SmartFense: Ya hemos hablado sobre la importancia del usuario final dentro de la estrategia de seguridad de una organización, la ausencia de soluciones mágicas en cuestiones de seguridad de la información y, por consecuencia de los dos puntos anteriores, la importancia de seguir una estrategia de seguridad en capas.
La plataforma de capacitación y concientización en Seguridad de la Información y Partners de VHGroup, SmartFense, ha escrito un Whitepaper para desarrollar una capa de seguridad de la información orientada al usuario y para ello, realizó un proyecto de Hardening de Usuarios que deseamos mostrar a través de nuestro blog.
El término Hardening tiene su origen en los procesos que se aplican habitualmente en las organizaciones y consisten en asegurar un sistema operativo, servidor o aplicación, reduciendo sus vulnerabilidades o agujeros de seguridad.
Como los usuarios también son parte de los sistemas de información de las organizaciones y tienen sus propias vulnerabilidades – que son explotadas a diario por los ciberdelincuentes alrededor del mundo – es necesario que pasen también por un proceso de Hardening, el cual se definirá en detalle a lo largo de este artículo.
Procesos de Hardening de Usuarios
Un proyecto de Hardening de Usuarios consta básicamente de dos procesos, los cuales son: Concientización y Entrenamiento (Orientado al desarrollo de hábitos y comportamientos seguros de los usuarios) y Evaluación (Orientado a la medición de los hábitos y comportamientos desarrollados).
La Concientización y Entrenamiento es el proceso que se encarga de crear los conocimientos, hábitos y comportamientos seguros de los usuarios de nuestra organización. Es importante remarcar que no estamos hablando simplemente de asimilación de conocimientos sólo desde un punto de vista académico, por ejemplo, que un usuario sencillamente sepa qué es el Phishing, sino que, ante una trampa de este tipo, se comporte de manera segura y no comprometa su información personal ni la de la organización.
Los contenidos son una pieza clave dentro del proceso de Concientización y Entrenamiento. Cuando hablamos de contenidos nos referimos al material que se presentará a los usuarios para concientizarlos y entrenarlos.
Contenido Principal: Es el material que se utiliza para brindar las principales capacitaciones a los usuarios. Suele cubrir en forma detallada uno o más tópicos y debe resultar atractivo para los usuarios, ya que estamos presentando contenido que muy probablemente no es de su interés. Idealmente, no debería presentar conceptos directos ni imponer directivas. En cambio, se debería ubicar a los usuarios en diversos escenarios cotidianos de su día a día, dentro de los cuales puedan sentirse identificados, y mostrar cuál es la conducta segura en cada uno de ellos. Lo más recomendable para lograr un cambio de comportamiento es entregar valor a través del refuerzo positivo y consejos y hablar de cómo lo aprendido impacta en la vida personal de cada usuario, utilizando un lenguaje cercano a éste.
Contenido de Refuerzo: Es aquel que sirve para reforzar el contenido principal. Las personas no tienen una memoria perfecta, y menos aún son propensas a recordar algo que no es de su total interés. No podemos explicar un día a un usuario cómo comportarse frente a una URL acortada y esperar que lo recuerde dentro de dos meses por ejemplo. Incluso, ya el día siguiente habrá olvidado un porcentaje amplio de la información que le dimos.
Por eso es importante reforzar el contenido previamente enseñado a los usuarios. Las acciones de refuerzo no deben intentar abarcar el 100% del contenido principal, sino recordar periódicamente pequeños extractos para mantenerlos alertas y mejorar la asimilación del contenido.
¿Cómo presentamos este contenido a nuestros usuarios?
CONTENIDO PRINCIPAL
- Capacitaciones presenciales
- Capacitaciones a través de recursos tecnológicos
CONTENIDO DE REFUERZO
- Newsletters
- Posters
- Fondos de pantalla
- Protectores de pantalla
- Videos resumen
- Infografías
- Folletos o Volantes
- Calendarios
- Artículos
- Regalos
- Comics
La evaluación es la medición y parte indispensable de un proyecto ya que nos permite determinar el grado de efectividad que tienen nuestras acciones para el cumplimiento de nuestros objetivos. Para el caso que nos confiere, dicha medición será realizada dentro del proceso de evaluación. Específicamente, este proceso nos servirá para mensurar los conocimientos, hábitos y comportamientos de nuestros usuarios antes de, y durante, la Concientización y Entrenamiento.
