SMARTFENSE apesta, episodio I

Objetivos concretos, resultados ¿reales?

Las plataformas de concientización (AMS) existen para asistir a las organizaciones en objetivos concretos:

• Generar conciencia en los usuarios
• Generar hábitos seguros y, a través de ellos, generar una cultura segura

SMARTFENSE, desde su fundación, se ha pensado y desarrollado para que las organizaciones puedan alcanzar estos objetivos en su totalidad, de manera homogénea.

Cuando el objetivo principal de una organización es únicamente generar hábitos seguros, hablamos de un programa de Security Awareness.

En cambio, cuando el objetivo va más allá, y también se desea generar hábitos seguros en los usuarios, y en última instancia desarrollar una cultura segura en la organización hablamos de un Security Behavior and Culture Program (SBCP).

En ambos casos, y como consecuencia de los objetivos mencionados, se da cumplimiento a diferentes normativas.

Un aspecto clave para alcanzar estos objetivos, son los contenidos de concientización. No todos los contenidos tienen la capacidad de causar cambios reales, y no todas las plataformas pueden crear un entorno donde esto sea posible.

Contenidos de SMARTFENSE

Los contenidos de SMARTFENSE están creados tanto para generar conciencia como para lograr un cambio de hábito real en los usuarios. Para esto se siguen diversas técnicas como design thinking y refuerzo positivo (derivado de la teoría de Nudges), entre muchas otras. Pensamos nuestro desarrollo de contenidos con una mentalidad de Marketing más que con un enfoque tradicional de concientización.

Esto permite que los usuarios tengan una experiencia de calidad con nuestros contenidos y nuestra plataforma, favoreciendo su engagement. El usuario percibe cuándo un contenido realmente busca aportar un valor en su vida laboral y personal, y aumenta su recepción, lo que en definitiva lleva a desarrollar o consolidar cierto hábito seguro.

Contenidos 100% customizables (y estropeables)

SMARTFENSE es muy probablemente la plataforma de concientización más flexible disponible en el mercado. Esto brinda muchas ventajas. Aquellas específicas relacionadas con los contenidos de concientización son, entre otras:

• Generar contenido contextualizado para la organización
• Utilizar la imagen corporativa de la organización
• Responder de manera rápida frente a situaciones particulares, como por ejemplo generar una simulación de Phishing a partir de un ataque real recibido en la organización.

Este grado de flexibilidad, a veces, se combina con administradores que tienen un objetivo muy acotado para su programa de concientización: cumplir normativas.

Solo eso.

No les interesa generar conciencia, menos aún hábitos seguros, y ni hablar de culturas seguras.

De esta combinación, nace el episodio 1 de SMARTFENSE apesta.

El lado oscuro de la flexibilidad

Timbre en reparación, toque el pollo.

Uno de los puntos específicos que consideramos en SMARTFENSE a la hora de desarrollar cada contenido es cuánto tiempo va a requerir al usuario para completarlo. Para esto, manejamos tiempos desde 1 minuto a 12 minutos, dependiendo los componentes involucrados:

• Videos
• Videojuegos
• Módulos Interactivos
• Newsletters
• Exámenes
• Encuestas
• Momentos educativos

El problema aquí es que muchos usuarios administrativos aprovechan la flexibilidad de SMARTFENSE para crear, por ejemplo, Módulos Interactivos personalizados de más de 100 slides, combinando diferentes tópicos, y creando así contenidos que llevan más de una hora para ser completados.

¿Por qué motivo hacen esto los administradores? Porque, como dijimos, quieren dar cumplimiento, y no les interesa nada más. Y lo logran (con un porcentaje muy bajo de usuarios). Y además, logran otras cosas, todas ellas negativas:

• Echar por la borda cualquier tipo de engagement que el usuario pueda tener con la plataforma.
• Predisponer negativamente al usuario y crear un ambiente negativo contraproducente para el aprendizaje.
• Anular la capacidad del contenido de crear un cambio real en el comportamiento o nivel de conciencia del usuario, y por ende, en la cultura organizacional.

