jueves, 27 de enero de 2022

Calidad humana y técnica: SMARTFENSE 3.0

Calidad humana y técnica: SMARTFENSE 3.0

 

El 18 de diciembre de 2021 se lanzó la versión 3.0 Beta de SMARTFENSE. Casualmente, había sido un día 18 también, pero de agosto del 2018, cuando habíamos lanzado la 2.0.

Tres años y medio pasaron, y con ellos, incontables horas de gestión, análisis, diseño, desarrollo, pruebas y despliegues.


Las bases del cambio

Como siempre se dice y con razón, los cimientos son lo más importante, y por eso gran parte del esfuerzo se dedicó a cosas que quizá no se ven, pero están y se notan. Como por ejemplo:

  • actualización de Frameworks y lenguaje de desarrollo, 
  • mejoras de seguridad, 
  • automatización de pruebas,
  • etc.


La aparición de clientes con más de 100.000 usuarios motivaron también el trabajo en la escalabilidad de la plataforma y promovieron nuevas integraciones. Esto último llevó a la creación de numerosas APIs que permiten el consumo de datos de SMARTFENSE desde cualquier sistema y el desarrollo de integraciones específicas, como la Integración con LMS a través de paquetes SCORM.

KPIs como la disminución de cantidad de problemas conocidos, aumento de cobertura de tests unitarios, niveles de performance en pruebas de estrés, fueron personajes principales del camino a la versión 3.0.

Todo lo mencionado no impidió mantener el foco en resolver las necesidades puntuales de nuestros partners y clientes para favorecer a la generación de hábitos seguros en los usuarios de manera eficaz en el mundo particular de cada organización.


Lo que sí se puede ver

En este orden de ideas, la versión 3.0 se enfocó, dentro de la parte tangible, en brindar nuevas herramientas, que en complemento con las existentes, mejoren la eficiencia en la gestión del principal riesgo de ciberseguridad de la última década, la Ingeniería Social, y permitan desarrollar y mantener una cultura segura dentro de la organización con mayor eficacia. 

Para esto, nos centramos en dos actores clave de nuestra plataforma, el usuario administrativo y el usuario final.


Scoring de riesgo

Para el usuario administrativo, la funcionalidad principal que se añadió es el cálculo de Scoring de Riesgo de los usuarios y agrupaciones de la organización. Este Scoring permite tomar decisiones de gestión del riesgo de manera más sencilla y directa,  posibilitando visualizar de manera cuantitativa el grado de exposición de la organización.



Interfaz renovada

El usuario administrativo podrá observar también una interfaz renovada acorde con la nueva imagen de SMARTFENSE. Este cambio, si bien se percibe únicamente como estético, trae consigo la actualización de una gran cantidad de componentes. Además, se optimiza la disposición de elementos en diferentes vistas y se brinda una experiencia más homogénea al usuario.



Gamificación y Videojuegos

Para el usuario final se añadieron técnicas de diseño y elementos propios de juegos, con el objetivo de aumentar sus niveles de motivación y atraer y retener su atención en los contenidos brindados.

Para esto, se sumó el concepto de Badges o Insignias dentro de la plataforma. Una representación gráfica de un mérito o logro obtenido por el usuario, que sirven así como reconocimiento de importante poder simbólico, alentando su continuidad y sirviendo de guía.

Además, sumamos campañas de ¡Videojuegos!, creados y diseñados por nuestro equipo de Contenidos en conjunto con expertos en Game Based Learning, que sensibilizan a los usuarios sobre buenos hábitos en seguridad de la información de una forma más amena y divertida. 


El personaje principal de nuestros Videojuegos es Sury, quien protagoniza también todos nuestros Videos, brindando así al usuario una experiencia homogénea y un sentido de pertenencia


Dashboard del usuario final

Se trata de la página principal del usuario final, que a través de un diseño moderno y atractivo brinda al usuario un resumen del programa de concientización.