La evaluación de conocimientos es la forma más tradicional de medición en un proceso de Concientización y Entrenamiento. Básicamente, lo que se determinará es el grado de asimilación de conocimientos y conceptos de Seguridad de la Información. Para lograrlo, se suele hacer uso de exámenes, en cualquiera de sus formas, siendo algunas de ellas:
- Cuestionarios
- Múltiple Opción
- Verdadero o Falso
- Completar crucigramas
Para evaluar los hábitos y comportamientos de nuestros usuarios, debemos ir un paso más allá y utilizar técnicas de medición más modernas que las mencionadas en el punto anterior.
Las simulaciones nos permiten realizar un enfoque de evaluación muy particular. En lugar de preguntar a un usuario si conoce los peligros de un enlace acortado recibido por email, lo que haremos será enviarle un email con un enlace acortado para ver cómo se comporta frente al mismo.
Esta técnica por lo tanto consiste en poner a los usuarios en una situación de riesgo controlada, y evaluar cuál es su comportamiento frente a la misma. Podemos realizar simulaciones de todo tipo, como por ejemplo envío de correos de suplantación de identidad con archivos adjuntos peligrosos, correos de suplantación de identidad con enlaces peligrosos, dejar memorias USB “pérdidas” con archivos peligrosos, etc.
Cada simulación nos permitirá medir diferentes comportamientos de nuestros usuarios, y sus resultados nos permitirán determinar si nuestras acciones de Concientización y Entrenamiento están siendo efectivas y van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc.
Además, podremos contar con las métricas necesarias para poder realizar reportes objetivos a la alta gerencia, justificar nuestra inversión en Hardening de Usuarios, ayudar al cumplimiento de normativas, entre otras cosas.
La Correlación de Estadísticas, es otro método, un tanto más indirecto, para evaluar hábitos y comportamientos, es buscar la correlación de éstos con estadísticas de la organización en cuanto a otras capas de seguridad, como ser por ejemplo:
- Estadísticas de incidentes
- Estadísticas de programas antivirus
- Estadísticas de programas DLP
- Estadísticas de navegación
Por ejemplo, si la tasa de detecciones de nuestro programa antivirus comienza a disminuir al iniciar un proceso de Concientización y Entrenamiento, podemos concluir que los hábitos de nuestros usuarios se están tornando más seguros.
Si estás interesado en el artículo, y quieres seguir con el proyecto Capa de Seguridad Orientada al Usuario, vista desde la realización de un proyecto de Hardening de Usuarios; te invitamos a ver el artículo Ejecución de un proyecto de Hardening de Usuarios.
VHGroup colabora con PampaSeg
/0 Comments/in Blog /by Romi CarrascoEn el Centro Municipal de Cultura de Santa Rosa, en la Pampa, se desarrollará la 9º Edición de PampaSeg, una jornada donde profesionales de la seguridad informática brindarán sus conocimientos y experiencia a interesados, estudiantes y trabajadores del área de la tecnología de la información y las comunicaciones.
El evento a realizarse este 24 y 25 de noviembre, contará con la participación de connotados invitados, además de la presencia de nuestro Co-Founder y CEO, Emiliano Piscitelli, que expondrá su innovadora charla sobre Ingeniería Social.
Charla que ha realizado en diversos lugares con mucho éxito. En octubre, se presentó en la Facultad de Ciencias Económicas de la Universidad de Buenos Aires para exponer sobre la importancia de la Ingeniería Social en las TI, también elaboró el “Grupo Intercátedras: Ingeniería Social”, el primer grupo de investigación en ingeniería social desarrollado en la Universidad Tecnologica Nacional Facultad Regional La Plata.
Además, también fue invitado a exponer en el 1º Foro de Cibercrimen, organizado por la Policía de la Ciudad, y ha participado en actividades como “Evento Rapid7” y la “Charla UNLP” de Ingeniería Social + Seguridad, donde se enseñaron técnicas y herramientas.
