¿Cómo desarrollar una capa de seguridad orientada al usuario?

SmartFense: Ya hemos hablado sobre la importancia del usuario final dentro de la estrategia de seguridad de una organización, la ausencia de soluciones mágicas en cuestiones de seguridad de la información y, por consecuencia de los dos puntos anteriores, la importancia de seguir una estrategia de seguridad en capas.

La plataforma de capacitación y concientización en Seguridad de la Información y Partners de VHGroup, SmartFense, ha escrito un Whitepaper para desarrollar una capa de seguridad de la información orientada al usuario y para ello, realizó un proyecto de Hardening de Usuarios que deseamos mostrar a través de nuestro blog.

El término Hardening tiene su origen en los procesos que se aplican habitualmente en las organizaciones y consisten en asegurar un sistema operativo, servidor o aplicación, reduciendo sus vulnerabilidades o agujeros de seguridad.

Como los usuarios también son parte de los sistemas de información de las organizaciones y tienen sus propias vulnerabilidades – que son explotadas a diario por los ciberdelincuentes alrededor del mundo – es necesario que pasen también por un proceso de Hardening, el cual se definirá en detalle a lo largo de este artículo.

Procesos de Hardening de Usuarios

Un proyecto de Hardening de Usuarios consta básicamente de dos procesos, los cuales son: Concientización y Entrenamiento (Orientado al desarrollo de hábitos y comportamientos seguros de los usuarios) y Evaluación (Orientado a la medición de los hábitos y comportamientos desarrollados).

La Concientización y Entrenamiento es el proceso que se encarga de crear los conocimientos, hábitos y comportamientos seguros de los usuarios de nuestra organización. Es importante remarcar que no estamos hablando simplemente de asimilación de conocimientos sólo desde un punto de vista académico, por ejemplo, que un usuario sencillamente sepa qué es el Phishing, sino que, ante una trampa de este tipo, se comporte de manera segura y no comprometa su información personal ni la de la organización.

Los contenidos son una pieza clave dentro del proceso de Concientización y Entrenamiento. Cuando hablamos de contenidos nos referimos al material que se presentará a los usuarios para concientizarlos y entrenarlos.

Contenido Principal: Es el material que se utiliza para brindar las principales capacitaciones a los usuarios. Suele cubrir en forma detallada uno o más tópicos y debe resultar atractivo para los usuarios, ya que estamos presentando contenido que muy probablemente no es de su interés. Idealmente, no debería presentar conceptos directos ni imponer directivas. En cambio, se debería ubicar a los usuarios en diversos escenarios cotidianos de su día a día, dentro de los cuales puedan sentirse identificados, y mostrar cuál es la conducta segura en cada uno de ellos. Lo más recomendable para lograr un cambio de comportamiento es entregar valor a través del refuerzo positivo y consejos y hablar de cómo lo aprendido impacta en la vida personal de cada usuario, utilizando un lenguaje cercano a éste.

Contenido de Refuerzo: Es aquel que sirve para reforzar el contenido principal. Las personas no tienen una memoria perfecta, y menos aún son propensas a recordar algo que no es de su total interés. No podemos explicar un día a un usuario cómo comportarse frente a una URL acortada y esperar que lo recuerde dentro de dos meses por ejemplo. Incluso, ya el día siguiente habrá olvidado un porcentaje amplio de la información que le dimos.
Por eso es importante reforzar el contenido previamente enseñado a los usuarios. Las acciones de refuerzo no deben intentar abarcar el 100% del contenido principal, sino recordar periódicamente pequeños extractos para mantenerlos alertas y mejorar la asimilación del contenido.

¿Cómo presentamos este contenido a nuestros usuarios?

CONTENIDO PRINCIPAL

  • Capacitaciones presenciales
  • Capacitaciones a través de recursos tecnológicos

CONTENIDO DE REFUERZO

  • Newsletters
  • Posters
  • Fondos de pantalla
  • Protectores de pantalla
  • Videos resumen
  • Infografías
  • Folletos o Volantes
  • Calendarios
  • Artículos
  • Regalos
  • Comics

La evaluación es la medición y parte indispensable de un proyecto ya que nos permite determinar el grado de efectividad que tienen nuestras acciones para el cumplimiento de nuestros objetivos. Para el caso que nos confiere, dicha medición será realizada dentro del proceso de evaluación. Específicamente, este proceso nos servirá para mensurar los conocimientos, hábitos y comportamientos de nuestros usuarios antes de, y durante, la Concientización y Entrenamiento.