Maneras de empeorar esta situación

Siempre puede ser peor.

Existen casos donde los Módulos Interactivos incluyen Exámenes enormes, donde a través de 50 o más preguntas se trata de evaluar al usuario respecto al contenido nefasto que le asignaron.

Otro caso por ejemplo tiene que ver con organizaciones que no toman a la concientización como un proceso de mejora continua.

Previamente mencionamos los objetivos que realmente debe tener un programa de concientización. Y en definitiva el resultado que se persigue con ellos - la misión, si queremos hablar en términos estratégicos - es disminuir el riesgo de que se haga efectivo un ataque de ingeniería social en la organización. Dicho en otras palabras, gestionar el riesgo de la ingeniería social.

Los riesgos no se gestionan 3 meses, o 1 año. Se gestionan de manera continua, para poder mantenerlos en un nivel aceptable para la organización.

Muchas organizaciones sin embargo, ven a la concientización como un proyecto de corta duración, enfocado en generar una habilidad o conocimiento puntuales. Esto tiene diversas causas. Una muy común es que en algunos países existen subsidios/subvenciones para empresas que, para ser efectivos, piden que un período de tiempo muy corto (2 o 3 meses) se lance un curso de muchas horas (más de 20).

Por querer calificar para este beneficio económico, aprovechan la flexibilidad de la plataforma para transformarla de AMS a LMS (Learning Management System) y brindar cursos, lo cual no es el objetivo - ni de cerca - de una plataforma de concientización.

Nota: Al día de la publicación de este post tenemos en SMARTFENSE más de 300 clientes. Los casos presentados son reales, pero a su vez no son todos los que detectamos, ya que de lo contrario, este post sería largo como contenido de CISO que solo quiere cumplir.

Ideas finales

Es fácil dejarse llevar por las libertades que una herramienta puede proveer. Por eso, de la misma manera que debemos pensar dos veces antes de hacer clic, podemos pensar dos veces antes de editar un contenido.

• ¿Qué queremos lograr con la edición?
• ¿Realmente es bueno para el usuario final?
• ¿Ayuda a que alcancemos de mejor manera los objetivos de nuestro programa de concientización?

Este es el primer episodio de una serie de posts sobre malos usos de SMARTFENSE. ¿Te gustaría conocer más al respecto? ¡Seguinos en nuestras redes para no perderte ninguna novedad!

Leer Más

Calidad humana y técnica: SMARTFENSE 3.0

 

El 18 de diciembre de 2021 se lanzó la versión 3.0 Beta de SMARTFENSE. Casualmente, había sido un día 18 también, pero de agosto del 2018, cuando habíamos lanzado la 2.0.

Tres años y medio pasaron, y con ellos, incontables horas de gestión, análisis, diseño, desarrollo, pruebas y despliegues.

Las bases del cambio

Como siempre se dice y con razón, los cimientos son lo más importante, y por eso gran parte del esfuerzo se dedicó a cosas que quizá no se ven, pero están y se notan. Como por ejemplo:

• actualización de Frameworks y lenguaje de desarrollo, 
• mejoras de seguridad, 
• automatización de pruebas,
• etc.

La aparición de clientes con más de 100.000 usuarios motivaron también el trabajo en la escalabilidad de la plataforma y promovieron nuevas integraciones. Esto último llevó a la creación de numerosas APIs que permiten el consumo de datos de SMARTFENSE desde cualquier sistema y el desarrollo de integraciones específicas, como la Integración con LMS a través de paquetes SCORM.

KPIs como la disminución de cantidad de problemas conocidos, aumento de cobertura de tests unitarios, niveles de performance en pruebas de estrés, fueron personajes principales del camino a la versión 3.0.

Todo lo mencionado no impidió mantener el foco en resolver las necesidades puntuales de nuestros partners y clientes para favorecer a la generación de hábitos seguros en los usuarios de manera eficaz en el mundo particular de cada organización.