Próximos eventos
Emiliano Piscitelli participará el próximo 5 de diciembre en la 1ª Jornada Latinoamericana OSINT (Open Source Intelligence), organizado por OSINT Latam Group (miembro fundador). El evento de desarrollará entre las 9 y las 18 horas en el auditorio de la sede de Capital Federal de la Universidad Católica de Salta, UCASAL. Es gratuito y requiere inscripción previa, si quieres participar puedes inscribirte Aquí.
Otros beneficios, en la realización de un proyecto de Hardening de Usuarios
/0 Comments/in Blog /by Romi CarrascoLa Concientización es un requisito y un medio para el cumplimiento de diversas normativas de Seguridad de la Información, como por ejemplo; ISO/IEC 27001, CobiT, Leyes de protección de datos personales y Estándares específicos de la industria, y para poder dar cumplimiento a dichas normas, el proceso de Concientización y Entrenamiento deberá contar con tópicos ya mencionados en otros artículos (ver aquí) para ser asimilados por los usuarios, pero también poseer las pistas de auditoría que permitan demostrar con registros precisos que los usuarios han sido debidamente formados y concientizados.
Beneficios en:
Privacidad
Un proceso de Concientización y Entrenamiento puede incluir la concientización de los usuarios de la organización acerca de su expectativa de privacidad. Contar con registros de auditoría que demuestren que un usuario ha sido debidamente informado respecto a su expectativa de privacidad puede marcar la diferencia dentro de un proceso legal en que la privacidad de un usuario esté en tela de juicio.
Imagen del Área de Seguridad
Incluir a los usuarios en la estrategia de seguridad de la organización, hará que el área sea vista con mejores ojos por parte de ellos. Esto es así ya que, en lugar de llenar a los usuarios de trabas y controles, se les está demostrando su importancia y se les está dando conocimiento útil para cuidar la información que utilizan tanto en su ámbito laboral como personal.
Mejora en la Ejecución de Procesos
El proceso de Concientización y Entrenamiento puede redundar en la mejora en la ejecución de otros procesos de la organización. Por ejemplo, puede concientizarse y entrenarse a los usuarios de la organización acerca del Plan de Recuperación ante desastres de la misma. De esta manera, la organización no sólo da a conocer dicho plan ante todos sus usuarios, sino que se asegura de que, al momento de llevar dicho plan a la práctica, cada uno sepa cómo comportarse, y el plan tenga un mayor nivel de éxito.
Agradecemos a Smartfense, partners de VHGroup
Desarrolla un proyecto de Hardening de Usuarios
/0 Comments/in Blog /by Romi CarrascoEn otro artículo, llamado ¿Cómo desarrollar una capa de seguridad orientada al usuario?, se describieron los elementos necesarios para llevar adelante un proyecto de Hardening de Usuarios. A continuación, veremos una metodología que nos permitirá reunir todos los elementos
vistos y llevar adelante el proyecto.
En esta etapa, debemos establecer una Línea Base. Porque en materia de Seguridad de la Información es muy probable que los usuarios de nuestra
organización posean conocimientos, hábitos y comportamientos muy dispares. Es por eso que es recomendable medir todos estos factores como primer paso del proyecto de Hardening de Usuarios para así establecer una línea base que represente el estado actual de nuestros usuarios.
A partir de la línea base identificada en el punto anterior, estaremos en condiciones de planificar las acciones tanto de Concientización y Entrenamiento como de Evaluación a seguir para pasar del estado actual al estado deseado según los objetivos de nuestro proyecto.
Debemos tener en cuenta que el material de concientización debería ser repartido a lo largo de un período extenso, siendo planificado idealmente de manera anual. De esta forma, ocuparía sólo una pequeña parte del tiempo del usuario, y éste no vería al proceso como un obstáculo, de modo que podría realizar en tiempo y forma sus obligaciones diarias. Además, de esta manera, se logra una mejor atención y predisposición de los
mismos.
Dependiendo de la cultura de cada organización, habrá una mayor o menor resistencia a la hora de comenzar con el proyecto de Hardening de Usuarios. En base a esto, puede ser necesario realizar una preparación de los usuarios previa al inicio de nuestros procesos. Dicha preparación, implica explicar a los usuarios por qué serán incluidos en este nuevo proyecto, cuáles son los objetivos del mismo, qué herramientas van a utilizarse, cómo se utilizan dichas herramientas, y cualquier detalle que sea necesario para que enfrenten esta nueva actividad con la menor dificultad y resistencia posible.