La evaluación de conocimientos es la forma más tradicional de medición en un proceso de Concientización y Entrenamiento. Básicamente, lo que se determinará es el grado de asimilación de conocimientos y conceptos de Seguridad de la Información. Para lograrlo, se suele hacer uso de exámenes, en cualquiera de sus formas, siendo algunas de ellas:

  • Cuestionarios
  • Múltiple Opción
  • Verdadero o Falso
  • Completar crucigramas

Para evaluar los hábitos y comportamientos de nuestros usuarios, debemos ir un paso más allá y utilizar técnicas de medición más modernas que las mencionadas en el punto anterior.

Las simulaciones nos permiten realizar un enfoque de evaluación muy particular. En lugar de preguntar a un usuario si conoce los peligros de un enlace acortado recibido por email, lo que haremos será enviarle un email con un enlace acortado para ver cómo se comporta frente al mismo.

Esta técnica por lo tanto consiste en poner a los usuarios en una situación de riesgo controlada, y evaluar cuál es su comportamiento frente a la misma. Podemos realizar simulaciones de todo tipo, como por ejemplo envío de correos de suplantación de identidad con archivos adjuntos peligrosos, correos de suplantación de identidad con enlaces peligrosos, dejar memorias USB “pérdidas” con archivos peligrosos, etc.

Cada simulación nos permitirá medir diferentes comportamientos de nuestros usuarios, y sus resultados nos permitirán determinar si nuestras acciones de Concientización y Entrenamiento están siendo efectivas y van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc.

Además, podremos contar con las métricas necesarias para poder realizar reportes objetivos a la alta gerencia, justificar nuestra inversión en Hardening de Usuarios, ayudar al cumplimiento de normativas, entre otras cosas.

La Correlación de Estadísticas, es otro método, un tanto más indirecto, para evaluar hábitos y comportamientos, es buscar la correlación de éstos con estadísticas de la organización en cuanto a otras capas de seguridad, como ser por ejemplo:

  • Estadísticas de incidentes
  • Estadísticas de programas antivirus
  • Estadísticas de programas DLP
  • Estadísticas de navegación

Por ejemplo, si la tasa de detecciones de nuestro programa antivirus comienza a disminuir al iniciar un proceso de Concientización y Entrenamiento, podemos concluir que los hábitos de nuestros usuarios se están tornando más seguros.

Si estás interesado en el artículo, y quieres seguir con el proyecto Capa de Seguridad Orientada al Usuario, vista desde la realización de un proyecto de Hardening de Usuarios; te invitamos a ver el artículo Ejecución​ de un proyecto de Hardening de Usuarios.

¿Estamos protegiendo lo más importante?

CCN-CERT: Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.”

Llegó el día en que, nuevamente, el mundo se golpee con algo que no veía venir, una especie de Cisne negro para el cuál nadie esta lo suficientemente preparado. Las noticias del día Viernes 12 de Mayo seguro sorprendieron a muchos.

Sobre todo a directores y gerentes que no son TI o viven el mundo tecnológico.

Empresas como Telefónica y BBVA son imperios con alta visibilidad en gran parte del mundo. En términos tecnológicos pueden ser modelos a seguir. Hoy han sido expuestas, mostrando que le puede pasar a todos. Grandes inversiones en equipamiento, excelente consultores y referentes de la seguridad, parece no ser suficiente para contrarrestar esta ola de delincuencia cibernética.

La era de la seguridad informática como concepto medieval se terminó. No hay un mal afuera del cuál protegerse ya que hoy nuestros enemigos pueden estar dentro. Peor aún sin saber ellos que pueden ser enemigos de su propia empresa. En esta ciber-guerra los muros ya no alcanzan, las puertas de los grandes castillos tampoco. Hoy estos incidentes nos muestran que la necesidad no pasa únicamente por infraestructura y buenas prácticas TI.

La tecnología es parte de nuestro día a día corporativo y personal. Hacemos uso de ella a diario, sin embargo debemos preguntarnos ¿cuanto tiempo le dedicamos a la conciencia de mantener un nivel de seguridad responsable de estos dispositivos?. ¿Cuáles son las preguntas que debemos hacernos al hacer uso de estos equipos tecnológicos? Tal vez estos eventos recientes nos demuestren que si bien vamos por un buen camino hay preguntas que no estamos sabiendo como responder.

