sean personales, con ejemplos de la vida real, divertidos y que se sientan inseridos en el contexto ofrecido. Es importante destacar que la experiencia percibida tiene que ser la de un viaje donde lo importante es el recorrido y no el destino final.
  4. Alinear con el Negocio, Riesgos y Tendencias: el programa de concientización precisa estar en sintonía con la estrategia y cambios del negocio, así como con los principales riesgos de seguridad de la información, amenazas emergentes, tendencias en tecnología y feedback de los propios usuarios. Se sugiere hacer este alineamiento por lo menos una vez al año.
  5. Hacer participar a los diferentes niveles de la organización: integrar a las personas de los diferentes niveles de la organización así como los líderes en el programa y sus actividades. Es importante establecer un canal de comunicación bidireccional.
  6. Ejercitar para mejorar: los usuarios participan en ejercicios para practicar la concientización de seguridad y mejorar sus capacidades. Lo ven cómo una forma de apreciar si están avanzando en la dirección correcta para alcanzar sus metas.
  7. Fortalecer la Cultura y la Postura de Seguridad: se fomenta la cultura de la seguridad en toda la organización, desde Recursos Humanos, Desarrollo de Productos, Operaciones, Marketing e Investigación y Desarrollo. Se construye un entorno en el que la seguridad no se trata de reglas, sino de crear un beneficio mutuo para la empresa, sus empleados y sus clientes. Se integran en todos los procesos y a lo largo del ciclo de vida de los colaboradores en la organización.

Enfoque integrador de la Concientización de Inteligencia Ágil

Este nuevo enfoque integra acciones para atacar la causa raíz de riesgos de factor humano junto con actividades de desarrollo profesional con el objetivo de habilitar y potenciar la concientización de usuarios y así mejorar la postura de seguridad de la organización.

Vamos a explorar estos 2 aspectos un poco más en detalle.

Causa raíz de Riesgos de Factor Humano

Un riesgo de factor humano representa a las acciones o eventos cuando un error humano tiene como resultado un ataque exitoso o una violación de datos.

Para tratar la causa raíz de riesgos de factor humano, podemos destacar 3 grandes frentes de actuación que precisan ser cubiertas por la concientización:

  • Asuntos de Seguridad
  • Amenazas Emergentes
  • Tecnologías Emergentes y Convergencia

Veremos a continuación una lista con los principales asuntos a ser tratados por cada frente. Vale destacar que esta no es una lista exhaustiva de asuntos y solo representa una guía.

Asuntos de Seguridad
  • Seguridad Contraseñas y Autenticación Cuentas Críticas
  • Seguridad Correo Electrónico
  • Phishing
  • Código Malicioso (Malware)
  • Seguridad Cuando Navegamos por Internet
  • Seguridad Física
  • Seguridad Puesto De Trabajo
  • Seguridad Dispositivos Móviles

Estos son asuntos considerados con base en las recomendaciones de NIST (National Institute of Standards and Technology).

Amenazas Emergentes
  • Ransomware
  • Ataques de Denegación de Servicio Distribuído (DDoS)
  • Ataques sin archivos
  • Ataques Remotos y de la Nube
  • Explotar vulnerabilidades de día cero
  • Ataques de enjambre habilitados para 5G
  • Spoofing de Redes Sociales
Tecnologías Emergentes y Convergencia
  • Inteligencia Artificial
  • IoT
  • Blockchain
  • Realidad Virtual
  • Robótica
  • Seguridad Industrial (OT)
Desarrollo Personal y de la Organización

El desarollo personal enfocado en el aprendizaje y el aumento de la productividad fomentan las habilidades necesarias para alcanzar las metas alineadas con el propósito tanto a nivel individual como de la organización. A continuación destacamos algunos de los principales asuntos de aprendizaje y de productividad para integrar en un programa de concientización de seguridad, no sienda estos una lista exhaustiva.

Técnicas de Aprendizaje
  • Memoria
  • Pensamiento Enfocado/Difuso
  • Vencer la Procastinación
  • Fragmentar y Recordar
  • Entrelazar
  • Proceso sobre Producto
  • Metáforas y Analogías
  • Formación de hábitos
Técnicas de Productividad
  • Gestión del Tiempo
  • Bienestar
  • Gestión de Metas
  • Manejo de Distracciones
  • Administración
  • Ambiente de trabajo

Beneficios para los Usuarios al utilizar la Inteligencia de Concientización Ágil – un nuevo enfoque para fortalecer la postura de seguridad de tu organización

Cuando conseguimos vincular la concientización de seguridad con los elementos de desarrollo personal mencionados, los usuarios consiguen obtener los siguientes beneficios relevantes:

  • Estar más preparado: conocer los principales riesgos del mundo digital y estar atento a sus señales les permite actuar y responder de forma espontánea y segura.
  • Más energizado: sentirse bien y protegido haciendo lo que más les importa, más les gusta hacer y aquello en lo que son buenos, les brinda mayor entusiasmo y aumenta sus niveles de energía.
  • Ser más uno mismo: saber que se está protegiendo lo más importante, les brinda mayor resistencia y la fuerza necesaria para lograr con éxito sus metas.

