{"id":4079,"date":"2018-12-19T12:21:08","date_gmt":"2018-12-19T11:21:08","guid":{"rendered":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/?p=4079"},"modified":"2023-12-26T17:53:16","modified_gmt":"2023-12-26T16:53:16","slug":"concienciacion-de-usuarios-en-ciberseguridad","status":"publish","type":"post","link":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/","title":{"rendered":"Concienciaci\u00f3n de usuarios en ciberseguridad"},"content":{"rendered":"<p>Un aspecto, a menudo olvidado, en las estrategias de <strong>ciberseguridad empresarial<\/strong> es la educaci\u00f3n y concienciaci\u00f3n de los usuarios (conocido en ingl\u00e9s como <em>User training and Awareness<\/em>). Si tenemos en cuenta que m\u00e1s del 80% de las incidencias de seguridad comienzan por una acci\u00f3n de un usuario de la compa\u00f1\u00eda, que en la mayor\u00eda de los casos, hubiera sido completamente evitable.<\/p>\n<p>Seg\u00fan Allen Paller, director de investigaci\u00f3n del SANS Institute, el 95% de todos los ataques a las redes empresariales son el resultado de un <strong>spear phishing<\/strong> (phishing dirigido a una compa\u00f1\u00eda o individuo).<\/p>\n<p>Siendo, el usuario el eslab\u00f3n m\u00e1s d\u00e9bil en la seguridad de las compa\u00f1\u00edas, es necesario dedicar tiempo y recursos; es un dinero bien invertido, ya que si eliminamos la ocasi\u00f3n evitamos el peligro y en una enorme cantidad de casos esto es posible.<\/p>\n<p>Hay que tener muy presente que, en ciberseguridad la mejor tecnolog\u00eda y los presupuestos ilimitados no pueden garantizar por si solos el \u00e9xito. Una buena estrategia de formaci\u00f3n y concienciaci\u00f3n de los usuarios pueden hacernos ahorrar mucho dinero a todos los niveles (inversiones en tecnolog\u00eda, remediaci\u00f3n, perdidas de productividad, sanciones, imagen y prestigio, etc).<\/p>\n<p>Una buena forma de actuar, dentro de esta estrategia, podr\u00eda ser la siguiente:<\/p>\n<ol>\n<li>Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos.<\/li>\n<li>Definir un plan inicial de formaci\u00f3n para los empleados.<\/li>\n<li>Comprobar, mediante simulaciones, la efectividad de la formaci\u00f3n impartida y los resultados obtenidos de ella.<\/li>\n<li>Analizar la informaci\u00f3n, definir procesos de mejora y repetir el proceso desde el punto 1.<\/li>\n<\/ol>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos <\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #3acdef;color:#3acdef\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #3acdef;color:#3acdef\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#conocer-y-comprender-el-panorama-actual-interno-y-externo-al-que-nos-enfrentamos\" >Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#definir-un-plan-inicial-de-formacion-para-los-empleados\" >Definir un plan inicial de formaci\u00f3n para los empleados<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#acciones-de-formacion\" >Acciones de formaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#comprobar-mediante-simulaciones-la-efectividad-de-la-formacion-impartida-y-los-resultados-obtenidos-de-ella\" >Comprobar, mediante simulaciones, la efectividad de la formaci\u00f3n impartida y los resultados obtenidos de ella<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#analisis-de-la-informacion\" >An\u00e1lisis de la informaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/concienciacion-de-usuarios-en-ciberseguridad\/#%c2%bfcomo-lo-hago\" >\u00bfC\u00f3mo lo hago?<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"conocer-y-comprender-el-panorama-actual-interno-y-externo-al-que-nos-enfrentamos\"><\/span>Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>B\u00e1sicamente en esta etapa inicial, debemos averiguar de qu\u00e9 punto partimos: cual es el nivel actual de concienciaci\u00f3n de los usuarios, en qu\u00e9 puntos necesitan mejorar, etc.<\/p>\n<p>Es importante bajar al detalle y segmentar los usuarios tanto como podamos y resulte pr\u00e1ctico. No todos los empleados se enfrentan a las mismas amenazas, manejan la misma informaci\u00f3n, ni tienen el mismo nivel de riesgo.<\/p>\n<ul>\n<li>El <strong>personal de IT<\/strong> tiene que estar perfectamente formado en c\u00f3mo identificar y defenderse, incluso de las formas de amenazas m\u00e1s sofisticadas. Estos empleados suelen tener credenciales privilegiadas que, de caer en las manos equivocadas, permitir\u00edan al hipot\u00e9tico atacante acceder a gran parte de la organizaci\u00f3n.<\/li>\n<li><strong>Los comerciales y personal de marketing<\/strong>, tienen mucho contacto con el exterior; reciben una gran cantidad de emails del exterior, que pueden contener amenazas de todo tipo. Adem\u00e1s, el acceso indebido a la informaci\u00f3n que manejan puede tener graves consecuencias para la empresa (datos sobre sus clientes, sus productos, planes y estrat\u00e9gicas, o secretos empresariales de todo tipo).<\/li>\n<li><strong>Personal administrativo<\/strong>: Por regla general, tiene un riesgo m\u00e1s bajo que el de los grupos anteriores, ya que la informaci\u00f3n que manejan no suele ser tan cr\u00edtica y adem\u00e1s, y esto es importante, suelen tener mucho menos contacto con el exterior. El problema real es que una incidencia que afecte a estas personas puede tener graves consecuencias llegando a paralizar \u00e1reas determinadas de la empresa.<\/li>\n<li><strong>Personal de alto riesgo<\/strong> por la informaci\u00f3n que maneja y por el da\u00f1o que podr\u00eda producir un atacante. Depende mucho de cada compa\u00f1\u00eda, pero podr\u00edamos hablar de personal de Recursos Humanos, Compras, Contabilidad, T\u00e9cnicos de producci\u00f3n, etc.<\/li>\n<li><strong>Direcci\u00f3n y ejecutivos de la compa\u00f1\u00eda<\/strong>: Manejan una informaci\u00f3n de la compa\u00f1\u00eda extremadamente sensible y tienen un gran poder de decisi\u00f3n. No queremos que nadie pueda acceder a su informaci\u00f3n o realizar una acci\u00f3n suplantando su identidad.<\/li>\n<li><strong>Personal externo<\/strong>. En muchas compa\u00f1\u00edas hay personal que no pertenece a la propia compa\u00f1\u00eda; est\u00e1n all\u00ed realizando una labor m\u00e1s o menos puntual, o limitada en el tiempo, pero tienen acceso a los sistemas de informaci\u00f3n de la empresa y utilizan sus recursos. En este caso, tendremos que aplicar una pol\u00edtica adecuada a cada caso.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"definir-un-plan-inicial-de-formacion-para-los-empleados\"><\/span>Definir un plan inicial de formaci\u00f3n para los empleados<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ahora que sabemos cu\u00e1les son los riesgos de cada grupo de usuarios, podremos definir la formaci\u00f3n que necesitan. Quiz\u00e1 queramos crear un m\u00f3dulo de formaci\u00f3n para todos los empleados que les ayude a reconocer el phishing y no caer en \u00e9l, otro para los directivos que les ayude a identificar como proteger su informaci\u00f3n (como usar cifrado, utilizar los permisos de red adecuadamente e identificar quien tiene acceso a ellos, etc).<\/p>\n<h2><span class=\"ez-toc-section\" id=\"acciones-de-formacion\"><\/span>Acciones de formaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La formaci\u00f3n se puede hacer de varias maneras, aunque la tendencia y la forma que mejores resultados suele dar es realizarla online y que cada empleado pueda elegir hacerla cuando mejor le convenga.<\/p>\n<p>El contenido de la formaci\u00f3n debe ser adecuada al trabajo real de cada persona. No tiene mucho sentido dar una formaci\u00f3n a los comerciales sobre los riesgos y mejores pr\u00e1cticas de proteger los dise\u00f1os de un \u00e1rea de ingenier\u00eda, o una formaci\u00f3n en profundidad sobre GDPR a una persona que no tiene acceso ni maneja datos personales.<\/p>\n<p>Lo ideal es establecer peque\u00f1as \u201ccapsulas formativas\u201d de pocos minutos seguida de un test para comprobar el aprovechamiento de la formaci\u00f3n recibida.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"comprobar-mediante-simulaciones-la-efectividad-de-la-formacion-impartida-y-los-resultados-obtenidos-de-ella\"><\/span>Comprobar, mediante simulaciones, la efectividad de la formaci\u00f3n impartida y los resultados obtenidos de ella<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Esta etapa es muy importante ya que aqu\u00ed es donde comprobaremos realmente el nivel de educaci\u00f3n y concienciaci\u00f3n de los usuarios y sabremos si estamos alcanzando los objetivos marcados.<\/p>\n<p>Consistir\u00e1 en serie de simulaciones de campa\u00f1as de Phishing, Ransomware, Cryptojacking, etc.<\/p>\n<p>En estas campa\u00f1as se env\u00eda a todos los empleados o grupos determinados, una serie de emails de phishing, especialmente preparados para ellos, mediante una plataforma de simulaci\u00f3n e intentaremos que los empleados \u201cpiquen\u201d.<\/p>\n<p>Las campa\u00f1as pueden estar directamente conectadas con la plataforma de formaci\u00f3n, de forma que si, por ejemplo, un empleado \u201cpica\u201d en un tipo determinado de ataque mediante ingenier\u00eda social, quede recogido en el sistema que necesita un refuerzo en esa \u00e1rea y sea redirigido de inmediato a la plataforma para mejorar sus capacidades para resistir ese tipo de ataques.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"analisis-de-la-informacion\"><\/span>An\u00e1lisis de la informaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>No sirve de mucho realizar una campa\u00f1a de concienciaci\u00f3n puntual sin analizar posteriormente los resultados obtenidos, tanto en cuanto a la formaci\u00f3n en s\u00ed, como los resultados y mejoras obtenidas en el mundo real. Los mejores resultados se obtienen cuando la formaci\u00f3n y concienciaci\u00f3n forman parte de un proceso continuo y bien definido y planificado. Esto nos ayudar\u00e1 a definir procesos de mejora y repetir el proceso desde el punto 1 de forma peri\u00f3dica.<\/p>\n<p>Es necesario obtener de los informes una visi\u00f3n completa sobre el rendimiento a nivel de la empresa y a nivel de los usuarios individuales.<\/p>\n<p>Los <strong>resultados m\u00ednimos<\/strong> a obtener deber\u00edan ser:<\/p>\n<ul>\n<li>\u00cdndice de predisposici\u00f3n actual de los usuarios<\/li>\n<li>Total de usuarios evaluados<\/li>\n<li>Total de usuarios captados<\/li>\n<li>D\u00edas desde la \u00faltima campa\u00f1a<\/li>\n<li>Puntuaci\u00f3n media de aprobado de la formaci\u00f3n<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"%c2%bfcomo-lo-hago\"><\/span>\u00bfC\u00f3mo lo hago?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Lo m\u00e1s recomendable es contar con una compa\u00f1\u00eda especializada, que cuente con una <strong>plataforma de e-learning<\/strong> con todos los recursos integrados:<\/p>\n<ul>\n<li>Un temario amplio y especializado en ciberseguridad y concienciaci\u00f3n de usuarios.<\/li>\n<li>Alta calidad did\u00e1ctica con utilizaci\u00f3n de recursos multimedia, v\u00eddeos, animaciones, etc.<\/li>\n<li>Disponibilidad en la misma plataforma de las funcionalidades de simulaci\u00f3n de ataques de una forma completamente integrada.<\/li>\n<li>Servicios de personalizaci\u00f3n para que, por ejemplo, los usuarios reciban mensajes dirigidos a ellos de una forma m\u00e1s real (mensajes con el dise\u00f1o de los mensajes reales de la compa\u00f1\u00eda o de sus proveedores, firmados utilizando los nombres reales de sus jefes o directivos; tal y como un hacker lo har\u00eda.<\/li>\n<li>Integraci\u00f3n con los recursos de la compa\u00f1\u00eda para optimizar la formaci\u00f3n (por ejemplo, con el Directorio Activo de la compa\u00f1\u00eda), lo que permitir\u00e1 segmentar los usuarios de una forma sencilla y autom\u00e1tica para que cada uno de ellos reciba la formaci\u00f3n y las pruebas que tengan m\u00e1s relaci\u00f3n con su departamento, funciones en el puesto, etc.<\/li>\n<li>Un sistema de an\u00e1lisis y reportes potente y sencillo que permita obtener informaci\u00f3n real sobre el estado de la concienciaci\u00f3n de los usuarios, su formaci\u00f3n y su efectividad en las simulaciones, as\u00ed como su evoluci\u00f3n en el tiempo.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><em>Art\u00edculo redactado por: Mario Elkati<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un aspecto, a menudo olvidado, en las estrategias de ciberseguridad empresarial es la educaci\u00f3n y concienciaci\u00f3n de los usuarios (conocido en ingl\u00e9s como User training and Awareness). Si tenemos en cuenta que m\u00e1s del 80% de las incidencias de seguridad comienzan por una acci\u00f3n de un usuario de la compa\u00f1\u00eda, que en la mayor\u00eda de [&hellip;]<\/p>\n","protected":false},"author":92,"featured_media":8475,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[336],"tags":[168],"class_list":{"0":"post-4079","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-seguridad","8":"tag-ciberseguridad","9":"entry"},"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/4079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/users\/92"}],"replies":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/comments?post=4079"}],"version-history":[{"count":0,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/4079\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media\/8475"}],"wp:attachment":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media?parent=4079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/categories?post=4079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/tags?post=4079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}