¿Cómo desarrollar una capa de seguridad orientada al usuario?
SmartFense: Ya hemos hablado sobre la importancia del usuario final dentro de la estrategia de seguridad de una organización, la ausencia de soluciones mágicas en cuestiones de seguridad de la información y, por consecuencia de los dos puntos anteriores, la importancia de seguir una estrategia de seguridad en capas.
La plataforma de capacitación y concientización en Seguridad de la Información y Partners de VHGroup, SmartFense, ha escrito un Whitepaper para desarrollar una capa de seguridad de la información orientada al usuario y para ello, realizó un proyecto de Hardening de Usuarios que deseamos mostrar a través de nuestro blog.
El término Hardening tiene su origen en los procesos que se aplican habitualmente en las organizaciones y consisten en asegurar un sistema operativo, servidor o aplicación, reduciendo sus vulnerabilidades o agujeros de seguridad.
Como los usuarios también son parte de los sistemas de información de las organizaciones y tienen sus propias vulnerabilidades – que son explotadas a diario por los ciberdelincuentes alrededor del mundo – es necesario que pasen también por un proceso de Hardening, el cual se definirá en detalle a lo largo de este artículo.
Procesos de Hardening de Usuarios
Un proyecto de Hardening de Usuarios consta básicamente de dos procesos, los cuales son: Concientización y Entrenamiento (Orientado al desarrollo de hábitos y comportamientos seguros de los usuarios) y Evaluación (Orientado a la medición de los hábitos y comportamientos desarrollados).
La Concientización y Entrenamiento es el proceso que se encarga de crear los conocimientos, hábitos y comportamientos seguros de los usuarios de nuestra organización. Es importante remarcar que no estamos hablando simplemente de asimilación de conocimientos sólo desde un punto de vista académico, por ejemplo, que un usuario sencillamente sepa qué es el Phishing, sino que, ante una trampa de este tipo, se comporte de manera segura y no comprometa su información personal ni la de la organización.
Los contenidos son una pieza clave dentro del proceso de Concientización y Entrenamiento. Cuando hablamos de contenidos nos referimos al material que se presentará a los usuarios para concientizarlos y entrenarlos.
Contenido Principal: Es el material que se utiliza para brindar las principales capacitaciones a los usuarios. Suele cubrir en forma detallada uno o más tópicos y debe resultar atractivo para los usuarios, ya que estamos presentando contenido que muy probablemente no es de su interés. Idealmente, no debería presentar conceptos directos ni imponer directivas. En cambio, se debería ubicar a los usuarios en diversos escenarios cotidianos de su día a día, dentro de los cuales puedan sentirse identificados, y mostrar cuál es la conducta segura en cada uno de ellos. Lo más recomendable para lograr un cambio de comportamiento es entregar valor a través del refuerzo positivo y consejos y hablar de cómo lo aprendido impacta en la vida personal de cada usuario, utilizando un lenguaje cercano a éste.
Contenido de Refuerzo: Es aquel que sirve para reforzar el contenido principal. Las personas no tienen una memoria perfecta, y menos aún son propensas a recordar algo que no es de su total interés. No podemos explicar un día a un usuario cómo comportarse frente a una URL acortada y esperar que lo recuerde dentro de dos meses por ejemplo. Incluso, ya el día siguiente habrá olvidado un porcentaje amplio de la información que le dimos.
Por eso es importante reforzar el contenido previamente enseñado a los usuarios. Las acciones de refuerzo no deben intentar abarcar el 100% del contenido principal, sino recordar periódicamente pequeños extractos para mantenerlos alertas y mejorar la asimilación del contenido.
¿Cómo presentamos este contenido a nuestros usuarios?
CONTENIDO PRINCIPAL
- Capacitaciones presenciales
- Capacitaciones a través de recursos tecnológicos
CONTENIDO DE REFUERZO
- Newsletters
- Posters
- Fondos de pantalla
- Protectores de pantalla
- Videos resumen
- Infografías
- Folletos o Volantes
- Calendarios
- Artículos
- Regalos
- Comics
La evaluación es la medición y parte indispensable de un proyecto ya que nos permite determinar el grado de efectividad que tienen nuestras acciones para el cumplimiento de nuestros objetivos. Para el caso que nos confiere, dicha medición será realizada dentro del proceso de evaluación. Específicamente, este proceso nos servirá para mensurar los conocimientos, hábitos y comportamientos de nuestros usuarios antes de, y durante, la Concientización y Entrenamiento.
La evaluación de conocimientos es la forma más tradicional de medición en un proceso de Concientización y Entrenamiento. Básicamente, lo que se determinará es el grado de asimilación de conocimientos y conceptos de Seguridad de la Información. Para lograrlo, se suele hacer uso de exámenes, en cualquiera de sus formas, siendo algunas de ellas:
- Cuestionarios
- Múltiple Opción
- Verdadero o Falso
- Completar crucigramas
Para evaluar los hábitos y comportamientos de nuestros usuarios, debemos ir un paso más allá y utilizar técnicas de medición más modernas que las mencionadas en el punto anterior.
Las simulaciones nos permiten realizar un enfoque de evaluación muy particular. En lugar de preguntar a un usuario si conoce los peligros de un enlace acortado recibido por email, lo que haremos será enviarle un email con un enlace acortado para ver cómo se comporta frente al mismo.
Esta técnica por lo tanto consiste en poner a los usuarios en una situación de riesgo controlada, y evaluar cuál es su comportamiento frente a la misma. Podemos realizar simulaciones de todo tipo, como por ejemplo envío de correos de suplantación de identidad con archivos adjuntos peligrosos, correos de suplantación de identidad con enlaces peligrosos, dejar memorias USB “pérdidas” con archivos peligrosos, etc.
Cada simulación nos permitirá medir diferentes comportamientos de nuestros usuarios, y sus resultados nos permitirán determinar si nuestras acciones de Concientización y Entrenamiento están siendo efectivas y van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc.
Además, podremos contar con las métricas necesarias para poder realizar reportes objetivos a la alta gerencia, justificar nuestra inversión en Hardening de Usuarios, ayudar al cumplimiento de normativas, entre otras cosas.
La Correlación de Estadísticas, es otro método, un tanto más indirecto, para evaluar hábitos y comportamientos, es buscar la correlación de éstos con estadísticas de la organización en cuanto a otras capas de seguridad, como ser por ejemplo:
- Estadísticas de incidentes
- Estadísticas de programas antivirus
- Estadísticas de programas DLP
- Estadísticas de navegación
Por ejemplo, si la tasa de detecciones de nuestro programa antivirus comienza a disminuir al iniciar un proceso de Concientización y Entrenamiento, podemos concluir que los hábitos de nuestros usuarios se están tornando más seguros.
Si estás interesado en el artículo, y quieres seguir con el proyecto Capa de Seguridad Orientada al Usuario, vista desde la realización de un proyecto de Hardening de Usuarios; te invitamos a ver el artículo Ejecución de un proyecto de Hardening de Usuarios.