El factor humano en la seguridad hoy es la piedra angular. Necesitamos usuarios con conciencia, que hagan uso responsable del equipamiento personal y corporativo.

Desde VHGroup nosotros comenzamos a hacernos esas preguntas y aún siendo una empresa que implementa soluciones de Seguridad Informática entendimos que el cambio de paradigma es otro. Hoy nuestra mayor defensa son nuestros usuarios, el nivel de conocimiento y conciencia que tengan del uso de la tecnología será el indicador que mueva nuestra aguja  y que deberá mostrar efectividad a la hora de evaluar la seguridad.

Es importante crear campañas de conciencia a  los diferentes equipos que trabajan en la empresa, poder medir el conocimiento antes y después, ofrecer a la alta gerencia nuevos KPI´s que determinen el nivel de conciencia acerca de la seguridad informática.

Este es un problema que interviene e interpela a todos los integrantes de cualquier organización.

La realización de un framework de Concientización es en donde hemos invertido en VHGroup en los últimos años porque creemos que la mejor manera de disminuir el riesgo es este. Creando conciencia, educando y facilitando información. Llevando el mundo de la seguridad, de una manera didáctica, a todas las areas y personas.

Estos eventos que suceden a grandes corporaciones deben servirnos de ejemplo para prepararnos sin asustarnos. Debemos desde el Directorio corporativo hasta la operación del día a día adoptar este nuevo lenguaje en donde cada uno tiene un rol importante.

Ponemos a disposición de Uds. un articulo de nuestra autoría en referencia a el Ransomware, en el mismo podrán encontrar distintos detalles y recomendaciones que si bien poseen más de 2 años hoy sigue totalmente vigente: Articulo Ransomware

Crear una cultura segura dentro y fuera de la Empresa

Seguramente habrán escuchado frases como: “La cadena se rompe por el eslabón más débil”. Dentro del ámbito de la seguridad se utiliza mucho haciendo referencia al usuario, ya que podemos tener un entorno súper seguro y muchísimas herramientas de monitoreo, pero si el usuario no utiliza la tecnología en forma consciente y segura, es muy probable que tengamos una brecha de seguridad. De esta forma, nuestra empresa podría ser víctima de diferentes amenazas. Por ejemplo: un Ransomware que secuestre nuestros propios datos y no podamos acceder a ellos sin pagar un rescate; un engaño donde se le otorgue a un intruso acceso físico a lugares restringidos o se le entreguen datos sensibles a un ciberdelincuente; y así podríamos seguir y seguir. Es por todo ello que debemos crear una cultura segura tanto dentro como fuera de nuestra empresa.

POR DÓNDE EMPEZAR
Una muy buena forma de comenzar es incluir un programa de concientización dentro de nuestra estrategia de seguridad, y así poder alcanzar a todas y cada una de las personas que componen nuestra empresa. Ahora, muchos se preguntarán por qué hacemos tanto hincapié en “dentro y fuera de la empresa”. Bueno, es simple: a una persona se la puede entrenar para que utilice en forma segura y consciente las herramientas y recursos tecnológicos de su empresa, pero de nada sirve si no hace lo mismo con los propios.

Veamos un ejemplo:
Un usuario obtuvo un muy buen entrenamiento dentro de su empresa, donde tomó conciencia en el uso seguro de la tecnología y la detección de técnicas de ingeniería social. Al conocer las distintas amenazas y la forma de proceder de los ciberdelincuentes, él se encuentra más atento y es más cuidadoso en su trabajo. Pero a las 18:00 hs., cuando se retira (o todavía dentro de la empresa), recibe solicitudes de amistad en Facebook, aceptándolas sin preguntarse siquiera de quiénes proceden. Hace publica fotos en las redes sociales (hasta incluso tomadas desde dentro de la empresa), descarga cualquier tipo de aplicación (oficial y no oficial) en su celular sin chequear los permisos y el desarrollador antes de instalarla, mantiene las conexiones inalámbricas de sus dispositivos continuamente encendidas, se conecta a cuanta red inalámbrica encuentre y navega con su notebook por cualquier sitio dando aceptar a cuanto cartel se le presente.