Lo que sí se puede ver

En este orden de ideas, la versión 3.0 se enfocó, dentro de la parte tangible, en brindar nuevas herramientas, que en complemento con las existentes, mejoren la eficiencia en la gestión del principal riesgo de ciberseguridad de la última década, la Ingeniería Social, y permitan desarrollar y mantener una cultura segura dentro de la organización con mayor eficacia. 

Para esto, nos centramos en dos actores clave de nuestra plataforma, el usuario administrativo y el usuario final.

Scoring de riesgo

Para el usuario administrativo, la funcionalidad principal que se añadió es el cálculo de Scoring de Riesgo de los usuarios y agrupaciones de la organización. Este Scoring permite tomar decisiones de gestión del riesgo de manera más sencilla y directa,  posibilitando visualizar de manera cuantitativa el grado de exposición de la organización.

Interfaz renovada

El usuario administrativo podrá observar también una interfaz renovada acorde con la nueva imagen de SMARTFENSE. Este cambio, si bien se percibe únicamente como estético, trae consigo la actualización de una gran cantidad de componentes. Además, se optimiza la disposición de elementos en diferentes vistas y se brinda una experiencia más homogénea al usuario.

Gamificación y Videojuegos

Para el usuario final se añadieron técnicas de diseño y elementos propios de juegos, con el objetivo de aumentar sus niveles de motivación y atraer y retener su atención en los contenidos brindados.

Para esto, se sumó el concepto de Badges o Insignias dentro de la plataforma. Una representación gráfica de un mérito o logro obtenido por el usuario, que sirven así como reconocimiento de importante poder simbólico, alentando su continuidad y sirviendo de guía.

Además, sumamos campañas de ¡Videojuegos!, creados y diseñados por nuestro equipo de Contenidos en conjunto con expertos en Game Based Learning, que sensibilizan a los usuarios sobre buenos hábitos en seguridad de la información de una forma más amena y divertida. 

El personaje principal de nuestros Videojuegos es Sury, quien protagoniza también todos nuestros Videos, brindando así al usuario una experiencia homogénea y un sentido de pertenencia. 

Dashboard del usuario final

Se trata de la página principal del usuario final, que a través de un diseño moderno y atractivo brinda al usuario un resumen del programa de concientización.

En su Dashboard, el usuario puede visualizar de manera sencilla sus Insignias de Gamificación y conocer el detalle de cada una de ellas. Además, mediante Avatares, puede expresar su identidad de manera divertida, añadiendo frescura y diversidad a la plataforma.

A su vez, en esta sección el usuario encontrará todas sus actividades pendientes, disponibles y finalizadas, según las configuraciones administrativas.

Nueva versión, misma esencia

SMARTFENSE fue, es y será la plataforma de concientización que genera hábitos seguros en los usuarios finales. 

Los años de trayectoria de nuestro equipo específicos en concientización nos brindan la experiencia necesaria para brindar a nuestros clientes resultados reales, apoyados en la madurez de nuestra herramienta, su flexibilidad, contenidos y componentes. 

En un contexto donde cada vez más corporaciones intentan ingresar al mercado de la concientización con herramientas creadas desde cero y sin más experiencia que la propia, es indispensable considerar con cuidado con quién y con qué solución gestionar el riesgo de ciberseguridad más relevante de la última década.

Desde SMARTFENSE confiamos en ser la elección adecuada.

Seguimos adelante

Con las bases sentadas en estos últimos años, el 2022 seguramente vea llegar la versión 4 de nuestra plataforma. 

El foco en este caso estará en las Herramientas de Simulación, con el objetivo de enriquecerlas añadiendo variedad de opciones, configuraciones y nuevos tipos de ataque.

Además, habrá novedades importantes en cuanto al cumplimiento normativo, con el lanzamiento de un nuevo componente de Gestión de normativas y de consentimiento.

