lunes, 29 de junio de 2020

¿Con qué frecuencia debemos concientizar?

¿Con qué frecuencia debemos concientizar?


Introducción

Cada familia es un mundo, y cada empresa también lo es. Tras varios años trabajando como Product Manager de SMARTFENSE, podría clasificar las diferentes estrategias que las organizaciones aplican a la hora de concientizar de la siguiente manera:

Concientizar a todos para cumplir normativas

Algunas compañías realizan una serie masiva de campañas de Módulos Interactivos y Newsletters a lo largo de algunos meses, inundando de información a los usuarios. Completados todos los contenidos pertinentes para cumplir con normativas y regulaciones, suspenden las acciones.

Concientizar en etapas para… ¿quedar bien?

Otra estrategia que siguen algunas organizaciones consiste en concientizar a un grupo de usuarios durante un período, y luego continuar con otro grupo, en una especie de proyecto en cascada donde se concatenan los esfuerzos de capacitación por áreas o equipos. De esa manera, buscan capacitar a la totalidad de colaboradores en el año. Pero visto desde la perspectiva del usuario, esto significa que de repente un día comienza a recibir material útil de seguridad de la información, y de repente, deja de gozar de ese beneficio hasta próximo aviso.

Concientizar para fortalecer la capa humana

Otras organizaciones realizan una serie continua y consistente de campañas de Módulos Interactivos, reforzadas por Newsletters, separando los envíos en el tiempo para no interferir demasiado en la jornada laboral del usuario y favorecer el aprendizaje paulatino de los contenidos. 

Amerita aclarar que estas clasificaciones no pretenden ser exhaustivas ni taxativas, sino sólo un esbozo de la realidad a partir de mis propias observaciones, y sin adentrarme aún en las acciones de simulación de Phishing y Ransomware, exámenes y encuestas.

La frecuencia y su efecto en la efectividad de nuestras acciones

Una diferencia fundamental entre las estrategias mencionadas es la frecuencia con la cual los usuarios reciben el contenido.

En esencia un programa de concientización busca crear hábitos seguros en los usuarios y llevar hacia una cultura segura tanto dentro como fuera de la organización.

Los seres humanos tenemos una memoria que no es perfecta. Si absorbemos cierta información hoy, cada día que pase se irá perdiendo, salvo que reforcemos nuestro aprendizaje. Ni hablar sobre crear un hábito, para lo cual se necesita de manera esencial una constancia sostenida en el tiempo.

Dicho esto, en cuanto a frecuencias, hay una única estrategia destinada a triunfar, y es la de concientizar de manera continua a todos los usuarios de nuestra organización.

Ideas finales

Habiéndose comprobado ya la importancia del usuario en la seguridad de la información, y contándose con el Hardening de usuarios como herramienta esencial para el desarrollo de una capa humana segura, es comprensible que cada vez más organizaciones opten por concientizar a sus usuarios.

Reconocido el problema y tomada la decisión de actuar sobre él, cumplimos un paso muy importante. Sin embargo, debemos comprender que los resultados llegarán únicamente al enfocar la concientización como un proceso transversal de mejora continua y sostenido en el tiempo.
Leer Más

lunes, 1 de junio de 2020

Microsegmentación aplicada a los usuarios

Microsegmentación aplicada a los usuarios


Introducción

Hasta hace muy poco tiempo para gran parte de las PYMES era suficiente adoptar un modelo de trabajo tradicional donde la gran mayoría de los empleados trabajaban en las oficinas y sólo algunos de forma remota. Para solventar los problemas de seguridad de este modelo gran parte de estas organizaciones invierten en soluciones perimetrales (ej. Firewalls perimetrales, segmentación por VLANs, etc).

Una analogía es ver a la organización y sus instalaciones como un castillo que protege sus recursos más preciados dentro (personas, joyas, alimentos, etc.) con sus murallas, puertas reforzadas, pasadizos secretos, armas, infantería, arqueros, etc.

Microsegmentación

Sin embargo, hoy la tendencia es contratar servicios Cloud, lo que significa que los recursos críticos se encuentran físicamente tanto dentro como fuera de la organización. Por otro lado, estos servicios Cloud facilitan mucho la movilidad, que es una de las necesidades que priman en la actualidad y que, debido a la reciente pandemia por Covid-19, se impuso de forma instantánea y casi obligatoria. Se puede decir que pasamos a un modelo de trabajo distribuido, en donde la organización cuenta con entornos híbridos o 100% Cloud. En este modelo el perímetro de seguridad se encuentra desdibujado, difuso, por lo tanto una forma de protección es llevar el perímetro a cada recurso (CPD propio, Cloud pública/privada, dispositivos, aplicaciones móviles, …), lo que se conoce como microsegmentación.

Gracias a la microsegmentación, las organizaciones pueden dividir de manera lógica el centro de datos en distintos segmentos de seguridad hasta el nivel de la carga de trabajo individual y, a partir de ahí, definir los controles de seguridad y suministrar servicios para cada segmento en particular. De esta manera, se restringe la capacidad del atacante de moverse lateralmente por el centro de datos, aun cuando se haya traspasado el perímetro, igual que las cajas fuertes en la bóveda de un banco que protegen las pertenencias de los clientes aunque se haya abierto la bóveda a la fuerza.

Siguiendo con la analogía, en este modelo los recursos más preciados ya no están en un único castillo fortificado, sino en varios puntos geográficamente distribuidos (otros castillos, casas, templos, aldeas, personas aisladas…), por lo cual hay que reforzar la seguridad de cada uno de ellos de manera independiente sin dejar de tener control y visibilidad.

Una capa de seguridad transversal y móvil

La formación y concienciación para generar hábitos seguros en los usuarios es clave para garantizar la seguridad en el modelo de trabajo tradicional basado en un único perímetro, pero aún más en el de próxima generación donde el perímetro se debe llevar a cada recurso. Esto es así, ya que el usuario con movilidad se enfrenta a un mayor número de amenazas por encontrarse en cada momento frente a distintos escenarios inhóspitos, por lo que requiere mayores y constantes cuidados. Además, expertos, entidades gubernamentales (CCN, INCIBE -en España), regulaciones (ENS, RGPD, LOPD -en Europa y España), estándares internacionales (ISO/IEC 27001), entre otros, desde hace tiempo exigen que el usuario posea conocimientos y hábitos seguros para responder correctamente ante amenazas de seguridad dirigidas hacia la organización.

Por lo tanto, el usuario debe formar parte de esa estrategia de microsegmentación.

Es importante mencionar que hoy el usuario al ser el eslabón más descuidado en seguridad, dados sus comportamientos inseguros, es el vector de ataque preferido por los ciberdelincuentes, lo cual genera: 
  • Pérdida de continuidad de negocio (por Ransomware), 
  • Fuga de información imperceptible (por Phishing), 
  • Acceso desautorizado a los recursos (por Malware). 

Destacar a su vez que la concienciación es transversal, es decir, no sólo resuelve la problemática anteriormente mencionada, sino que también ayuda a evitar errores u omisiones (acciones no intencionadas) y promueve el cumplimiento de las normativas y políticas de seguridad de la organización.

En términos generales, un primer programa de formación y concienciación debería ser contínuo y de una duración mínima de 1 año e incluir: 
  • Una formación mensual de entre 15 a 20 minutos auto asistida, flexible y efectiva. 
  • Un refuerzo luego de cada formación bajo la forma de Newsletter de lectura rápida. 
  • Una simulación de ataque de ingeniería social (ej. Phishing, Ransomware) mensual para medir hábitos seguros. 
  • Reportes trimestrales a los tomadores de decisiones. 
  • En caso de ser necesario, acceso a registros de auditoría de actividad completa entre los usuarios y el sistema y viceversa. 

Conclusión

Como conclusión, se recomienda a las organizaciones evaluar cambios en el perímetro de la seguridad dada la incorporación espontánea del teletrabajo para la mayoría de los usuarios y, sobre todo, no enfocarse únicamente en las medidas de seguridad técnicas, sino adoptar un esquema de defensa en profundidad y generar hábitos seguros en todos los usuarios manteniendo así a los ciberdelincuentes alejados. 

Leer Más