En su Dashboard, el usuario puede visualizar de manera sencilla sus Insignias de Gamificación y conocer el detalle de cada una de ellas. Además, mediante Avatares, puede expresar su identidad de manera divertida, añadiendo frescura y diversidad a la plataforma.

A su vez, en esta sección el usuario encontrará todas sus actividades pendientes, disponibles y finalizadas, según las configuraciones administrativas.



Nueva versión, misma esencia

SMARTFENSE fue, es y será la plataforma de concientización que genera hábitos seguros en los usuarios finales. 

Los años de trayectoria de nuestro equipo específicos en concientización nos brindan la experiencia necesaria para brindar a nuestros clientes resultados reales, apoyados en la madurez de nuestra herramienta, su flexibilidad, contenidos y componentes. 

En un contexto donde cada vez más corporaciones intentan ingresar al mercado de la concientización con herramientas creadas desde cero y sin más experiencia que la propia, es indispensable considerar con cuidado con quién y con qué solución gestionar el riesgo de ciberseguridad más relevante de la última década.

Desde SMARTFENSE confiamos en ser la elección adecuada.


Seguimos adelante

Con las bases sentadas en estos últimos años, el 2022 seguramente vea llegar la versión 4 de nuestra plataforma. 

El foco en este caso estará en las Herramientas de Simulación, con el objetivo de enriquecerlas añadiendo variedad de opciones, configuraciones y nuevos tipos de ataque.

Además, habrá novedades importantes en cuanto al cumplimiento normativo, con el lanzamiento de un nuevo componente de Gestión de normativas y de consentimiento.

Leer Más

jueves, 20 de enero de 2022

Privacidad de datos y el futuro de los negocios: cómo las empresas pueden priorizar la privacidad

Privacidad de datos y el futuro de los negocios: cómo las empresas pueden priorizar la privacidad


En la actualidad, las organizaciones buscan constantemente nuevas formas de tomar decisiones basadas en datos reales de sus clientes. En este contexto, la relevancia del Big Data es tal, que su mercado global tendrá un valor de casi $235 mil millones para 2026.

Ahora bien, este acceso a los datos de los clientes conlleva una gran responsabilidad. Y desafortunadamente, a los ojos de muchos consumidores, las empresas no están haciendo todo lo posible para asegurarse de que sus datos se utilicen de forma segura y con los estándares más altos de privacidad en mente.


La semana internacional de la privacidad de datos 

Desde el año 2008 se celebra en enero el día internacional de la privacidad de datos. Esta vez, en 2022, la propuesta se extiende para pasar de ser un día a una semana, dejando entrever la relevancia que la privacidad de datos está cobrando en nuestro día a día.



En el contexto de este primer Data Privacy Week nos encontramos con estadísticas como las del Centro de Investigación Pew, donde se relevó que el 79% de los adultos estadounidenses afirman estar preocupados por la forma en que las empresas utilizan sus datos. 

Esta preocupación debe ser bienvenida por las organizaciones. Y es que respetar la privacidad de los consumidores es una estrategia inteligente para inspirar confianza y mejorar la reputación y el crecimiento del negocio.

Para esto, las organizaciones deben ser abiertas y honestas acerca de qué significa la privacidad para ellas. Deben mencionar cómo recopilan, usan y comparten la información personal de sus clientes y los pasos que siguen para lograr y mantener la privacidad de cada uno. 


Una semana de introspectiva

La semana de la privacidad es un buen momento para realizar una evaluación de las prácticas de recopilación de datos de nuestras organizaciones. Ya sea que operemos de manera local, nacional o global, debemos comprender qué leyes y regulaciones de privacidad se aplican a nuestro negocio. 


A partir de aquí, debemos seguir las medidas de seguridad razonables para mantener la información personal de nuestros clientes a salvo del acceso inapropiado y no autorizado. Además, debemos asegurarnos de que los datos personales que recopilemos se procesen de manera justa y sólo para fines relevantes y legítimos.


Priorizar la ciberseguridad de terceros 

Si un tercero brinda servicios en nombre de nuestra organización, también somos responsables de cómo recopila y usa la información personal de nuestros consumidores.  

Las infracciones de terceros pueden ser tan graves como si nuestra organización fuera atacada directamente. Por lo tanto, es necesario contar con una lista de verificación rigurosa para garantizar que nuestros partners tomen la seguridad cibernética y la privacidad de los datos tan en serio como nosotros. Aquí hay algunas preguntas que podemos hacer para comenzar:

  • ¿Su empresa contrata una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos?
  • ¿Tiene su empresa una política de evaluación previa al empleo para empleados y contratistas?
  • ¿Se revisan, conservan y purgan los archivos y registros de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?


Adoptar un marco de privacidad

Conocer los riesgos a los que se enfrenta nuestra organización en materia de privacidad es fundamental para asegurarnos de que los datos personales se mantengan y utilicen de forma segura.

Sin embargo, solo el 57 por ciento de las empresas realizaron una evaluación de riesgos de seguridad de datos en 2020.  

Investigar y adoptar un marco de privacidad puede ayudarnos a gestionar el riesgo y crear una cultura segura en nuestra organización al incorporar la privacidad en nuestro negocio. Por supuesto, hay muchos tipos diferentes de frameworks y algunos pueden funcionar mejor para algunas empresas que para otras. Sin embargo, los siguientes recursos pueden ser útiles para tener una idea de dónde empezar: NIST Privacy Framework, AICPA Privacy Management Framework, ISO/IEC 27701 - International Standard for Privacy Information Management


Concienciar a los empleados

Las campañas continuas de concienciación son imprescindibles para las organizaciones de la actualidad, más ahora que el mundo digital se ve cada vez más impulsado por el trabajo remoto. Por fortuna, cada vez son más las empresas que fortalecen la capa más importante de su seguridad. 

El éxito de la privacidad de datos depende de la capacidad de cada organización para crear una cultura que priorice la privacidad. Un entorno así, se desarrolla concienciando a los empleados sobre su función y obligaciones para proteger la información personal.


Ideas finales 

Las personas se preocupan por cuidar su privacidad. Se puede ver en los constantes reclamos frente a gigantes como Meta y Google y los procedimientos legales a los que son sometidos. Tomemos entonces el lugar de nuestros clientes y pensemos: Nuestra organización, ¿les brinda un nivel aceptable de privacidad? ¿Pueden sentirse cómodos en la manera en la que sus datos son manejados por nuestros procedimientos internos?

El 2021 fue otro año decisivo en términos de uso de datos personales. Y es probable que en 2022 lo sea en mayor medida. Por lo tanto, es imperativo que las organizaciones den lo mejor de sí en lo que respecta a la privacidad de los datos.

Aprovechemos esta semana de la privacidad para pensar en todas estas cuestiones e impulsar avances significativos en el desarrollo de mejores hábitos de privacidad en nuestras organizaciones.

Leer Más

lunes, 20 de diciembre de 2021

Nueva imagen de SMARTFENSE

Nueva imagen de SMARTFENSE



Allá por 2015, ya hace más de 6 años, decidimos con Fenando y Mauro elegir una imagen de empresa. En ese momento fue difícil ya que siendo de una ciudad pequeña, las agencias de marketing y diseño a las que teníamos acceso eran tan reducidas como nuestro presupuesto.

Luego de varios intentos llegamos al logo, una imagen que esté dentro del ámbito de la seguridad de la información (escudo) y colores que expresaran tranquilidad (principalmente el azul). El escudo elegido fue del estilo espartano, redondo y con la letra griega Lambda (Λ) en su interior.



En ese momento, intentamos transmitir un efecto tridimensional a través de las luces y sombras, algo que luego nos iba a pesar como decisión de diseño…

Y así fue, que durante todos estos años logramos posicionarnos en los distintos mercados objetivo con nuestra marca y logo, pero también sufriendo cada vez que lo teníamos que usar porque la gente lo veía más como un botón que como un escudo, pero también por las sombras independientes. Ni que mencionar cuando se ponía sobre un fondo oscuro…

Fueron Nicolás y Evangelina, quienes estaban encargados de colocar este logo en los distintos lugares los que propusieron realizar un rediseño del mismo. Algo más fácil de usar, pero que mantenga la esencia.

Nueva imagen, misma esencia

Ya con una empresa más globalizada y con mayores recursos, pudimos acceder a agencias de diseño más adecuadas a nuestra evolución y estado presente. Con directivas de simplificar pero con cierta reminiscencia, luego de pasar por un proceso agónico, pudimos lograr un logo que satisfaga los deseos tanto de socios como de quienes propusieron el cambio.

El resultado es un logo monocolor tanto en el isologotipo como en el texto, con un color azul/celeste diferente, similar al anterior y con líneas mucho más abstractas.

Nosotros sabemos que sigue siendo un escudo espartano y tal vez algunos más también (¡al menos tú que lo lees ahora!), pero lo importante es que se logró la reminiscencia mínima y se evolucionó a un logo más usable, y esperamos, más recordable.

Pero el color predominante es el que no se ve: el blanco.

Eso se debe a que el isologotipo previo tenía además de varios colores, un color negro en el escudo, que además se repite en las letras y en las sombras. Así que todo eso fue eliminado para que EL color sea el blanco realmente.



¿Qué buscamos con el blanco?

Claridad y simpleza.

Somos los fabricantes monoproducto de una plataforma SaaS de concienciación en seguridad de la información para usuarios finales.

Nada más, nada menos.

Es lo que fuimos desde el inicio y lo que seremos.

No hacemos otra cosa y lo que hacemos lo hacemos con pasión y dedicación máxima. Enfocados en evolucionar la solución de forma constante a partir de las necesidades de nuestros partners y clientes. Si bien este cambio de logo viene acompañado por la versión 3 de nuestra plataforma, en esencia sigue siendo lo mismo, pero con más componentes que contribuyen a seguir logrando que los usuarios adquieran hábitos seguros y por lo tanto se disminuyan los incidentes de ciberseguridad.

Esto no quita que no innovemos, pero somos una empresa conocida por la ejecución eficaz más que por el pivoteo constante de innovación. Lo sabemos y estamos orgullosos de que así sea. En este 2022 se viene una oleada de innovación en el producto gracias a un equipo de desarrollo fortalecido, pero siempre con los pies en la tierra, apuntando a mejorar las bases y mejorando la experiencia de los más de 250 clientes actuales.

Esperamos que este nuevo logo les guste y pueda expresar lo que somos y seremos.
Leer Más

martes, 9 de noviembre de 2021

¿Un año concienciando? ¡Listo!

¿Un año concienciando? ¡Listo!



Supongamos que llegamos a una organización sin herramientas tecnológicas de protección. Comenzamos pues con la instalación de herramientas Antivirus, Antispam, Firewall, IDS/IPS, DLP, etc. Luego de un año de ardua dedicación, implementando, configurando y manteniendo las herramientas, llegamos al nivel de seguridad deseado. Y abandonamos todo. No realizamos más mantenimiento a ninguna herramienta, suspendemos las actualizaciones, dejamos de pagar las licencias de software, e incluso reducimos los equipos. Nos olvidamos de su existencia.

¿Suena inteligente?


Igual de buena es la idea de ejecutar un programa de concienciación, llevar el nivel de riesgo de la organización a un punto aceptable, aportar valor a las personas de nuestra organización, y luego de un año, dar por finalizada la gestión.

Veamos por qué:

Gestión de riesgos

Mediante la concienciación se gestiona uno de los principales riesgos de ciberseguridad que enfrentan las organizaciones: la ingeniería social.