Leer Más

Privacidad de datos y el futuro de los negocios: cómo las empresas pueden priorizar la privacidad

En la actualidad, las organizaciones buscan constantemente nuevas formas de tomar decisiones basadas en datos reales de sus clientes. En este contexto, la relevancia del Big Data es tal, que su mercado global tendrá un valor de casi $235 mil millones para 2026.

Ahora bien, este acceso a los datos de los clientes conlleva una gran responsabilidad. Y desafortunadamente, a los ojos de muchos consumidores, las empresas no están haciendo todo lo posible para asegurarse de que sus datos se utilicen de forma segura y con los estándares más altos de privacidad en mente.

La semana internacional de la privacidad de datos 

Desde el año 2008 se celebra en enero el día internacional de la privacidad de datos. Esta vez, en 2022, la propuesta se extiende para pasar de ser un día a una semana, dejando entrever la relevancia que la privacidad de datos está cobrando en nuestro día a día.

En el contexto de este primer Data Privacy Week nos encontramos con estadísticas como las del Centro de Investigación Pew, donde se relevó que el 79% de los adultos estadounidenses afirman estar preocupados por la forma en que las empresas utilizan sus datos. 

Esta preocupación debe ser bienvenida por las organizaciones. Y es que respetar la privacidad de los consumidores es una estrategia inteligente para inspirar confianza y mejorar la reputación y el crecimiento del negocio.

Para esto, las organizaciones deben ser abiertas y honestas acerca de qué significa la privacidad para ellas. Deben mencionar cómo recopilan, usan y comparten la información personal de sus clientes y los pasos que siguen para lograr y mantener la privacidad de cada uno. 

Una semana de introspectiva

La semana de la privacidad es un buen momento para realizar una evaluación de las prácticas de recopilación de datos de nuestras organizaciones. Ya sea que operemos de manera local, nacional o global, debemos comprender qué leyes y regulaciones de privacidad se aplican a nuestro negocio. 

A partir de aquí, debemos seguir las medidas de seguridad razonables para mantener la información personal de nuestros clientes a salvo del acceso inapropiado y no autorizado. Además, debemos asegurarnos de que los datos personales que recopilemos se procesen de manera justa y sólo para fines relevantes y legítimos.

Priorizar la ciberseguridad de terceros 

Si un tercero brinda servicios en nombre de nuestra organización, también somos responsables de cómo recopila y usa la información personal de nuestros consumidores.  

Las infracciones de terceros pueden ser tan graves como si nuestra organización fuera atacada directamente. Por lo tanto, es necesario contar con una lista de verificación rigurosa para garantizar que nuestros partners tomen la seguridad cibernética y la privacidad de los datos tan en serio como nosotros. Aquí hay algunas preguntas que podemos hacer para comenzar:

• ¿Su empresa contrata una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos?
• ¿Tiene su empresa una política de evaluación previa al empleo para empleados y contratistas?
• ¿Se revisan, conservan y purgan los archivos y registros de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?

Adoptar un marco de privacidad

Conocer los riesgos a los que se enfrenta nuestra organización en materia de privacidad es fundamental para asegurarnos de que los datos personales se mantengan y utilicen de forma segura.

Sin embargo, solo el 57 por ciento de las empresas realizaron una evaluación de riesgos de seguridad de datos en 2020.  

Investigar y adoptar un marco de privacidad puede ayudarnos a gestionar el riesgo y crear una cultura segura en nuestra organización al incorporar la privacidad en nuestro negocio. Por supuesto, hay muchos tipos diferentes de frameworks y algunos pueden funcionar mejor para algunas empresas que para otras. Sin embargo, los siguientes recursos pueden ser útiles para tener una idea de dónde empezar: NIST Privacy Framework, AICPA Privacy Management Framework, ISO/IEC 27701 - International Standard for Privacy Information Management. 