Con los usuarios ya preparados, es posible comenzar a ejecutar el plan, llevando a cabo tanto las acciones de Capacitación y Entrenamiento como las Evaluaciones correspondientes.
Es recomendable que todas las acciones que ocurran dentro de un proyecto de Hardening de Usuarios queden registradas. Tanto aquellas realizadas por nosotros, quienes llevamos adelante el proyecto, como las correspondientes a cada uno de los usuarios de nuestra organización. Este tipo de registros es conocido como pistas de auditoría.
Los procesos de Hardening de Usuarios deberían ser por lo tanto procesos de mejora continua dentro de una organización. Idealmente, el proceso de Concientización y Entrenamiento debería evolucionar y adaptarse continuamente, tomando como entrada sus propias estadísticas, el resultado de los procesos de evaluación, y el estado del arte de la Seguridad de la Información.
La continuidad de los procesos de Hardening de Usuarios logran además mantener a todos los usuarios atentos y actualizados, y nuestra capa de seguridad orientada a las personas no se ve perjudicada por la llegada de nuevo personal a la organización, ya que también serán incluidos en el proceso.
La ejecución final de dicho proyecto variará en complejidad de organización en organización, pero estos elementos deberán estar presentes para
desarrollar y mantener con éxito nuestra capa de seguridad orientada a las personas.
Siempre es recomendable contar con una herramienta que asista en este proyecto, y que idealmente integre los procesos de Concientización y Entrenamiento y de Evaluación, además de incluir los contenidos apropiados para los usuarios de la organización.
Esto aliviará en gran medida al responsable de llevar adelante el proyecto debido a la automatización de tareas, la tranquilidad de contar con cobertura temática y la disponibilidad de registros confiables.
Ver también, Otros beneficios de un proyecto de Hardening de Usuarios.
¿Cómo desarrollar una capa de seguridad orientada al usuario?
/0 Comments/in Blog, Security, seguridad /by Romi CarrascoLa plataforma de capacitación y concientización en Seguridad de la Información y Partners de VHGroup, SmartFense, ha escrito un Whitepaper para desarrollar una capa de seguridad de la información orientada al usuario y para ello, realizó un proyecto de Hardening de Usuarios que deseamos mostrar a través de nuestro blog.
El término Hardening tiene su origen en los procesos que se aplican habitualmente en las organizaciones y consisten en asegurar un sistema operativo, servidor o aplicación, reduciendo sus vulnerabilidades o agujeros de seguridad.
Como los usuarios también son parte de los sistemas de información de las organizaciones y tienen sus propias vulnerabilidades – que son explotadas a diario por los ciberdelincuentes alrededor del mundo – es necesario que pasen también por un proceso de Hardening, el cual se definirá en detalle a lo largo de este artículo.
Procesos de Hardening de Usuarios
Un proyecto de Hardening de Usuarios consta básicamente de dos procesos, los cuales son: Concientización y Entrenamiento (Orientado al desarrollo de hábitos y comportamientos seguros de los usuarios) y Evaluación (Orientado a la medición de los hábitos y comportamientos desarrollados).
La Concientización y Entrenamiento es el proceso que se encarga de crear los conocimientos, hábitos y comportamientos seguros de los usuarios de nuestra organización. Es importante remarcar que no estamos hablando simplemente de asimilación de conocimientos sólo desde un punto de vista académico, por ejemplo, que un usuario sencillamente sepa qué es el Phishing, sino que, ante una trampa de este tipo, se comporte de manera segura y no comprometa su información personal ni la de la organización.
Los contenidos son una pieza clave dentro del proceso de Concientización y Entrenamiento. Cuando hablamos de contenidos nos referimos al material que se presentará a los usuarios para concientizarlos y entrenarlos.