Prácticamente todos los informes de la última década mencionan al Phishing como la puerta de entrada de más del 90% de los ciberataques. No importa la región a la que haga referencia el informe, tampoco la organización que lo desarrolle, ni el año que analice. El Phishing es el problema principal.

Si las herramientas tecnológicas son cada día más eficientes, sus técnicas más elaboradas (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection), e incluso hacen uso de Machine Learning, ¿por qué el problema se mantiene o crece año a año?

Los ciberdelincuentes van directo a las personas, y saltan de esta manera las medidas de protección tecnológicas. Este riesgo existe, está sucediendo y es peligroso. Los costos tecnológicos y de negocio que las organizaciones pueden sufrir por un ataque de ingeniería social son suficientes como para interrumpir su funcionamiento y hasta provocar su quiebra.

¿Y cómo gestionamos un riesgo así?

Como gestionamos todos los riesgos. Hay que medir el nivel de exposición actual y realizar acciones para llevarlo a un nivel deseado. Una vez allí, debemos seguir midiendo y manteniendo en ese punto deseado de manera continua. Para esto sirve exactamente un programa de concienciación.

Si lo llevas a cabo un tiempo y luego lo dejas, ¿cómo sabes cuál es el nivel de exposición actual de tu organización frente a un ataque de ingeniería social? ¿Cómo lo mantienes bajo? ¿Qué acciones puedes tomar respecto a las personas con scoring de riesgo elevado? ¿Dónde queda la inversión realizada en el período donde sí concienciaste?



Cultura segura

Cuando concienciamos, uno de los objetivos estratégicos principales del programa es desarrollar una cultura segura dentro de la organización.

¿Qué significa esto?

Una cultura segura es aquella donde los usuarios encuentran en la seguridad un valor agregado para su vida personal y corporativa. El área de ciberseguridad aporta información útil y el usuario la reconoce como tal, teniendo en cuenta los aspectos de seguridad en su día a día (tanto dentro como fuera de la organización). La persona demuestra hábitos seguros en sus pequeños accionares diarios, como reportar correos sospechosos, no descargar archivos inesperados, utilizar contraseñas fuertes o doble factor de autenticación, bloquear la pantalla antes de levantarse del escritorio, y un largo etcétera.

¿Cómo se logra?

Transmitiendo contenidos de calidad a través de diferentes medios (Videos, Videojuegos, Módulos Interactivos,etc.), actualizados, centrados en el refuerzo positivo y en el aporte de valor a la persona.

¿Cómo se mide?

De manera objetiva, a través de la evaluación de los comportamientos de los usuarios (mediante herramientas de simulación) y de sus conocimientos y opiniones (exámenes y encuestas).

Para lograr un cambio de cultura es necesario construir sobre el cambio, establecer procesos de mejora continua, y anclar los cambios en la cultura organizacional.

¿Cuánto se tarda?

No debemos ver a la cultura segura como un proyecto a lograr en cierto período de tiempo. Una cultura segura se desarrolla y se mantiene todos los días. Y esto en gran medida tiene que ver con el hecho de que estamos trabajando con personas:
  • Los miembros del equipo van cambiando, hay rotación, y nuevos empleados también requieren ser concienciados.
  • Las personas olvidan conceptos aprendidos y pierden hábitos si no se le refuerzan
  • Sin estímulos, las personas no permanecen atentas a los riesgos

Entonces, al igual que un riesgo se debe gestionar de manera continua, una cultura segura se debe mantener día a día.

Actualización

Volviendo a pensar en el ejemplo inicial: ¿Por qué actualizamos las soluciones tecnológicas de la organización? Porque el Malware evoluciona, las técnicas de evasión mejoran, se descubren nuevas vulnerabilidades, etc.

¿Por qué entonces no mantener siempre actualizada a la capa humana?



Es la capa más atacada por los ciberdelincuentes. ¿No debería ser acaso la capa más fuerte? Depende de nosotros.