Integración con el Modelo de Madurez de Concientización de Seguridad

El enfoque de Concientización Inteligente Ágil se integra con el Modelo de Madurez de Concientización de Seguridad desarrollado por un grupo de más de 200 profesionales de seguridad de la información y coordinados por el SANS Institute.

Este modelo permite a las organizaciones identificar fácilmente dónde se encuentra actualmente su programa de concientización de seguridad de usuarios, definir hacia dónde quiere o puede llegar, y describe el camino para llegar a destino. El modelo se basa en cinco etapas distintas, cada una de las cuales se apoya en la etapa anterior:

Como podrán observar, la Inteligencia de Concientización Ágil interactúa del tercer nivel de madurez en adelante.

Para más información sobre este modelo y sus beneficios, podés acceder la publicación Cómo identificar la madurez de tu Programa de Concientización de Seguridad.

Recurso Didáctico de CiberSergei para conocer la Madurez de tu programa de concientización de seguridad

Hemos integrado un checklist de análisis del programa de concientización de seguridad de usuarios para conocer el nivel de madurez del mismo y comenzar a aplicar la Inteligencia de Concientización Ágil en tu programa.

Podrás completar el checklist y enviarlo a CiberSergei donde realizaremos un análisis rápido. De forma adicional al nivel de madurez, te brindaremos información acerca de cómo tu organización se compara con una base de más de 1.500 profesionales que han evaluado su programa de concientización, así como recomendaciones prácticas para mejorar tu programa.

    Completa estos 10 aspectos para realizar el Análisis de tu Programa de Concientización de Seguridad

    1. Se han realizado entrenamientos de concientización para usuarios?

    En caso afirmativo, indicar cuál es la frecuencia de estos entrenamientos?

    2. Se han identificado los estándares de conformidad o auditoría que se requieren en el programa de concientización de seguridad?

    En caso afirmativo, indicar cuáles son los estándares de conformidad requeridos?

    3. El contenido es entretenido y entregado de una forma positiva que promueve el cambio de comportamiento?

    4. Se hace seguimiento de los usuarios que completan el entrenamiento y cuándo lo realizan?

    5. Se ha obtenido el patrocinio/apoyo de la Alta Adminsitración para el Programa de Concientización de Seguridad?

    6. Se han realizado ejercicios de phishing u otro tipo de ejercicios para identificar la situación actual (baseline) sobre el nivel de concientización de usuarios?

    7. Existe un programa/iniciativa de Concientización formalizada en un plan?

    En caso afirmativo, indicar si:

    8. Existe un Grupo de Asesores/Aliados de la organización involucrados en el programa de concientización?

    9. El programa de concientización tiene identificados a quién, qué y cómo se va realizar la concientización?

    En caso afirmativo, indicar quién:

    En caso afirmativo, indicar qué:

    En caso afirmativo, indicar cómo:

    10. Se llevan métricas para medir el desempeño del programa de concientización?

    En caso afirmativo, indicar las métricas utilizadas:

    Observaciones Adicionales (opcional)

    Inteligencia de Concientización Ágil – un nuevo enfoque para fortalecer la postura de seguridad de tu organización: Conectándo los puntos

    Un cambio de cultura y de comportamiento de seguridad lleva tiempo y es posible alcanzarlo cuando se consigue mobilizar a la organización como un todo y hacer una transformación. De igual forma que para mobilizar un gran barco, es preciso dar dirección y consistencia a tu programa de concientización de seguridad. Ahora lo podés hacer utilizando un método ágil e inteligente, con entregas frecuentes, de corto plazo y comunicando los resultados a las partes involucradas.

    Utiliza estos métodos probados y consistentes en tu programa de concientización. Verás que podrás alcanzar los objetivos de la organización y fomentar el conocimiento del usuario, garantizar el cumplimiento regulatorio e impulsar el cambio de comportamiento y el cambio cultural. Además de mejorar la postura de seguridad de la organización, los usuarios estarán empoderados y sintiéndose bien por la seguridad!

    Frase para Guardar en el Bolsillo

    “La cultura no cambia porque deseamos cambiarla. La cultura cambia cuando la organización se transforma; la cultura refleja las realidades de las personas que trabajan juntas todos los días.” – Frances Hesselbein

    “La medida de la inteligencia, es la capacidad para cambiar.” – Albert Einstein

    “La seguridad comienza con la concientización.
    La concientización comienza contigo.”

    Si querés conocer más recursos de CiberSergei para mejorar tu productividad, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

    Publicaciones Similares

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *