Online

Entrenamiento y concientización, herramientas para la ciberseguridad

Por MÓNICA LÓPEZ -
Entrenamiento y concientización, herramientas para la ciberseguridad

En las organizaciones aún con el mejor personal y la tecnología adecuada, el eslabón más débil siguen siendo los empleados. Es común que se realicen capacitaciones intentando sembrar la protección de los datos y el uso óptimo de los dispositivos, los recursos informáticos, la nube, etc. pero cuando la educación no trasciende, las conductas tampoco se transforman.

Si tomamos lo mencionado anteriormente entendemos que es preciso dentro de las organizaciones desarrollar e implementar un programa de concientización y capacitación sobre ciberseguridad para todos los colaboradores, permitiendo mitigar el riesgo al que se expone.

A continuación mencionaremos una guía básica para el armado de un programa de concientización y entrenamiento basado en la NIST SP 800-50 y las ISO/IEC 27001:2013, 27002:2013.

El programa se encuentra compuesto de cuatro etapas que abarcan, el diseño, el desarrollo del material, la implementación del programa y el mantenimiento del mismo.

En la etapa del diseño, se evaluarán las necesidades dentro de la organización, para esto se debe verificar comportamientos del personal (sesiones abiertas, escritorios limpios), verificación de los incidentes de seguridad de la información, eventos registrados en los dispositivos de seguridad (firewall, IDS/IPS, SIEM) o intrusiones en páginas web. Luego continuaremos con la estrategia de desarrollo, implementación y mantenimiento del programa, el cual debe contener entre otros los siguientes elementos:

• Alcance

• Objetivos

• Roles y responsabilidades

• A quien va dirigido

• Temario

• Frecuencia

• Evaluación

Se establecerá un calendario de aplicación donde determinaremos la secuencia y prioridad. Luego se aprobará y se conseguirán los recursos financieros para el financiamiento del programa.

A continuación nos enfocaremos en el desarrollo del material de concientización y entrenamiento  y la implementación del programa que debe garantizar que todos los empleados entiendan que la ciberseguridad es una responsabilidad compartida y que todos son importantes en esa tarea.

De acuerdo al NIST en la publicación SP800-50, la implementación de un programa de concientización y entrenamiento debería aplicarse sólo después de que:

• Se ha llevado a cabo una evaluación de necesidades.

• Se ha desarrollado una estrategia.

• Se ha completado un programa de concientización y entrenamiento.

• Se ha desarrollado el material de concientización y entrenamiento.

Es necesario asegurar que el programa sigue siendo actual aún con las nuevas tecnologías y las cuestiones de seguridad que aparezcan; también cerciorarse la efectividad del programa con evaluaciones, encuestas; verificar la cantidad de incidentes abiertos y su causa, ataques de phishing o ransomware, posteriores a las capacitaciones.

Desde BDO, por ejemplo, ayudamos a las organizaciones a desarrollar e implementar un comportamiento maduro frente a las ciberamenazas logrando que se hagan más seguras y resilientes; partiendo de este escenario asesoramos a las organizaciones y acompañamos en la implementación y administración de un Programa de Concientización y Capacitación en Ciberseguridad tanto en línea como de manera presencial presencial.

El Programa de Concientización y Capacitación en Ciberseguridad permite una capacitación constante de los empleados para evitar ser objetivos de ciberataques a través del desarrollo de campañas de concientización con elementos multimedia y herramientas de comunicación entre los expertos y los colaboradores.

La plataforma online que, de una manera sencilla y práctica, entrena a los empleados permite una capacitación constante para obtener resultados a largo plazo a través de newsletters, actividades interactivas, campañas y pruebas de simulación de ciberataques como ransomware y phishing.

Este programa, además, permite medir la efectividad del aprendizaje de los empleados que se están capacitando por medio de diferentes lecciones. Si el empleado aún no está lo suficientemente preparado se le aportan nuevos elementos para que refuerce su aprendizaje.

 

* La autora es Responsable de Normativa y Educación API, BDO en Argentina.



¿Te gustó la nota?

Notas Relacionadas