Los ciberdelincuentes son originales, inteligentes y realmente creativos. Además, están altamente motivados porque ven resultados muy lucrativos. Los usuarios deben estar al tanto de todas las novedades sobre ellos, para detectar engaños y prevenir problemas de seguridad.

Regulaciones y Normativas

Actualmente múltiples normativas exigen concientizar a los usuarios, y no por única vez. Además, las mismas normativas se actualizan y modifican con el tiempo, y es necesario adaptarse para seguir dando cumplimiento.

Imagen del área de seguridad

La concienciación tiene el poder de mejorar la imagen que los usuarios tienen del área de ciberseguridad de la organización. Los usuarios dejan de percibir a los controles como trabas en su trabajo diario y encuentran un aliado en la imagen del CISO y su área, tanto para su vida personal y laboral.

Si luego de un período de concienciación las acciones cesan bruscamente, la imagen del área va a decaer, ya que hizo algo apreciado por las personas y luego se abandonó. Habrá personas esperando una frecuencia en la comunicación y con el tiempo se olvidarán de la ayuda que encontraron en el área.

Ideas finales

Los riesgos existen porque los factores que los provocan están fuera de nuestro control directo y tienen cierta probabilidad de ocurrir.

La decisión de actuar sobre uno de los riesgos más relevantes en la ciberseguridad mediante un proceso de Hardening de Usuarios es, hoy más que nunca, un punto infaltable en nuestra estrategia de seguridad.

Pero no perdamos de vista el problema que estamos enfrentando. Si concienciamos un año, dos, o tres, y luego abandonamos el proceso, los factores de riesgo van a seguir ahí, y la probabilidad de afectar a nuestra organización va a aumentar a medida que las acciones que realizamos se vayan diluyendo con el tiempo.

¿Has concienciado un año y dado por finalizado el problema? ¡Felicitaciones! Ya no gestionas el principal riesgo de ciberseguridad y pronto tu organización será víctima de Phishing (o quizás ya lo es).
Leer Más

martes, 5 de octubre de 2021

Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50

Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50



En octubre del año 2003 el National Institute of Standards and Technology (NIST) lanzó la publicación NIST Special Publication 800-50, Building An Information Technology Security Awareness and Training Program. Este documento pretende ser una guía para construir un programa efectivo de concientización y entrenamiento en seguridad informática para agencias federales de Estados Unidos. De todas maneras, también puede ser utilizado por otro tipo de organizaciones, en otros países.

A casi 20 años de su lanzamiento, mucho ha cambiado en el ámbito de las tecnologías y la ciberseguridad, y en nuestras vidas en general. Creemos que es momento de revisar algunos de sus lineamientos a la luz del presente.

Estructura

La guía identifica cuatro pasos críticos en el ciclo de vida de un programa de concientización y entrenamiento:

  • Diseño del programa: Se conduce un relevamiento dentro de la organización y, a partir de su resultado, se desarrolla y aprueba la estrategia a seguir durante el programa, alineada a la misión de la organización.
  • Desarrollo del material: Se evalúa el alcance del entrenamiento deseado, el contenido necesario para cubrirlo y las posibles fuentes para desarrollarlo.
  • Implementación del programa: Se comunica y lanza el programa de concientización y entrenamiento, a través de los medios definidos en la estrategia.
  • Post implementación: Se busca mantener una ejecución continua del programa y monitorear su efectividad.

Alcance

Si bien la publicación que estamos analizando suele ser vista como un estándar para el desarrollo de un programa de concientización, en realidad su objetivo es más amplio y considera también:

  • Educación puntual de los usuarios técnicos relacionados al área de tecnología
  • Entrenamiento especial en seguridad para desarrollar habilidades específicas para distintos roles funcionales dentro de la organización.
  • Desarrollo de profesionales especialistas en seguridad informática


Figure 2-1: The IT Security Learning Continuum

Modelos de implementación

La guía discute también tres modelos comunes (para la época) de implementar un programa de concientización y entrenamiento:

