Leaderboards: cómo implementarlas para motivar a nuestros usuarios

Los puntos y tablas de posición (points y leaderboards, por sus términos en inglés) son elementos muy importantes para crear sistemas gamificados.

Los puntos son un refuerzo positivo que se le otorga a un usuario por una determinada acción o conducta. Son una manera de brindar feedback instantáneo.

Las leaderboards permiten ordenar a los usuarios según los puntos obtenidos por su desempeño. Son una representación visual de una competencia, que utilizada correctamente puede ayudar a los usuarios a desafiarse, fijar metas y obtener reconocimiento.

¿Cómo pueden ayudarnos las leaderboards?

Las leaderboards promueven una forma de conexión social entre pares que puede resultar muy motivadora. Además, son un elemento de feedback muy valioso: le permiten conocer al usuario el nivel alcanzado, quiénes lo hicieron mejor y, a quiénes puede tomar como referencia para superarse. De esta manera, puede establecer sus propias metas, como alcanzar un determinado puntaje o superar a un compañero.

Sin bien las leaderboards pueden resultar un gran incentivo y ayudar a fortalecer los vínculos entre nuestros usuarios, por sí sólos no son garantía de que estas cosas se logren. Dependen de quién fija las reglas de juego para generar una competencia motivadora, y no desalentar o incluso frustrar a las personas.

Algunos consejos para crear un buen sistema de leaderboards

Poner especial atención a las métricas usadas

¿Qué es lo que estamos puntuando? ¿Qué significan los puntos que otorgamos? Lo que el usuario hace para conseguir puntos, ¿tiene que ver con los comportamientos que nos interesa reforzar?

Brindar igualdad de oportunidades

Las tablas de posición, si bien pueden ayudar a generar una sana competencia, también pueden frustrar y producir un efecto negativo en usuarios que se encuentren muy lejos de las primeras posiciones. Generalmente, las personas más proactivas serán quienes alcancen las primeras posiciones de la tabla, ¡pero también necesitamos que el resto sienta que puede lograrlo!. Algunas estrategias pueden ser:

• Otorgar diversos puntajes para diferentes habilidades o logros, o simplemente medir varias cosas.
• Confeccionar distintas leaderboards para diferentes grupos (por ejemplo, por localización geográfica, departamentos, etc).
• Reiniciar la tabla periódicamente para que todos tengan posibilidades de llegar a las primeras posiciones.

Medir

Instrumentar mecanismos que permitan medir el impacto o éxito de las leaderboards implementadas, para poder ajustar y mejorar el sistema. Esta información puede obtenerse, por ejemplo, a partir de encuestas realizadas a los usuarios o incluso de datos generados por el mismo sistema que otorga puntos.

Conclusión

Las leaderboards son una gran herramienta para motivar y estimular la participación. No se trata de una solución mágica y deben ser utilizadas con cuidado y responsabilidad, ya que podrían producir efectos contrarios a los buscados. Al incorporarlas a nuestros planes de concientización es muy importante poner especial atención en nuestros propios objetivos como organización y, sobre todo, pensar siempre en nuestros usuarios.

Leer Más

Cómo obtener el apoyo de la alta dirección: los casos de negocio

Introducción

A la hora de conquistar el apoyo de la alta dirección para concretar un programa de concientización, es imprescindible contar con algunas herramientas que permitan exhibir los beneficios de las acciones. En este sentido, los casos de negocio constituyen documentos que demuestran de manera clara y concisa cómo la implementación de planes de concientización se alinea con los intereses organizacionales.

Antes de comenzar

Los altos directivos de las organizaciones poseen determinados intereses, tanto personales como laborales. De manera ideal, debemos reunirnos individualmente con cada uno de ellos para conocer, mediante una charla o entrevista, cuáles son sus objetivos dentro de la organización y qué beneficios esperan obtener del área de seguridad de la información.

En algunos casos, la tarea puede resultar sencilla. En otros, tendremos que guiar las conversaciones para que los directivos puedan visualizar cómo las áreas bajo su responsabilidad podrían prosperar si los usuarios se comportaran de manera segura y sus hábitos estuvieran alineados con las políticas y los procedimientos internos de la organización. 

A posteriori, debemos enumerar los beneficios y objetivos resultantes de la charla, sin tecnicismos y de manera clara, porque se convertirán en los pilares de nuestro programa de concientización.

Contenido del caso de negocio

Si bien no existe una estructura, formato o estándar para redactar un caso de negocio, podemos mencionar una serie de elementos que deben presentarse:

Objetivos

Enumerar los objetivos del programa de concientización. Establecer conexiones claras con:

• los objetivos estratégicos de la compañía
• los objetivos y beneficios personales y laborales de los altos directivos

Esto nos permitirá dar forma al programa como piedra angular de los intereses de la dirección.

Escenarios

Enumerar una serie de escenarios importantes para la organización y mencionar cómo podrían verse afectados por un incidente de seguridad. Enfatizar en la manera en que la concientización puede disminuir el riesgo de ocurrencia de cada incidente.

Métricas

Definir cómo se medirá el éxito relativo del programa. 

Las métricas pueden ser específicas y directamente relacionadas con las acciones de concientización, midiendo los cambios específicos en el conocimiento y comportamiento de las personas.

Por otro lado, y de manera más general, se pueden tomar métricas centradas en cuestiones de cambio cultural. Esta medición es sutil, y se pueden utilizar ciertos indicadores de actitudes y tendencias culturales cambiantes, tales como:

• Número de empleados que han participado en actividades de concientización, en comparación con el número total de empleados
• Incidentes de seguridad reportados por empleados que han completado el programa de concientización
• Solicitudes de materiales o actividades de formación por parte de gerentes y colaboradores. 
• Resultados de encuestas que demuestren actitudes positivas del personal hacia las acciones llevadas adelante por el área de IT para proteger la Información de la organización. Por ejemplo, valoraciones sobre cursos, materiales informativos, prácticas, etc. Para este punto, será fundamental confeccionar preguntas precisas que apunten a demostrar información concreta.

En el caso de iniciar un programa de concientización, esta evaluación previa servirá para establecer una línea base que se podrá utilizar más adelante para evaluar el progreso.

Recursos

Identificar la inversión inicial, es decir, qué recursos serán necesarios para llevar adelante el lanzamiento del programa de concientización.

No es necesario detallar todos los recursos que se precisarán durante el programa completo, ya que la concientización apunta a ser un proceso de mejora continua.

Responsable de concientización y comité de supervisión

Designar a un miembro de la organización como responsable del programa de concientización. Idealmente, debe ser una persona con habilidades de gestión de proyectos.

Además, proponer el ensamble de un comité de supervisión, que represente a las diversas partes interesadas de la organización, para facilitar la comunicación del responsable de concientización con el resto de la organización. 

Definir, dentro del caso de negocio, los mecanismos por los cuales el responsable del programa informará al comité de supervisión, especificando el formato, contenido y la frecuencia de los informes de progreso.

Ideas finales

El modo de presentación de un caso de negocio dependerá de cada organización. En general, se recomienda utilizar lenguaje sencillo sin tecnicismos, frases claras sin ambigüedades y mantener el artefacto lo más breve posible. Para su constitución, además, deben participar la mayor cantidad posible de stakeholders clave para el programa.

Próximamente, publicaremos un nuevo artículo en nuestro blog con un caso de negocio de ejemplo, a los fines de contribuir en esta tarea indispensable de alcanzar el respaldo gerencial.

Leer Más

¿Con qué frecuencia debemos concientizar?

Introducción

Cada familia es un mundo, y cada empresa también lo es. Tras varios años trabajando como Product Manager de SMARTFENSE, podría clasificar las diferentes estrategias que las organizaciones aplican a la hora de concientizar de la siguiente manera:

Concientizar a todos para cumplir normativas

Algunas compañías realizan una serie masiva de campañas de Módulos Interactivos y Newsletters a lo largo de algunos meses, inundando de información a los usuarios. Completados todos los contenidos pertinentes para cumplir con normativas y regulaciones, suspenden las acciones.

Concientizar en etapas para… ¿quedar bien?

Otra estrategia que siguen algunas organizaciones consiste en concientizar a un grupo de usuarios durante un período, y luego continuar con otro grupo, en una especie de proyecto en cascada donde se concatenan los esfuerzos de capacitación por áreas o equipos. De esa manera, buscan capacitar a la totalidad de colaboradores en el año. Pero visto desde la perspectiva del usuario, esto significa que de repente un día comienza a recibir material útil de seguridad de la información, y de repente, deja de gozar de ese beneficio hasta próximo aviso.

Concientizar para fortalecer la capa humana

Otras organizaciones realizan una serie continua y consistente de campañas de Módulos Interactivos, reforzadas por Newsletters, separando los envíos en el tiempo para no interferir demasiado en la jornada laboral del usuario y favorecer el aprendizaje paulatino de los contenidos. 

Amerita aclarar que estas clasificaciones no pretenden ser exhaustivas ni taxativas, sino sólo un esbozo de la realidad a partir de mis propias observaciones, y sin adentrarme aún en las acciones de simulación de Phishing y Ransomware, exámenes y encuestas.

La frecuencia y su efecto en la efectividad de nuestras acciones

Una diferencia fundamental entre las estrategias mencionadas es la frecuencia con la cual los usuarios reciben el contenido.

En esencia un programa de concientización busca crear hábitos seguros en los usuarios y llevar hacia una cultura segura tanto dentro como fuera de la organización.

Los seres humanos tenemos una memoria que no es perfecta. Si absorbemos cierta información hoy, cada día que pase se irá perdiendo, salvo que reforcemos nuestro aprendizaje. Ni hablar sobre crear un hábito, para lo cual se necesita de manera esencial una constancia sostenida en el tiempo.

Dicho esto, en cuanto a frecuencias, hay una única estrategia destinada a triunfar, y es la de concientizar de manera continua a todos los usuarios de nuestra organización.

Ideas finales

Habiéndose comprobado ya la importancia del usuario en la seguridad de la información, y contándose con el Hardening de usuarios como herramienta esencial para el desarrollo de una capa humana segura, es comprensible que cada vez más organizaciones opten por concientizar a sus usuarios.

Reconocido el problema y tomada la decisión de actuar sobre él, cumplimos un paso muy importante. Sin embargo, debemos comprender que los resultados llegarán únicamente al enfocar la concientización como un proceso transversal de mejora continua y sostenido en el tiempo.

Leer Más

Microsegmentación aplicada a los usuarios

Introducción

Hasta hace muy poco tiempo para gran parte de las PYMES era suficiente adoptar un modelo de trabajo tradicional donde la gran mayoría de los empleados trabajaban en las oficinas y sólo algunos de forma remota. Para solventar los problemas de seguridad de este modelo gran parte de estas organizaciones invierten en soluciones perimetrales (ej. Firewalls perimetrales, segmentación por VLANs, etc).

Una analogía es ver a la organización y sus instalaciones como un castillo que protege sus recursos más preciados dentro (personas, joyas, alimentos, etc.) con sus murallas, puertas reforzadas, pasadizos secretos, armas, infantería, arqueros, etc.

Microsegmentación

Sin embargo, hoy la tendencia es contratar servicios Cloud, lo que significa que los recursos críticos se encuentran físicamente tanto dentro como fuera de la organización. Por otro lado, estos servicios Cloud facilitan mucho la movilidad, que es una de las necesidades que priman en la actualidad y que, debido a la reciente pandemia por Covid-19, se impuso de forma instantánea y casi obligatoria. Se puede decir que pasamos a un modelo de trabajo distribuido, en donde la organización cuenta con entornos híbridos o 100% Cloud. En este modelo el perímetro de seguridad se encuentra desdibujado, difuso, por lo tanto una forma de protección es llevar el perímetro a cada recurso (CPD propio, Cloud pública/privada, dispositivos, aplicaciones móviles, …), lo que se conoce como microsegmentación.

Gracias a la microsegmentación, las organizaciones pueden dividir de manera lógica el centro de datos en distintos segmentos de seguridad hasta el nivel de la carga de trabajo individual y, a partir de ahí, definir los controles de seguridad y suministrar servicios para cada segmento en particular. De esta manera, se restringe la capacidad del atacante de moverse lateralmente por el centro de datos, aun cuando se haya traspasado el perímetro, igual que las cajas fuertes en la bóveda de un banco que protegen las pertenencias de los clientes aunque se haya abierto la bóveda a la fuerza.

Siguiendo con la analogía, en este modelo los recursos más preciados ya no están en un único castillo fortificado, sino en varios puntos geográficamente distribuidos (otros castillos, casas, templos, aldeas, personas aisladas…), por lo cual hay que reforzar la seguridad de cada uno de ellos de manera independiente sin dejar de tener control y visibilidad.

Una capa de seguridad transversal y móvil

La formación y concienciación para generar hábitos seguros en los usuarios es clave para garantizar la seguridad en el modelo de trabajo tradicional basado en un único perímetro, pero aún más en el de próxima generación donde el perímetro se debe llevar a cada recurso. Esto es así, ya que el usuario con movilidad se enfrenta a un mayor número de amenazas por encontrarse en cada momento frente a distintos escenarios inhóspitos, por lo que requiere mayores y constantes cuidados. Además, expertos, entidades gubernamentales (CCN, INCIBE -en España), regulaciones (ENS, RGPD, LOPD -en Europa y España), estándares internacionales (ISO/IEC 27001), entre otros, desde hace tiempo exigen que el usuario posea conocimientos y hábitos seguros para responder correctamente ante amenazas de seguridad dirigidas hacia la organización.

Por lo tanto, el usuario debe formar parte de esa estrategia de microsegmentación.

Es importante mencionar que hoy el usuario al ser el eslabón más descuidado en seguridad, dados sus comportamientos inseguros, es el vector de ataque preferido por los ciberdelincuentes, lo cual genera: 

• Pérdida de continuidad de negocio (por Ransomware), 
• Fuga de información imperceptible (por Phishing), 
• Acceso desautorizado a los recursos (por Malware). 

Destacar a su vez que la concienciación es transversal, es decir, no sólo resuelve la problemática anteriormente mencionada, sino que también ayuda a evitar errores u omisiones (acciones no intencionadas) y promueve el cumplimiento de las normativas y políticas de seguridad de la organización.

En términos generales, un primer programa de formación y concienciación debería ser contínuo y de una duración mínima de 1 año e incluir: 

• Una formación mensual de entre 15 a 20 minutos auto asistida, flexible y efectiva. 
• Un refuerzo luego de cada formación bajo la forma de Newsletter de lectura rápida. 
• Una simulación de ataque de ingeniería social (ej. Phishing, Ransomware) mensual para medir hábitos seguros. 
• Reportes trimestrales a los tomadores de decisiones. 
• En caso de ser necesario, acceso a registros de auditoría de actividad completa entre los usuarios y el sistema y viceversa. 

Conclusión

Como conclusión, se recomienda a las organizaciones evaluar cambios en el perímetro de la seguridad dada la incorporación espontánea del teletrabajo para la mayoría de los usuarios y, sobre todo, no enfocarse únicamente en las medidas de seguridad técnicas, sino adoptar un esquema de defensa en profundidad y generar hábitos seguros en todos los usuarios manteniendo así a los ciberdelincuentes alejados. 

Leer Más

Cómo utilizar el Calculador de Costos de Ransomware, nueva herramienta gratuita

El calculador de costos de Ransomware es una herramienta de software libre que permite, a partir de datos básicos de entrada, conocer los costos en los que incurriría una organización en el caso de una infección por Ransomware.

Webinar

Objetivo

El objetivo del calculador es generar conciencia sobre el impacto económico que puede tener el Ransomware en una organización.

Por lo general, los altos mandos de las organizaciones no son conscientes del peligro al que están expuestos y el área de seguridad o tecnología no logra una comunicación efectiva mediante términos técnicos.

Utilizando el calculador, es posible generar un informe con claros indicadores gerenciales. Al disponer de métricas concretas expresadas en dinero, la comunicación con la alta gerencia es más sencilla. El impacto de los costos de un ataque de Ransomware son de utilidad para lograr el apoyo y el presupuesto necesarios para afrontar este riesgo latente.

Obtener un presupuesto adecuado puede redundar en la implementación de un plan de concientización de usuarios. La concientización es una de las armas más importantes para disminuir el riesgo de infección por Ransomware.

Modo de uso

La herramienta solicita una serie de datos agrupados en las siguientes categorías:

• Datos generales
• Copias de seguridad
• Recuperación de equipos
• Rescate
• Información de negocio

Es importante destacar que la información ingresada no se envía a ningún servidor externo. Todos los cálculos son realizados dentro del mismo navegador, para mayor seguridad.

Recomendaciones para la carga

Como todo hecho social, un ataque de Ransomware a una organización siempre reviste variables imposibles de predecir. En ese sentido, el calculador brinda un resultado representativo para la organización pero no 100% exacto. 

Es por eso que se recomienda ingresar datos promedio para toda la organización, originados idealmente en una reunión interáreas. La participación de distintos representantes de diferentes áreas de la organización permitirá una aproximación más acertada de cada dato ingresado.

Resultados

El Calculador presenta los resultados distribuidos en seis escenarios diferentes. Cada uno de ellos incluye distintas variables que podrían incidir frente a un incidente de Ransomware:

• Porcentaje de equipos infectados
• Existencia de un descifrador para el Ransomware
• Pago del rescate y consecuencias
• Copias de seguridad de la organización y estado de las mismas

Cada escenario representa un costo diferente para la organización.

A su vez, es posible ver un detalle desagregado acerca de la composición de los costos de cada escenario, haciendo clic en cualquiera de ellos.

Dichos costos se dividen en costos tecnológicos y costos de negocio.

El primero es quizá el más directo de los dos, ya que refiere a los gastos asociados a limpiar los equipos afectados, restaurar sus copias de seguridad, generar nuevamente la información que no se encontraba respaldada y, si corresponde según el escenario, realizar el pago del rescate.

El costo de negocio considera cuestiones relacionadas con el tiempo en horas que llevarán las distintas actividades mencionadas en el costo tecnológico, y el costo de improductividad y oportunidad asociados a este tiempo de recuperación.

Es posible ver los detalles de cada costo haciendo clic en el indicador correspondiente a cada uno:

Ideas finales

El Calculador de Costos de Ransomware es un proyecto libre, que nació en 2017 dentro de una hoja de cálculo, que ha evolucionado mediante su aplicación práctica en distintas organizaciones y el aporte de distintos profesionales del rubro.

Su primera versión en línea, lanzada el 15 de mayo de 2020 es sólo un paso más dentro de este enriquecedor proyecto, el cual esperamos seguir avanzando mediante el aporte de la comunidad de la Seguridad de la Información.

Animamos a cualquier persona interesada en el proyecto a comunicarse con nosotros para realizar sus aportes o dejarnos sus opiniones al respecto.

Y dejamos un agradecimiento especial a quienes hicieron posible su lanzamiento:

• Abratte Pablo
• Bruna Nicolás
• Graziosi Mauro
• Quinteros Fabricio
• Rodríguez Dante

Licencia

El Calculador de Costos de Ransomware se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

Leer Más