Como se puede apreciar, este usuario tiene un proceder correcto al utilizar los recursos de la empresa, pero no es así con su vida personal. Si bien parece que en este caso exageramos un poco, deben creernos algo en base a nuestra experiencia en consultorías: existen muchas personas que actúan de esta manera. Muchas veces, esto es debido a que se instruyó al usuario en el uso seguro de las distintas herramientas de la empresa y no así en el uso de redes sociales, dispositivos personales, etc.

Aquí podemos apreciar una gran brecha de seguridad, ya que si el objetivo es claro, los ciberdelincuentes no solo se limitarán a atacar los recursos de la empresa, sino que también podrán enfocarse en los recursos personales de sus empleados o hasta incluso (dependiendo la magnitud del ataque) objetivos satélites como familiares o amigos.

PROGRAMA DE CONCIENTIZACIÓN
A continuación detallaremos algunas de las acciones que se pueden llevar adelante para cubrir distintos frentes y así lograr mayor visibilidad, sustentabilidad e interés por un programa de concientización.

Evaluación: como primera medida, es muy importante poder evaluar tanto el conocimiento o la percepción que los empleados poseen con respecto a la seguridad, como también realizar diferentes tests que nos ayuden a conocer cómo estamos parados frente a posibles ataques (campañas de phishing, engaños telefónicos, intentos de intrusión, etc.). La información resultante nos servirá para poder realizar una comparativa de estado a medida que avanzamos con las diferentes acciones.

Charlas y talleres: muy buenos resultados son los que podemos obtener al realizar charlas y talleres. Pueden ser segmentados en grupos específicos (gerentes, técnicos, etc.) o abiertos dependiendo los recursos y alcances de (la empresa), siempre intentando alcanzar a todos los usuarios.

Videos y material gráfico: nunca está de más contar videos y material gráfico para el apoyo de las diferentes acciones. Algo muy importante es que deben expresar de forma simple y clara lo que se quiere transmitir (tips, datos de referencia, infografías).
El material gráfico puede ser tanto digital (para ser distribuido a tra-vés de mailing, publicarlo en el sitio web de la empresa o la intranet), como también impreso (folletos, carteles).

Plataforma de e-learning: debido al ritmo de trabajo en las empresas, en general no se llega a exponer o profundizar sobre todos los temas en las charlas y talleres.
Es por eso que una muy buena práctica es disponer de una plataforma de e-learning que sirva a los usuarios como material de apoyo y consulta permanente. Es importante disponer de información clara y precisa. Y se pueden adoptar distintos formatos: videos, imágenes, audio, documentos, etc.

VOLVER A EMPEZAR
Es un error pensar en la seguridad como una solución que se implementa y funciona en forma desatendida. Diríamos que es todo lo contrario: cuando implementamos una solución, un programa de concientización o habilitamos un canal para la comunicación, estamos recién comenzando. Todas y cada una de las acciones que realicemos necesitan un seguimiento, ajuste o cambio.

La tecnología está en constante evolución, como también las amenazas, nada es estático y mucho menos debemos serlo nosotros.

CONCLUSIONES

Al finalizar nuestras charlas nos gustar hacer una analogía, que compartimos a continuación: Seguramente cuando éramos niños muchos de nosotros cruzábamos la calle sin prestar atención, nos daba lo mismo cruzar por la esquina que por mitad cuadra y que el semáforo estuviera en rojo o en verde. Esto sucedía porque no teníamos conciencia sobre las amenazas existentes (automóviles que pudieran atropellarnos) y no teníamos consciencia sobre nuestra integridad física. Por suerte, tuvimos a nuestros familiares o amigos que nos enseñaron a cruzar por la senda peatonal, pero antes esperar que el semáforo se pusiera en rojo y mirar hacia ambos lados.

Hoy en día, es impensable que una persona adulta cruce una calle o avenida por cualquier lugar, sin mirar y con el semáforo en habilitándolo. La persona no realiza un gran esfuerzo mental para poder cruzar en forma segura, ya que lo hace de una manera natural. Esto mismo debemos lograr con nuestra vida digital (tanto personal como laboral), incorporando de a poco hábitos seguros y utilizando la tecnología en forma consciente hasta lograr que estas acciones se vuelvan totalmente naturales.