Breve guía para establecer un programa de concientización sobre ciberseguridad

(Version. 1.1.12) Haga que su personal sea mejor y más seguro: Una guía de mejores prácticas para un programa exitoso de concientización. La guía SAPF de LUCY le ayudará a implementar del proyecto previo en su organización.

Tabla de contenido:

  1. Analizar, Planificar, Realizar, Evolucionar – Visión general de las fases del SAPF
  2. Un nivel más profundo: marcos de trabajo para el contenido de entrenamiento y las pruebas
  3. ¿Proyecto pequeño o grande?
  4. ¿Realizar únicamente un simulacro de phishing?
  5. ¿Necesita un consejo?

La seguridad de las empresas no puede ser garantizada sin sistemas de seguridad informática y hardware. Los sistemas son cada vez mejores, por lo que no es sorprendente que el 97% de todos los ciberataques se centren en el factor humano y no en la máquina. Y el 91% de los ataques exitosos comenzaron con el llamado «ataque de phishing». Por esta razón, los programas de seguridad informática y de concientización de los empleados son cada vez más importantes.

La creación de programas de seguridad requiere pensar como un hacker a veces. Con el Marco del Programa de Concienciación en Seguridad Cibernética (SAPF, por sus siglas en inglés), LUCY ofrece una guía modular para elaborar iniciativas integrales de sensibilización sobre el delito cibernético. La guía del SAPF permite una implementación eficiente de un proyecto previo para la puesta en marcha de un programa de sensibilización.

Sus etapas de implementación, como «Análisis», «Planificar», «Realizar» y «Evolucionar», permiten cubrir todos los niveles de la organización: normativo, estratégico y operacional. Esto garantiza la eficacia de las medidas preventivas en el ámbito de los riesgos cibernéticos de manera eficaz y sostenible.

Guía de mejores prácticas para elaborar una solución de concientización en ciberseguridad y establecer un programa corporativo sostenible en todos los niveles

Analizar consiste en comprender el contexto empresarial y tomar decisiones estratégicas, definir los puntos de anclaje globales y llevar a cabo una línea de base inicial para la campaña de phishing y capacitación para determinar la posición de la empresa. Los resultados son una política de concientización en seguridad, una estrategia de concientización en seguridad (plan de 5 años) y los resultados de la campaña básica.

Planificar consiste en crear un plan maestro de concientización en seguridad. Qué debería ser probado y entrenado, y en qué orden. ¿Qué simulaciones de phishing se utilizarán? ¿Qué contenidos de formación deben enseñarse imperativamente y sobre qué temas generales de seguridad informática quiere formar? Los resultados son un análisis de los filtros de correo y de la web (¿qué es lo que atraviesa?), hojas de ruta para el contenido de las pruebas y el contenido de la formación, un plan de campaña y una infraestructura establecida de capacitación para la concienciación.

La fase Realizar se refiere básicamente a la campaña individual. ¿Qué hay que tener en cuenta al preparar una única campaña de concienciación con sus escenarios de ataque y entrenamiento? La fase Evolucionar sirve en última instancia para asegurar que el programa de concienciación de los empleados mantiene su efecto en el personal, mejora y que se obtienen más conocimientos.

La documentación del marco de trabajo incluye una descripción de los procesos individuales necesarios para elaborar un programa de sensibilización/concienciación cibernética. La documentación es proporcionada gratuitamente por LUCY Security. Por favor, contacte con nosotros usando el siguiente formulario si desea obtener un manual detallado.

Analizar, Planificar, Realizar, Evolucionar - Visión general de las fases del SAPF

A tener en cuenta: Las fases se superponen. Esto no es un modelo en cascada.

Processes of a cyber-protection roadmap for employee awareness in the insurance industry