Contenido Principal: Es el material que se utiliza para brindar las principales capacitaciones a los usuarios. Suele cubrir en forma detallada uno o más tópicos y debe resultar atractivo para los usuarios, ya que estamos presentando contenido que muy probablemente no es de su interés. Idealmente, no debería presentar conceptos directos ni imponer directivas. En cambio, se debería ubicar a los usuarios en diversos escenarios cotidianos de su día a día, dentro de los cuales puedan sentirse identificados, y mostrar cuál es la conducta segura en cada uno de ellos. Lo más recomendable para lograr un cambio de comportamiento es entregar valor a través del refuerzo positivo y consejos y hablar de cómo lo aprendido impacta en la vida personal de cada usuario, utilizando un lenguaje cercano a éste.
Contenido de Refuerzo: Es aquel que sirve para reforzar el contenido principal. Las personas no tienen una memoria perfecta, y menos aún son propensas a recordar algo que no es de su total interés. No podemos explicar un día a un usuario cómo comportarse frente a una URL acortada y esperar que lo recuerde dentro de dos meses por ejemplo. Incluso, ya el día siguiente habrá olvidado un porcentaje amplio de la información que le dimos.
Por eso es importante reforzar el contenido previamente enseñado a los usuarios. Las acciones de refuerzo no deben intentar abarcar el 100% del contenido principal, sino recordar periódicamente pequeños extractos para mantenerlos alertas y mejorar la asimilación del contenido.
¿Cómo presentamos este contenido a nuestros usuarios?
CONTENIDO PRINCIPAL
CONTENIDO DE REFUERZO
La evaluación es la medición y parte indispensable de un proyecto ya que nos permite determinar el grado de efectividad que tienen nuestras acciones para el cumplimiento de nuestros objetivos. Para el caso que nos confiere, dicha medición será realizada dentro del proceso de evaluación. Específicamente, este proceso nos servirá para mensurar los conocimientos, hábitos y comportamientos de nuestros usuarios antes de, y durante, la Concientización y Entrenamiento.
La evaluación de conocimientos es la forma más tradicional de medición en un proceso de Concientización y Entrenamiento. Básicamente, lo que se determinará es el grado de asimilación de conocimientos y conceptos de Seguridad de la Información. Para lograrlo, se suele hacer uso de exámenes, en cualquiera de sus formas, siendo algunas de ellas:
Para evaluar los hábitos y comportamientos de nuestros usuarios, debemos ir un paso más allá y utilizar técnicas de medición más modernas que las mencionadas en el punto anterior.
Las simulaciones nos permiten realizar un enfoque de evaluación muy particular. En lugar de preguntar a un usuario si conoce los peligros de un enlace acortado recibido por email, lo que haremos será enviarle un email con un enlace acortado para ver cómo se comporta frente al mismo.
Esta técnica por lo tanto consiste en poner a los usuarios en una situación de riesgo controlada, y evaluar cuál es su comportamiento frente a la misma. Podemos realizar simulaciones de todo tipo, como por ejemplo envío de correos de suplantación de identidad con archivos adjuntos peligrosos, correos de suplantación de identidad con enlaces peligrosos, dejar memorias USB “pérdidas” con archivos peligrosos, etc.
Cada simulación nos permitirá medir diferentes comportamientos de nuestros usuarios, y sus resultados nos permitirán determinar si nuestras acciones de Concientización y Entrenamiento están siendo efectivas y van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc.
Además, podremos contar con las métricas necesarias para poder realizar reportes objetivos a la alta gerencia, justificar nuestra inversión en Hardening de Usuarios, ayudar al cumplimiento de normativas, entre otras cosas.
La Correlación de Estadísticas, es otro método, un tanto más indirecto, para evaluar hábitos y comportamientos, es buscar la correlación de éstos con estadísticas de la organización en cuanto a otras capas de seguridad, como ser por ejemplo:
Por ejemplo, si la tasa de detecciones de nuestro programa antivirus comienza a disminuir al iniciar un proceso de Concientización y Entrenamiento, podemos concluir que los hábitos de nuestros usuarios se están tornando más seguros.
Si estás interesado en el artículo, y quieres seguir con el proyecto Capa de Seguridad Orientada al Usuario, vista desde la realización de un proyecto de Hardening de Usuarios; te invitamos a ver el artículo Ejecución de un proyecto de Hardening de Usuarios.
VHGroup afianza relaciones con sus partner de Panamá
/0 Comments/in Blog, conferencias, seguridad /by Romi CarrascoDurante los últimos años VHGroup se ha enfocado en obtener certificaciones y partnerships internacionales. Es por esta razón, que parte del equipo viajó la semana del 18 de septiembre a Panamá para visitar a clientes y partner exclusivos de Panamá.
Hoy, VHGRoup es una empresa con exclusivos acuerdos con soluciones y servicios del mundo IT, por lo que fue invitado a realizar conferencias en la Cámara de Comercio de Panamá, el Club Unión, Colegio de Abogados y otros clientes.
La visita de VHGroup y su equipo a Panamá fue una gran oportunidad para ampliar la visión y campo estratégico; además, de dar la posibilidad de conocer las realidades de las empresas de ese país respecto de la seguridad informática.
VHGroup participó en Ekoparty dictando el training “OSINT en 360”
/0 Comments/in Blog, charlas, conferencias, Training /by Romi CarrascoEl training “OSINT en 360”, que tuvo gran asistencia de público, abordó temáticas ligadas a la necesidad que tienen hoy las empresas de conocer mejor el desarrollo y las metodologías en la obtención de información de usuarios y activos de las compañías.
Durante la capacitación, se entregaron técnicas físicas y lógicas para conseguir los objetivos planteados. Algunos de los temas que se trabajaron, fueron:
Luego de la exitosa participación en el training “OSINT en 360”, VHGroup visitó Ekoparty y pudo compartir con increíbles profesionales, además de asistir a otras conferencias de seguridad.
Esta fue una gran oportunidad para VHGroup, ya que pudo compartir sus conocimientos y también seguir proyectando de mejor manera las soluciones y necesidades que se presentan cada día en el mundo de la tecnología y seguridad informática.
¿Qué es Ekoparty?
Ekoparty, es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica. Se realiza en la ciudad de Buenos Aires y asisten especialistas y referentes en la materia de todo el mundo.
Es la ocasión perfecta para involucrarse con lo más reciente en innovación tecnológica, vulnerabilidad y herramientas, todo dentro de un ambiente distendido y de intercambio de conocimientos.
Además, permite a consultores, investigadores, programadores, técnicos, administradores de sistemas, curiosos y entusiastas de la tecnología, reunirse para disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.
¿Estamos protegiendo lo más importante?
/0 Comments/in Blog, Security, seguridad /by avhgfnepLlegó el día en que, nuevamente, el mundo se golpee con algo que no veía venir, una especie de Cisne negro para el cuál nadie esta lo suficientemente preparado. Las noticias del día Viernes 12 de Mayo seguro sorprendieron a muchos.
Sobre todo a directores y gerentes que no son TI o viven el mundo tecnológico.
Empresas como Telefónica y BBVA son imperios con alta visibilidad en gran parte del mundo. En términos tecnológicos pueden ser modelos a seguir. Hoy han sido expuestas, mostrando que le puede pasar a todos. Grandes inversiones en equipamiento, excelente consultores y referentes de la seguridad, parece no ser suficiente para contrarrestar esta ola de delincuencia cibernética.
La era de la seguridad informática como concepto medieval se terminó. No hay un mal afuera del cuál protegerse ya que hoy nuestros enemigos pueden estar dentro. Peor aún sin saber ellos que pueden ser enemigos de su propia empresa. En esta ciber-guerra los muros ya no alcanzan, las puertas de los grandes castillos tampoco. Hoy estos incidentes nos muestran que la necesidad no pasa únicamente por infraestructura y buenas prácticas TI.
La tecnología es parte de nuestro día a día corporativo y personal. Hacemos uso de ella a diario, sin embargo debemos preguntarnos ¿cuanto tiempo le dedicamos a la conciencia de mantener un nivel de seguridad responsable de estos dispositivos?. ¿Cuáles son las preguntas que debemos hacernos al hacer uso de estos equipos tecnológicos? Tal vez estos eventos recientes nos demuestren que si bien vamos por un buen camino hay preguntas que no estamos sabiendo como responder.
El factor humano en la seguridad hoy es la piedra angular. Necesitamos usuarios con conciencia, que hagan uso responsable del equipamiento personal y corporativo.