Concienciar a los empleados

Las campañas continuas de concienciación son imprescindibles para las organizaciones de la actualidad, más ahora que el mundo digital se ve cada vez más impulsado por el trabajo remoto. Por fortuna, cada vez son más las empresas que fortalecen la capa más importante de su seguridad. 

El éxito de la privacidad de datos depende de la capacidad de cada organización para crear una cultura que priorice la privacidad. Un entorno así, se desarrolla concienciando a los empleados sobre su función y obligaciones para proteger la información personal.

Ideas finales 

Las personas se preocupan por cuidar su privacidad. Se puede ver en los constantes reclamos frente a gigantes como Meta y Google y los procedimientos legales a los que son sometidos. Tomemos entonces el lugar de nuestros clientes y pensemos: Nuestra organización, ¿les brinda un nivel aceptable de privacidad? ¿Pueden sentirse cómodos en la manera en la que sus datos son manejados por nuestros procedimientos internos?

El 2021 fue otro año decisivo en términos de uso de datos personales. Y es probable que en 2022 lo sea en mayor medida. Por lo tanto, es imperativo que las organizaciones den lo mejor de sí en lo que respecta a la privacidad de los datos.

Aprovechemos esta semana de la privacidad para pensar en todas estas cuestiones e impulsar avances significativos en el desarrollo de mejores hábitos de privacidad en nuestras organizaciones.

Leer Más

Nueva imagen de SMARTFENSE

Allá por 2015, ya hace más de 6 años, decidimos con Fenando y Mauro elegir una imagen de empresa. En ese momento fue difícil ya que siendo de una ciudad pequeña, las agencias de marketing y diseño a las que teníamos acceso eran tan reducidas como nuestro presupuesto.

Luego de varios intentos llegamos al logo, una imagen que esté dentro del ámbito de la seguridad de la información (escudo) y colores que expresaran tranquilidad (principalmente el azul). El escudo elegido fue del estilo espartano, redondo y con la letra griega Lambda (Λ) en su interior.

En ese momento, intentamos transmitir un efecto tridimensional a través de las luces y sombras, algo que luego nos iba a pesar como decisión de diseño…

Y así fue, que durante todos estos años logramos posicionarnos en los distintos mercados objetivo con nuestra marca y logo, pero también sufriendo cada vez que lo teníamos que usar porque la gente lo veía más como un botón que como un escudo, pero también por las sombras independientes. Ni que mencionar cuando se ponía sobre un fondo oscuro…

Fueron Nicolás y Evangelina, quienes estaban encargados de colocar este logo en los distintos lugares los que propusieron realizar un rediseño del mismo. Algo más fácil de usar, pero que mantenga la esencia.

Nueva imagen, misma esencia

Ya con una empresa más globalizada y con mayores recursos, pudimos acceder a agencias de diseño más adecuadas a nuestra evolución y estado presente. Con directivas de simplificar pero con cierta reminiscencia, luego de pasar por un proceso agónico, pudimos lograr un logo que satisfaga los deseos tanto de socios como de quienes propusieron el cambio.

El resultado es un logo monocolor tanto en el isologotipo como en el texto, con un color azul/celeste diferente, similar al anterior y con líneas mucho más abstractas.

Nosotros sabemos que sigue siendo un escudo espartano y tal vez algunos más también (¡al menos tú que lo lees ahora!), pero lo importante es que se logró la reminiscencia mínima y se evolucionó a un logo más usable, y esperamos, más recordable.

Pero el color predominante es el que no se ve: el blanco.

Eso se debe a que el isologotipo previo tenía además de varios colores, un color negro en el escudo, que además se repite en las letras y en las sombras. Así que todo eso fue eliminado para que EL color sea el blanco realmente.

¿Qué buscamos con el blanco?

Claridad y simpleza.

Somos los fabricantes monoproducto de una plataforma SaaS de concienciación en seguridad de la información para usuarios finales.

Nada más, nada menos.

Es lo que fuimos desde el inicio y lo que seremos.

No hacemos otra cosa y lo que hacemos lo hacemos con pasión y dedicación máxima. Enfocados en evolucionar la solución de forma constante a partir de las necesidades de nuestros partners y clientes. Si bien este cambio de logo viene acompañado por la versión 3 de nuestra plataforma, en esencia sigue siendo lo mismo, pero con más componentes que contribuyen a seguir logrando que los usuarios adquieran hábitos seguros y por lo tanto se disminuyan los incidentes de ciberseguridad.

Esto no quita que no innovemos, pero somos una empresa conocida por la ejecución eficaz más que por el pivoteo constante de innovación. Lo sabemos y estamos orgullosos de que así sea. En este 2022 se viene una oleada de innovación en el producto gracias a un equipo de desarrollo fortalecido, pero siempre con los pies en la tierra, apuntando a mejorar las bases y mejorando la experiencia de los más de 250 clientes actuales.

Esperamos que este nuevo logo les guste y pueda expresar lo que somos y seremos.

Leer Más

¿Un año concienciando? ¡Listo!

Supongamos que llegamos a una organización sin herramientas tecnológicas de protección. Comenzamos pues con la instalación de herramientas Antivirus, Antispam, Firewall, IDS/IPS, DLP, etc. Luego de un año de ardua dedicación, implementando, configurando y manteniendo las herramientas, llegamos al nivel de seguridad deseado. Y abandonamos todo. No realizamos más mantenimiento a ninguna herramienta, suspendemos las actualizaciones, dejamos de pagar las licencias de software, e incluso reducimos los equipos. Nos olvidamos de su existencia.

¿Suena inteligente?

Igual de buena es la idea de ejecutar un programa de concienciación, llevar el nivel de riesgo de la organización a un punto aceptable, aportar valor a las personas de nuestra organización, y luego de un año, dar por finalizada la gestión.

Veamos por qué:

Gestión de riesgos

Mediante la concienciación se gestiona uno de los principales riesgos de ciberseguridad que enfrentan las organizaciones: la ingeniería social.

Prácticamente todos los informes de la última década mencionan al Phishing como la puerta de entrada de más del 90% de los ciberataques. No importa la región a la que haga referencia el informe, tampoco la organización que lo desarrolle, ni el año que analice. El Phishing es el problema principal.

Si las herramientas tecnológicas son cada día más eficientes, sus técnicas más elaboradas (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection), e incluso hacen uso de Machine Learning, ¿por qué el problema se mantiene o crece año a año?

Los ciberdelincuentes van directo a las personas, y saltan de esta manera las medidas de protección tecnológicas. Este riesgo existe, está sucediendo y es peligroso. Los costos tecnológicos y de negocio que las organizaciones pueden sufrir por un ataque de ingeniería social son suficientes como para interrumpir su funcionamiento y hasta provocar su quiebra.

¿Y cómo gestionamos un riesgo así?

Como gestionamos todos los riesgos. Hay que medir el nivel de exposición actual y realizar acciones para llevarlo a un nivel deseado. Una vez allí, debemos seguir midiendo y manteniendo en ese punto deseado de manera continua. Para esto sirve exactamente un programa de concienciación.

Si lo llevas a cabo un tiempo y luego lo dejas, ¿cómo sabes cuál es el nivel de exposición actual de tu organización frente a un ataque de ingeniería social? ¿Cómo lo mantienes bajo? ¿Qué acciones puedes tomar respecto a las personas con scoring de riesgo elevado? ¿Dónde queda la inversión realizada en el período donde sí concienciaste?

Cultura segura

Cuando concienciamos, uno de los objetivos estratégicos principales del programa es desarrollar una cultura segura dentro de la organización.

¿Qué significa esto?

Una cultura segura es aquella donde los usuarios encuentran en la seguridad un valor agregado para su vida personal y corporativa. El área de ciberseguridad aporta información útil y el usuario la reconoce como tal, teniendo en cuenta los aspectos de seguridad en su día a día (tanto dentro como fuera de la organización). La persona demuestra hábitos seguros en sus pequeños accionares diarios, como reportar correos sospechosos, no descargar archivos inesperados, utilizar contraseñas fuertes o doble factor de autenticación, bloquear la pantalla antes de levantarse del escritorio, y un largo etcétera.

