jueves, 30 de marzo de 2017

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness


Recientemente un CISO me comentó que estaba analizando Moodle como plataforma para llevar adelante un plan de Concientización en Seguridad de la Información.

Como conozco Moodle por haberlo utilizado en entornos académicos y soy consciente de que los CISO requieren soluciones rápidas y eficaces debido a la gran cantidad de responsabilidades con las que cargan, sentí que algo no encajaba bien.

¿Por qué? Porque Moodle no nos va ayudar a llevar adelante un plan de concientización, sino que nosotros tendremos que ayudar a Moodle para que pueda hacerlo. Esto va a implicar tiempo y esfuerzo y no encaja con lo que un CISO necesita: soluciones en lugar de nuevos problemas.
A continuación, una enumeración de los diferentes momentos en que deberemos empujar a Moodle para que nos permita seguir adelante:

Modelo de distribución

Si bien Moodle es distribuido bajo la licencia GNU, es necesario disponer de la infraestructura, recursos humanos y tiempo necesario para poder implementarlo y mantenerlo actualizado, seguro y funcionando correctamente.

Si sumamos a esto la necesidad de realizar backups de la información que manejamos en Moodle, o bien la gran cantidad de vulnerabilidades que son encontradas y explotadas en este sistema [1] [2], vamos descubriendo que necesitamos empujar bastante a Moodle para lograr implementarlo y mantenerlo funcionando correctamente.

Contenidos de Capacitación y Concientización

Uno de los elementos más importantes a la hora de llevar adelante un plan de Concientización son los contenidos que van a recibir los usuarios.

Muchos planes de concientización fracasan por no poseer contenidos atractivos y amigables para los usuarios. La asimilación es muy baja o hasta nula por no haber diseñado los contenidos en forma pedagógica, o por utilizar traducciones de contenidos creados para otras realidades e idiosincrasias diferentes a la de los usuarios que se desea concientizar.

Moodle no brinda contenidos de Seguridad de la Información, por lo que deberemos empujarlo nuevamente, en este caso, invirtiendo recursos para generar o bien adquirir dichos contenidos y para la ardua tarea de mantenerlos actualizados.

Presentación de los contenidos

Moodle permite presentar el contenido de cada curso de diversas maneras, pero deja fuera recursos muy interesantes como la ludificación o el Game Based Learning que aumentan el grado de interés, implicación y asimilación de conocimiento de las personas a la vez que hacen más divertidas sus capacitaciones.

Si deseamos incorporar estos recursos en nuestro plan, deberemos empujar a Moodle con links a recursos externos de este tipo, los cuales deberemos desarrollar con recursos propios o contratar a terceras partes.

Calendarización

La mejor forma de llevar adelante un plan de Concientización es presentar los contenidos a los usuarios en forma paulatina, reforzando los mismos periódicamente y realizando diversos tipos de evaluación sin interferir en las tareas y el día a día de cada usuario y sin ahogarlos de un día para el otro en un mar de información.

Deberemos por lo tanto ir habilitando manualmente los diversos contenidos y evaluaciones de cada curso creado según consideremos oportuno, teniendo en cuenta las diferentes necesidades y realidades de cada área de la organización.

¿Cansado de empujar?

Método de evaluación

Tan importante como llevar adelante un plan de Concientización es poder medir sus resultados. Moodle posee diversos módulos de evaluación para poder medir el rendimiento académico de los alumnos.

En el ámbito académico tradicional esto es suficiente, pero en el ámbito de la seguridad de la información no, ya que no sólo necesitamos evaluar qué sabe un usuario sino también cuáles son sus hábitos y comportamientos.

Para obtener este conocimiento normalmente se utilizan trampas de simulación de Phishing y Ransomware, que Moodle no posee. Por lo tanto, deberemos, nuevamente, empujar a Moodle, esta vez complementándolo con alguna herramienta de simulación de trampas de seguridad informática.

Reportes Gerenciales

Moodle nos brindará reportes de acuerdo a las evaluaciones realizadas. Por lo tanto los mismos estarán relacionados con el rendimiento académico de los alumnos. Será nuestra tarea entonces empujar a Moodle y complementar esta información para así lograr indicadores útiles para la alta gerencia.

Digo esto ya que cuando se lleva adelante un plan de Concientización es necesario contar con métricas y reportes que permitan no sólo conocer el resultado de cada acción de concientización, sino también correlacionar dichas acciones con el cambio real de comportamiento de los usuarios. De esta forma, se podrá demostrar el grado de efectividad de las campañas realizadas, justificar la inversión realizada en concientización, identificar usuarios de riesgo, etc.

Auditoría

Moodle posee logs orientados a registrar el rendimiento académico de alumnos, descritos como logs de actividad de curso.

Si estamos interesados en satisfacer diversos estándares de seguridad y calidad, como ser ISO 27001, ISO 9001, PCI DSS, DNPDP, normativas del BCRA, etc., deberemos entonces empujar a Moodle y tomar sus logs, postprocesarlos y complementarlos para satisfacer lo exigido por cada normativa.

Conclusión

En su día a día, los CISO poseen muchas tareas y responsabilidades, por lo que necesitan estar tranquilos y lograr sus resultados con mínimo esfuerzo. Moodle, en este ámbito, no será entonces la respuesta que buscamos.

Como podemos ver, para que Moodle nos sirva como vehículo para llevar adelante un plan de Concientización en Seguridad de la Información, deberemos estar dispuestos a arremangarnos, transpirar y darle un buen empujón en cada momento que no pueda ser suficiente por sí mismo.

0 comentarios:

Publicar un comentario