Desde VHGroup nosotros comenzamos a hacernos esas preguntas y aún siendo una empresa que implementa soluciones de Seguridad Informática entendimos que el cambio de paradigma es otro. Hoy nuestra mayor defensa son nuestros usuarios, el nivel de conocimiento y conciencia que tengan del uso de la tecnología será el indicador que mueva nuestra aguja y que deberá mostrar efectividad a la hora de evaluar la seguridad.
Es importante crear campañas de conciencia a los diferentes equipos que trabajan en la empresa, poder medir el conocimiento antes y después, ofrecer a la alta gerencia nuevos KPI´s que determinen el nivel de conciencia acerca de la seguridad informática.
Este es un problema que interviene e interpela a todos los integrantes de cualquier organización.
La realización de un framework de Concientización es en donde hemos invertido en VHGroup en los últimos años porque creemos que la mejor manera de disminuir el riesgo es este. Creando conciencia, educando y facilitando información. Llevando el mundo de la seguridad, de una manera didáctica, a todas las areas y personas.
Estos eventos que suceden a grandes corporaciones deben servirnos de ejemplo para prepararnos sin asustarnos. Debemos desde el Directorio corporativo hasta la operación del día a día adoptar este nuevo lenguaje en donde cada uno tiene un rol importante.
El negocio debe estar acompañado de una cultura en Seguridad
/0 Comments/in Blog /by avhgfnepLos directorios en sus estrategias tienen un lenguaje que adoptar y es el de la tecnología como pivote para fomentar sus modelos de negocios. ¿Como una empresa puede pasar “de ser un potencial Kodak a Netflix”?
Este nuevo “lenguaje” o regla de juego es a veces vertiginoso en algunas empresas donde la adopción de la tecnología es compleja por no ser compatible con sus modelos organizacionales. Hoy todas las empresas deben volverse digitales y al ingresar en este nuevo canal deben poder entender y conocer las nuevas reglas del juego.
Hay una regla oculta en la transformación digital, la misma tiene que ver con la confianza, transparencia y solvencia de una empresa en relación al cliente y la sociedad.
Podemos imaginar la parte de arriba de un iceberg como si fuera la tecnología, con sus aplicaciones, lenguajes y potencialidades exponenciales. Mientras que la parte de abajo representaría la seguridad informática, esa parte que nadie ve y que esta durmiendo a la espera de ser encontrada.
Una pregunta común respecto a la potencialidad de un problema como los comentados anteriormente (Linkedin y Sony) es: ¿Por que a mí empresa?, y lo interesante de este punto es que producto de la misma tecnología muchos de los ataques informáticos que generan grandes pérdidas y daños económicos a las empresas no están estratégicamente direccionados a las mismas, sino mas bien pensados como una gran red de pesca tirada al mar para ver que se puede encontrar de interesante.
Para responder a las primeras preguntas de este artículo, creo que debemos comenzar por generar una nueva conciencia de lo que la adopción de la tecnología trae bajo el agua y hacernos cargo de ello. Nuestros modelos organizacionales deben tener instalado un nuevo lenguaje devenido en una cultura enfocada en la seguridad de la información, abarcando todos sus ámbitos y espacios. Este nuevo lenguaje debe ser instalado desde la estrategia de la compañía, basándose en los pilares de la transparencia y confianza que debe generar con sus clientes y el entorno.
Hoy los CxO ́s también deben estar preparados para responder estas preguntas desde la tecnología, adoptando para ello las mejores prácticas disponibles en el mercado.
Es realmente importante aperturarse como compañía a la adopción de este nuevo paradigma tecnológico donde debemos ser responsables y tomar conciencia del riesgo suscrito en la implementación de tecnologías.
Conferencia: Una vida para construir mi marca y solo 5 minutos para perderla en Campus Party Argentina 2016
/0 Comments/in Blog, charlas, conferencias, Security, seguridad, videos /by avhgfnepEntrevista a Emiliano Piscitelli, CEO & Founder de VH Group en e-Marketers/16 / Montevideo, Uruguay
/0 Comments/in Blog, Entrevistas, Security, seguridad, videos /by avhgfnep