  • Centralizado: Toda la responsabilidad recae en una autoridad central, por ejemplo el CIO.
  • Parcialmente descentralizado: La autoridad central se ocupa de desarrollar una política y una estrategia de implementación. La implementación se distribuye entre distintas áreas funcionales.
  • Totalmente descentralizado: La autoridad central únicamente desarrolla una política, pero la estrategia y la implementación recae en distintas áreas funcionales.
Nótese que aquí se menciona al CIO como posible autoridad central de un programa de concientización en ciberseguridad. Por aquel entonces (año 2003), el rol del CISO prácticamente no existía. A la fecha de redacción de este post, ya se habla incluso de un puesto específico encargado del programa de Security Awareness en la organización. Esto da pie a la siguiente sección de este post:

Cambios y continuidades

Al tratarse de una guía redactada en 2003, debemos tomar con cuidado la información que nos brinda.

Concepto de Concientización

Según la guía, la concientización no es más que entregar información a los usuarios. Decirles qué hacer, y qué no. Enfocado 100% a dar cumplimiento a normativas y 0% enfocado en cambiar hábitos y desarrollar una cultura segura.

Sólo se menciona que el usuario conozca manuales, procedimientos, políticas. Pero no se habla de que el usuario comprenda por qué le conviene saber esto, cuáles son sus beneficios en su vida laboral y ni hablar de su vida personal. Tampoco se comenta que la concientización tenga efecto alguno más allá de la organización.

De hecho, no se habla en ningún momento del desarrollo de hábitos seguros para la vida de la persona en el uso de la tecnología. Lo más cercano a esto, y que sin embargo sigue siendo muy lejano, es la mención del entrenamiento como concepto independiente a la concientización orientado a desarrollar habilidades en las personas.

En un contexto actual donde ya se comienza a hablar incluso de Awareness Management Systems, debemos ser muy cuidadosos en seguir estas directivas, que han dejado de ser útiles en el ámbito corporativo cuando el concepto de perímetro de la organización prácticamente desapareció.


Ejemplo de un póster de concientización propuesto por la guía. ¿Crees que un usuario actual de tu organización se detendría siquiera a leerlo?

Contenidos de Concientización

La guía propone el desarrollo desde cero del material de concientización: Un trabajo faraónico, tan grande como innecesario.

Si bien se menciona la posibilidad de adquirir o tomar como base contenidos de otras organizaciones proveedoras, no se habla de la opción que hoy en día es la más recomendable: utilizar una plataforma SaaS con contenidos predefinidos (y editables) listos para utilizar, con una política de actualización constante.

Simulaciones

Una nueva alarma para encender si nos basamos en esta guía: el documento no se explaya acerca de las distintas maneras de medir el estado de la capa humana de la organización, siendo el punto de referencia a la hora de comenzar un programa de concientización y demostrar su efectividad.

En la actualidad, guiar un programa de concientización sin apoyarnos en las métricas que arrojan las simulaciones de Phishing y de Ransomware, las cuales reflejan el comportamiento de los usuarios de nuestra organización, es prácticamente como navegar sin siquiera una brújula.

Modelos de implementación

En la guía no existe uno de los modelos de implementación más utilizados hoy, donde el CISO o encargado del plan de concientización se ocupa de la parte estratégica del plan y en general, delega la parte operativa en un partner integrador, quien brinda un servicio de valor agregado.

Conclusiones

Cada día más estamos convencidos acerca de la importancia de la concientización en la seguridad de la información. Es interesante que esta guía sea actualmente un punto de referencia para muchas personas que desarrollan un programa de awareness.


Si bien la información brindada por la guía es muy interesante, necesita por un lado ser actualizada, y por el otro, mantenerse al día con una frecuencia suficiente como para llegar a ser una publicación de referencia a la hora de llevar adelante nuestros planes de concientización.

Por suerte, la actualización ya está cerca, y de seguro será motivo para un nuevo análisis.
Leer Más