Analizar el programa de concientización

Nivel:Estratégico – Normativo
Objetivo:Por qué y qué
Resultado:Estrategia de concienciación en seguridad, política de concienciación en seguridad, campaña de base
  • Comprender el marco de la política de seguridad existente en la empresa. Esto le lleva a lo que necesita para probar, evaluar y entrenar.
  • Comprenda su verdadero catálogo de riesgos cibernéticos. Necesita entrenar a su personal a lo largo de los vectores de ataque.
  • Comprenda la educación en seguridad del pasado. Necesita saber por dónde quiere empezar con la educación estandarizada.
  • Comprenda las implicaciones de la privacidad de sus datos. Tenga en cuenta que está recopilando datos personales.
  • Comprenda su infraestructura técnica y sus sistemas. El conocimiento de los componentes técnicos es importante. Nunca se puede planear un programa exitoso de phishing hasta que se conoce y se entiende toda la información técnica involucrada. Ejemplo: No tiene sentido ejecutar un simulacro de phishing de Dropbox cuando el acceso a Dropbox está denegado en sus sistemas.
  • Realice acciones inmediatas: Llevar a cabo la prueba y el entrenamiento de base (con el fin identificar los defectos especiales y el estado de los conocimientos). Sí, realice su primera campaña de phishing y de entrenamiento ya en la fase de análisis.
  • Descubra a sus grupos de interés, partidarios y unidades de influencia (Ingeniería de Sistemas, Dirección, RRHH, SOC, CSIRT, Comité de Empresa, Servicio de Asistencia, etc.)
  • Investigue las dependencias e interfaces de las herramientas de
  • Defina la estrategia de alojamiento de los sistemas de concienciación sobre seguridad. ¿Quiere ejecutar LUCY en sus propias instalaciones, en sus propios servidores en la nube, quiere usar proveedores de terceros o un hosting de LUCY?
  • Defina los objetivos globales del programa (BHAG), el índice de clicks deseados, el índice de finalización de entrenamiento y el índice de incidentes.
  • Defina los KPI’s que importan y las frecuencias de entrenamiento deseadas, las duraciones de entrenamiento, etc.
  • Defina las etapas globales del programa. No intente tratar todo de una sola vez.
  • Escriba una estrategia global (plan de 5 años) y una política de programa de concienciación (hallazgos, definiciones y decisiones que tomó en esta fase). ¡Estos documentos no tienen por qué ser extensos! Normalmente, basta con una o dos páginas, y el contenido puede integrarse en los documentos de política existentes.
  • Consiga la aprobación de la dirección, de los consejos de la empresa y de otras unidades administrativas si es necesario.
  • Publique y comunique el documento de política del programa de concientización y el documento de estrategia.

Planificar el programa y sus campañas

Nivel:Táctica
Objetivo:Cómo, en qué orden y cuándo
Resultado:Plan de programas de concienciación en seguridad, entorno adoptado, está «listo para funcionar»
  • Defina los niveles de madurez y los niveles de reputación que se utilizarán en las herramientas.
  • Planifique y ejecute adopciones de infraestructura (filtro de spam, listas blancas, WAF, cortafuegos).
  • Identifique los grupos especiales de riesgo. Tendrán campañas y contenidos dedicados.
  • Defina el público objetivo (grupos destinatarios).
  • Defina los niveles iniciales de las pruebas y entrenamientos. ¿Quiere empezar por lo fácil o ya sofisticado?
  • Defina las fases del programa (planificación de fases). No se puede formar en todo a la vez. Tiene sentido establecer prioridades y agrupar ciertos temas.
  • Decida el uso de la marca. Los atacantes utilizan marcas, empresas, sitios web conocidos, etc. porque saben que es muy probable que los usuarios hagan clic en ellos. ¿Deberían sus campañas tener esto en cuenta? También debería planear campañas con el nombre de su propia empresa falsificada o alterada.
  • Realice análisis de filtros de correo y web usando la función MFT de LUCY. Descubra qué tipos de archivos atraviesan el navegador o el cliente de correo electrónico. Necesita este orden de información para decidir qué tipos de archivos deben utilizarse dentro de las simulaciones de phishing basadas en archivos (o para bloquearlas).
  • Cree la hoja de ruta del contenido de las pruebas para su organización («Marco de contenido de ataque», ver más abajo).
  • Cree su hoja de ruta de contenidos de formación («Marco de contenidos de concientización», ver más abajo).
  • Planifique el empoderamiento de los usuarios para identificar y denunciar amenazas. Defina el proceso de información junto con el servicio de apoyo y el SOC. Despliegue el plugin de Incidentes de Phishing y configure la consola de incidentes si es necesario.
  • Cree un plan de campaña (Planificación de Campaña y Audiencia) para los próximos 12-18 meses.
  • Sopese los límites de cualquier escenario de ataque. A veces puede suceder que tenga que ejecutar un simulacro de ataque, pero el escenario que debe usar para ello no está disponible. ¿Existen limitaciones en cuanto a los escenarios/temas que no pueden utilizarse en las simulaciones de ataques en su organización?
  • Lleve a cabo la campaña de entrenamiento inicial como un entrenamiento básico. Antes de iniciar el programa de concienciación y su primera campaña de phishing simulado en su organización, sus empleados actuales deben pasar por un plan de capacitación introductoria.

¿Y? ¡No se pierda en la belleza!