¿Cómo se logra?

Transmitiendo contenidos de calidad a través de diferentes medios (Videos, Videojuegos, Módulos Interactivos,etc.), actualizados, centrados en el refuerzo positivo y en el aporte de valor a la persona.

¿Cómo se mide?

De manera objetiva, a través de la evaluación de los comportamientos de los usuarios (mediante herramientas de simulación) y de sus conocimientos y opiniones (exámenes y encuestas).

Para lograr un cambio de cultura es necesario construir sobre el cambio, establecer procesos de mejora continua, y anclar los cambios en la cultura organizacional.

¿Cuánto se tarda?

No debemos ver a la cultura segura como un proyecto a lograr en cierto período de tiempo. Una cultura segura se desarrolla y se mantiene todos los días. Y esto en gran medida tiene que ver con el hecho de que estamos trabajando con personas:

• Los miembros del equipo van cambiando, hay rotación, y nuevos empleados también requieren ser concienciados.
• Las personas olvidan conceptos aprendidos y pierden hábitos si no se le refuerzan
• Sin estímulos, las personas no permanecen atentas a los riesgos

Entonces, al igual que un riesgo se debe gestionar de manera continua, una cultura segura se debe mantener día a día.

Actualización

Volviendo a pensar en el ejemplo inicial: ¿Por qué actualizamos las soluciones tecnológicas de la organización? Porque el Malware evoluciona, las técnicas de evasión mejoran, se descubren nuevas vulnerabilidades, etc.

¿Por qué entonces no mantener siempre actualizada a la capa humana?

Es la capa más atacada por los ciberdelincuentes. ¿No debería ser acaso la capa más fuerte? Depende de nosotros.

Los ciberdelincuentes son originales, inteligentes y realmente creativos. Además, están altamente motivados porque ven resultados muy lucrativos. Los usuarios deben estar al tanto de todas las novedades sobre ellos, para detectar engaños y prevenir problemas de seguridad.

Regulaciones y Normativas

Actualmente múltiples normativas exigen concientizar a los usuarios, y no por única vez. Además, las mismas normativas se actualizan y modifican con el tiempo, y es necesario adaptarse para seguir dando cumplimiento.

Imagen del área de seguridad

La concienciación tiene el poder de mejorar la imagen que los usuarios tienen del área de ciberseguridad de la organización. Los usuarios dejan de percibir a los controles como trabas en su trabajo diario y encuentran un aliado en la imagen del CISO y su área, tanto para su vida personal y laboral.

Si luego de un período de concienciación las acciones cesan bruscamente, la imagen del área va a decaer, ya que hizo algo apreciado por las personas y luego se abandonó. Habrá personas esperando una frecuencia en la comunicación y con el tiempo se olvidarán de la ayuda que encontraron en el área.

Ideas finales

Los riesgos existen porque los factores que los provocan están fuera de nuestro control directo y tienen cierta probabilidad de ocurrir.

La decisión de actuar sobre uno de los riesgos más relevantes en la ciberseguridad mediante un proceso de Hardening de Usuarios es, hoy más que nunca, un punto infaltable en nuestra estrategia de seguridad.

Pero no perdamos de vista el problema que estamos enfrentando. Si concienciamos un año, dos, o tres, y luego abandonamos el proceso, los factores de riesgo van a seguir ahí, y la probabilidad de afectar a nuestra organización va a aumentar a medida que las acciones que realizamos se vayan diluyendo con el tiempo.

¿Has concienciado un año y dado por finalizado el problema? ¡Felicitaciones! Ya no gestionas el principal riesgo de ciberseguridad y pronto tu organización será víctima de Phishing (o quizás ya lo es).

Leer Más