Realizar Campañas

Nivel:Operacional, mayormente una sola campaña
Objetivo:Aumentar la conciencia, el conocimiento y la calidad de la infraestructura
Resultado:Empleados más inteligentes y mejores sistemas
  • Dominio del remitente: Una parte importante de su prueba de phishing es elegir el dominio del remitente de correo correcto desde el que se enviarán los correos de simulacro de phishing. Elija nombres de dominio que normalmente atravesarían los filtros de spam. Si este no es el caso, tiene que ponerlos en la lista blanca. Tenga en cuenta que no tiene mucho sentido utilizar dominios que normalmente se filtrarían mediante la protección SPF porque nunca llegarían a la bandeja de entrada de sus empleados. Las invitaciones a los entrenamientos de concienciación se pueden enviar fácilmente desde el propio dominio de la empresa.
  • Prueba de funcionamiento: Haga una prueba antes de lanzar las campañas.
  • Anúncielo: ¿Tiene que notificar las campañas de phishing a los canales oficiales?
  • Prográmelo. ¿Cuántos correos deben enviarse y en qué período de tiempo? ¿Cuándo debería enviarse la formación? ¿Inmediatamente o después de un intervalo de tiempo? ¿Debería enviarse el phishing al azar?
  • Ejecútelo: Asegúrese de llevar un seguimiento en tiempo real en caso de que algo salga mal. No se quede solo en el entrenamiento de concienciación y en las simulaciones de phishing. Ejecute también campañas de «USB Malos» o de smishing.
  • Alármelo: ¡Los empleados deben usar el botón de incidentes de phishing!
  • Repórtelo: Después de la campaña, cree el informe.
  • Comuníquelo. Publique los resultados. La gente es curiosa.
  • Evalúelo: No se quede en probar y entrenar a la gente. Ejecute campañas de evaluación, utilizando el kit de herramientas de simulacro de malware de Lucy. Realice pruebas extendidas de filtro de correo y web. Evalúe la red usando el simulador de rescate. Así podrá averiguar hasta qué punto un malware tendría éxito en tu red.
  • Planificación y ejecución de la campaña de iteración: Los resultados de la campaña suelen indicar la necesidad de una capacitación posterior o la necesidad de una campaña de seguimiento.
  • Respuesta automática / entrega de campañas: Cree campañas más sofisticadas permitiendo la detección de respuestas en LUCY. Cree campañas que respondan automáticamente a mensajes de respuesta automática y de fuera de la oficina.
  • Tutoría para los débiles: Cree un entrenamiento especial para los empleados más débiles. Preste atención a los módulos de entrenamiento pequeños y cortos. Respete a todos los empleados.
  • Educación especial para los fuertes: No deje que sus mejores y más atentos empleados se escapen; son su activo más importante y su defensa más fuerte.
  • ¡Recompénselo! ¡Cree incentivos a través de recompensas, premios y competiciones a nivel de empleados y equipos!
  • ¡Analícelo! Compare los resultados de las campañas, identifice las tendencias y lleve a cabo evaluaciones comparativas. Su organización es única; las comparaciones con otras organizaciones suelen tienen poco sentido.

Evolucionar el Programa de Concienciación de Seguridad Informática

Nivel:Operacional, táctico, estratégico y normativo
Objetivo:Mejorar el personal, la organización, los socios y la infraestructura
Resultado:Programa de concientización más eficaz
  • Proporcione contenido estacional/real: ¿Existe una amenaza actual en el mercado o se ha publicado una nueva política de seguridad que requiera entrenamiento?
  • Reajuste el objetivo: ¿Los objetivos siguen estando bien?
  • Mejora del proceso. Después de algo de tiempo, ciertamente puede mejorar la preparación de la campaña, los informes o los procesos de alarma.
  • Una vez que tenga un conjunto de datos y resultados básicos para su organización y sus unidades, establezca un marco de referencia, y utilice el poder de la comparación y la gamificación.
  • Colaboración entre organizaciones. Empiece a compartir entrenamientos y plantillas con otras organizaciones. Realice «competiciones» cruzadas entre empresas. ¡Es aquí donde puede empezar a hacer comparaciones! ¿Y? Puede unirse al grupo de usuarios de LUCY si quiere.
  • Revisión externa y certificación. Una revisión por parte de un organismo externo puede ciertamente tener sentido y, si se desea, hacerse certificar por un organismo (p. ej., conseguir una certificación de empresa LUCY).

Un nivel más profundo: marcos de trabajo para el contenido de entrenamiento y pruebas

La hoja de ruta de pruebas y la hoja de ruta del entrenamiento muestran lo que quiere probar, entrenar y practicar. Sirven de base para el plan de la campaña, en el que se planifican las campañas concretas de concientización, los objetivos y los grupos destinatarios. Los documentos de la hoja de ruta muestran a la dirección y a otros grupos de destinatarios interesados qué contenido de aprendizaje debe transmitirse en principio, sin referencia temporal ni asignación detallada a los grupos de riesgo y destinatarios.

Prueba de la hoja de ruta del contenido

Realizar un simulacro de phishing en su propia organización no es más que un ejercicio realista para prepararse para una emergencia. Muchas empresas realizan con regularidad ejercicios de evacuación de sus edificios de oficinas. Las medidas educativas sobre ingeniería social, como los falsos correos de phishing, son prácticamente las mismas.

Marco para una hoja de ruta de pruebas sobre phishing y guía para la ingeniería social educativa

La Hoja de ruta de pruebas ayuda a planificar estos «simulacros de incendio» de seguridad informática. Muchos de los productos antiphishing y de concienciación disponibles en el mercado no solo son compatibles con el phishing falso, sino también con el smishing, el vishing, los USB manipulados y otros contenidos educativos. Se suele poder hacer una selección de cientos de plantillas diferentes. Los productos de última generación también permiten la creación eficiente de ataques individuales o la adaptación de las plantillas, de modo que se pueden crear correos electrónicos y páginas de lanzamiento de phishing individualizados.

Hoja de ruta del contenido de la formación

Esta hoja de ruta le ayuda a planificar qué contenido de seguridad informática estará disponible, cuándo, cómo y para qué grupos de destinatarios. Cuando se imparten cursos de formación en seguridad informática, hay que distinguir entre el contenido que se debe enseñar y el que se debería enseñar. Tenga en cuenta que siempre hay diferentes clases de fuerza en su organización que deberían ser entrenadas según su nivel de conocimiento. Incorpore el entrenamiento en el trabajo diario de sus empleados, otorgue diplomas/certificados y haga que las lecciones sean cortas.

Hoja de ruta y directrices para la formación en protección cibernética

Educación obligatoria en materia de seguridad

Esto se suele denominar formación obligatoria o formación orientada a las políticas. La organización está obligada a hacer cumplir las directrices e instrucciones de seguridad existentes entre sus empleados. En particular, esta categoría incluye la capacitación en GDPR, PCI-DSS, ISO27001, HIPAA, etc.

Entrenamientos genéricos de seguridad

Los contenidos de capacitación específicos de la industria sobre seguridad informática y seguridad en general entran en esta categoría. Esto incluye todos los temas en el campo de la ingeniería social con los que el empleado podría ser confrontado:

  • Ataques de phishing y malware
  • Seguridad de la contraseña
  • Shoulder surfing
  • Ataques con portadores de datos
  • Vishing (phishing de voz)
  • Política de escritorio limpio
  • Seguridad física
  • Visitas e interacción personal (visitantes)
  • Ingeniería social en general
  • El uso de un WiFi público
  • Dispositivos móviles
  • Viaje seguro
  • Incidentes de seguridad (incidentes de seguridad)
  • Seguridad en la nube y en Internet
  • Malware
  • BYOD
  • Seguridad del correo electrónico

Dependiendo de la industria, hay módulos especiales adicionales como

  • Clasificación de la información
  • Seguridad industrial
  • Tratamiento de datos de tarjetas de crédito
  • Tratamiento de datos personales
  • Tratamiento de datos de pacientes/datos sanitarios

Portadores de datos físicos/empresas de desecho

¿Proyecto pequeño o grande?

La respuesta a esta pregunta depende principalmente del tamaño de la empresa. Por supuesto, el nivel de concienciación en seguridad informática de la organización también desempeña un papel, al igual que el número de unidades organizativas, grupos de riesgo, partes interesadas, afectados, etc.

Las empresas más pequeñas, con una cultura de toma de decisiones proactiva, pueden implementar lo básico para un programa de concienciación, incluyendo la primera campaña de «Entrenamiento y phishing de línea de base» en dos o tres días. Por otra parte, las instituciones más grandes pueden tardar semanas o meses en llevar a cabo un proyecto de este tipo. Lo que importa no es tanto la cantidad de esfuerzo involucrado, sino más bien el tiempo de entrega. Dar la bienvenida a todas las partes interesadas afectadas o involucradas, así como la toma de decisiones en un entorno heterogéneo, simplemente lleva tiempo.

¿Necesita ejecutar un simulacro de phishing solamente?

Si únicamente quiere configurar y ejecutar una campaña de phishing y/o entrenamiento: El artículo Planifique su campaña de simulacro de phishing, implementación exitosa de un simulacro de ataque: consejos y trucos le ayudará si quiere llevar a cabo su campaña específica.

El Wiki de Concienciación de Seguridad de LUCY también ayuda aquí. La Lista de control de incorporación es la guía técnica más completa para programas de concienciación sobre ciberseguridad en la web.

¿Necesita un consejo?

Tenemos cientos de clientes en más de 40 países. Estamos encantados de ayudarlo. Por favor, contacte con nosotros con este formulario.

Por favor, llámame.

Los datos enviados se utilizarán únicamente para procesar su solicitud. Puede encontrar más información en nuestra Política de Privacidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario