lunes, 2 de mayo de 2022

SMARTFENSE apesta, episodio I

SMARTFENSE apesta, episodio I


Objetivos concretos, resultados ¿reales?

Las plataformas de concientización (AMS) existen para asistir a las organizaciones en objetivos concretos:
  • Generar conciencia en los usuarios
  • Generar hábitos seguros y, a través de ellos, generar una cultura segura

SMARTFENSE, desde su fundación, se ha pensado y desarrollado para que las organizaciones puedan alcanzar estos objetivos en su totalidad, de manera homogénea.

Cuando el objetivo principal de una organización es únicamente generar hábitos seguros, hablamos de un programa de Security Awareness.

En cambio, cuando el objetivo va más allá, y también se desea generar hábitos seguros en los usuarios, y en última instancia desarrollar una cultura segura en la organización hablamos de un Security Behavior and Culture Program (SBCP).

En ambos casos, y como consecuencia de los objetivos mencionados, se da cumplimiento a diferentes normativas.

Un aspecto clave para alcanzar estos objetivos, son los contenidos de concientización. No todos los contenidos tienen la capacidad de causar cambios reales, y no todas las plataformas pueden crear un entorno donde esto sea posible.

Contenidos de SMARTFENSE

Los contenidos de SMARTFENSE están creados tanto para generar conciencia como para lograr un cambio de hábito real en los usuarios. Para esto se siguen diversas técnicas como design thinking y refuerzo positivo (derivado de la teoría de Nudges), entre muchas otras. Pensamos nuestro desarrollo de contenidos con una mentalidad de Marketing más que con un enfoque tradicional de concientización.

Esto permite que los usuarios tengan una experiencia de calidad con nuestros contenidos y nuestra plataforma, favoreciendo su engagement. El usuario percibe cuándo un contenido realmente busca aportar un valor en su vida laboral y personal, y aumenta su recepción, lo que en definitiva lleva a desarrollar o consolidar cierto hábito seguro.

Contenidos 100% customizables (y estropeables)

SMARTFENSE es muy probablemente la plataforma de concientización más flexible disponible en el mercado. Esto brinda muchas ventajas. Aquellas específicas relacionadas con los contenidos de concientización son, entre otras:
  • Generar contenido contextualizado para la organización
  • Utilizar la imagen corporativa de la organización
  • Responder de manera rápida frente a situaciones particulares, como por ejemplo generar una simulación de Phishing a partir de un ataque real recibido en la organización.
Este grado de flexibilidad, a veces, se combina con administradores que tienen un objetivo muy acotado para su programa de concientización: cumplir normativas.

Solo eso.

No les interesa generar conciencia, menos aún hábitos seguros, y ni hablar de culturas seguras.

De esta combinación, nace el episodio 1 de SMARTFENSE apesta.

El lado oscuro de la flexibilidad


Timbre en reparación, toque el pollo.


Uno de los puntos específicos que consideramos en SMARTFENSE a la hora de desarrollar cada contenido es cuánto tiempo va a requerir al usuario para completarlo. Para esto, manejamos tiempos desde 1 minuto a 12 minutos, dependiendo los componentes involucrados:
  • Videos
  • Videojuegos
  • Módulos Interactivos
  • Newsletters
  • Exámenes
  • Encuestas
  • Momentos educativos

El problema aquí es que muchos usuarios administrativos aprovechan la flexibilidad de SMARTFENSE para crear, por ejemplo, Módulos Interactivos personalizados de más de 100 slides, combinando diferentes tópicos, y creando así contenidos que llevan más de una hora para ser completados.

¿Por qué motivo hacen esto los administradores? Porque, como dijimos, quieren dar cumplimiento, y no les interesa nada más. Y lo logran (con un porcentaje muy bajo de usuarios). Y además, logran otras cosas, todas ellas negativas:
  • Echar por la borda cualquier tipo de engagement que el usuario pueda tener con la plataforma.
  • Predisponer negativamente al usuario y crear un ambiente negativo contraproducente para el aprendizaje.
  • Anular la capacidad del contenido de crear un cambio real en el comportamiento o nivel de conciencia del usuario, y por ende, en la cultura organizacional.

Maneras de empeorar esta situación

Siempre puede ser peor.

Existen casos donde los Módulos Interactivos incluyen Exámenes enormes, donde a través de 50 o más preguntas se trata de evaluar al usuario respecto al contenido nefasto que le asignaron.

Otro caso por ejemplo tiene que ver con organizaciones que no toman a la concientización como un proceso de mejora continua.

Previamente mencionamos los objetivos que realmente debe tener un programa de concientización. Y en definitiva el resultado que se persigue con ellos - la misión, si queremos hablar en términos estratégicos - es disminuir el riesgo de que se haga efectivo un ataque de ingeniería social en la organización. Dicho en otras palabras, gestionar el riesgo de la ingeniería social.

Los riesgos no se gestionan 3 meses, o 1 año. Se gestionan de manera continua, para poder mantenerlos en un nivel aceptable para la organización.

Muchas organizaciones sin embargo, ven a la concientización como un proyecto de corta duración, enfocado en generar una habilidad o conocimiento puntuales. Esto tiene diversas causas. Una muy común es que en algunos países existen subsidios/subvenciones para empresas que, para ser efectivos, piden que un período de tiempo muy corto (2 o 3 meses) se lance un curso de muchas horas (más de 20).

Por querer calificar para este beneficio económico, aprovechan la flexibilidad de la plataforma para transformarla de AMS a LMS (Learning Management System) y brindar cursos, lo cual no es el objetivo - ni de cerca - de una plataforma de concientización.


Nota: Al día de la publicación de este post tenemos en SMARTFENSE más de 300 clientes. Los casos presentados son reales, pero a su vez no son todos los que detectamos, ya que de lo contrario, este post sería largo como contenido de CISO que solo quiere cumplir.

Ideas finales

Es fácil dejarse llevar por las libertades que una herramienta puede proveer. Por eso, de la misma manera que debemos pensar dos veces antes de hacer clic, podemos pensar dos veces antes de editar un contenido.
  • ¿Qué queremos lograr con la edición?
  • ¿Realmente es bueno para el usuario final?
  • ¿Ayuda a que alcancemos de mejor manera los objetivos de nuestro programa de concientización?

Este es el primer episodio de una serie de posts sobre malos usos de SMARTFENSE. ¿Te gustaría conocer más al respecto? ¡Seguinos en nuestras redes para no perderte ninguna novedad!
Leer Más

jueves, 27 de enero de 2022

Calidad humana y técnica: SMARTFENSE 3.0

Calidad humana y técnica: SMARTFENSE 3.0

 

El 18 de diciembre de 2021 se lanzó la versión 3.0 Beta de SMARTFENSE. Casualmente, había sido un día 18 también, pero de agosto del 2018, cuando habíamos lanzado la 2.0.

Tres años y medio pasaron, y con ellos, incontables horas de gestión, análisis, diseño, desarrollo, pruebas y despliegues.


Las bases del cambio

Como siempre se dice y con razón, los cimientos son lo más importante, y por eso gran parte del esfuerzo se dedicó a cosas que quizá no se ven, pero están y se notan. Como por ejemplo:

  • actualización de Frameworks y lenguaje de desarrollo, 
  • mejoras de seguridad, 
  • automatización de pruebas,
  • etc.


La aparición de clientes con más de 100.000 usuarios motivaron también el trabajo en la escalabilidad de la plataforma y promovieron nuevas integraciones. Esto último llevó a la creación de numerosas APIs que permiten el consumo de datos de SMARTFENSE desde cualquier sistema y el desarrollo de integraciones específicas, como la Integración con LMS a través de paquetes SCORM.

KPIs como la disminución de cantidad de problemas conocidos, aumento de cobertura de tests unitarios, niveles de performance en pruebas de estrés, fueron personajes principales del camino a la versión 3.0.

Todo lo mencionado no impidió mantener el foco en resolver las necesidades puntuales de nuestros partners y clientes para favorecer a la generación de hábitos seguros en los usuarios de manera eficaz en el mundo particular de cada organización.


Lo que sí se puede ver

En este orden de ideas, la versión 3.0 se enfocó, dentro de la parte tangible, en brindar nuevas herramientas, que en complemento con las existentes, mejoren la eficiencia en la gestión del principal riesgo de ciberseguridad de la última década, la Ingeniería Social, y permitan desarrollar y mantener una cultura segura dentro de la organización con mayor eficacia. 

Para esto, nos centramos en dos actores clave de nuestra plataforma, el usuario administrativo y el usuario final.


Scoring de riesgo

Para el usuario administrativo, la funcionalidad principal que se añadió es el cálculo de Scoring de Riesgo de los usuarios y agrupaciones de la organización. Este Scoring permite tomar decisiones de gestión del riesgo de manera más sencilla y directa,  posibilitando visualizar de manera cuantitativa el grado de exposición de la organización.



Interfaz renovada

El usuario administrativo podrá observar también una interfaz renovada acorde con la nueva imagen de SMARTFENSE. Este cambio, si bien se percibe únicamente como estético, trae consigo la actualización de una gran cantidad de componentes. Además, se optimiza la disposición de elementos en diferentes vistas y se brinda una experiencia más homogénea al usuario.



Gamificación y Videojuegos

Para el usuario final se añadieron técnicas de diseño y elementos propios de juegos, con el objetivo de aumentar sus niveles de motivación y atraer y retener su atención en los contenidos brindados.

Para esto, se sumó el concepto de Badges o Insignias dentro de la plataforma. Una representación gráfica de un mérito o logro obtenido por el usuario, que sirven así como reconocimiento de importante poder simbólico, alentando su continuidad y sirviendo de guía.

Además, sumamos campañas de ¡Videojuegos!, creados y diseñados por nuestro equipo de Contenidos en conjunto con expertos en Game Based Learning, que sensibilizan a los usuarios sobre buenos hábitos en seguridad de la información de una forma más amena y divertida. 


El personaje principal de nuestros Videojuegos es Sury, quien protagoniza también todos nuestros Videos, brindando así al usuario una experiencia homogénea y un sentido de pertenencia


Dashboard del usuario final

Se trata de la página principal del usuario final, que a través de un diseño moderno y atractivo brinda al usuario un resumen del programa de concientización.

En su Dashboard, el usuario puede visualizar de manera sencilla sus Insignias de Gamificación y conocer el detalle de cada una de ellas. Además, mediante Avatares, puede expresar su identidad de manera divertida, añadiendo frescura y diversidad a la plataforma.

A su vez, en esta sección el usuario encontrará todas sus actividades pendientes, disponibles y finalizadas, según las configuraciones administrativas.



Nueva versión, misma esencia

SMARTFENSE fue, es y será la plataforma de concientización que genera hábitos seguros en los usuarios finales. 

Los años de trayectoria de nuestro equipo específicos en concientización nos brindan la experiencia necesaria para brindar a nuestros clientes resultados reales, apoyados en la madurez de nuestra herramienta, su flexibilidad, contenidos y componentes. 

En un contexto donde cada vez más corporaciones intentan ingresar al mercado de la concientización con herramientas creadas desde cero y sin más experiencia que la propia, es indispensable considerar con cuidado con quién y con qué solución gestionar el riesgo de ciberseguridad más relevante de la última década.

Desde SMARTFENSE confiamos en ser la elección adecuada.


Seguimos adelante

Con las bases sentadas en estos últimos años, el 2022 seguramente vea llegar la versión 4 de nuestra plataforma. 

El foco en este caso estará en las Herramientas de Simulación, con el objetivo de enriquecerlas añadiendo variedad de opciones, configuraciones y nuevos tipos de ataque.

Además, habrá novedades importantes en cuanto al cumplimiento normativo, con el lanzamiento de un nuevo componente de Gestión de normativas y de consentimiento.

Leer Más

jueves, 20 de enero de 2022

Privacidad de datos y el futuro de los negocios: cómo las empresas pueden priorizar la privacidad

Privacidad de datos y el futuro de los negocios: cómo las empresas pueden priorizar la privacidad


En la actualidad, las organizaciones buscan constantemente nuevas formas de tomar decisiones basadas en datos reales de sus clientes. En este contexto, la relevancia del Big Data es tal, que su mercado global tendrá un valor de casi $235 mil millones para 2026.

Ahora bien, este acceso a los datos de los clientes conlleva una gran responsabilidad. Y desafortunadamente, a los ojos de muchos consumidores, las empresas no están haciendo todo lo posible para asegurarse de que sus datos se utilicen de forma segura y con los estándares más altos de privacidad en mente.


La semana internacional de la privacidad de datos 

Desde el año 2008 se celebra en enero el día internacional de la privacidad de datos. Esta vez, en 2022, la propuesta se extiende para pasar de ser un día a una semana, dejando entrever la relevancia que la privacidad de datos está cobrando en nuestro día a día.



En el contexto de este primer Data Privacy Week nos encontramos con estadísticas como las del Centro de Investigación Pew, donde se relevó que el 79% de los adultos estadounidenses afirman estar preocupados por la forma en que las empresas utilizan sus datos. 

Esta preocupación debe ser bienvenida por las organizaciones. Y es que respetar la privacidad de los consumidores es una estrategia inteligente para inspirar confianza y mejorar la reputación y el crecimiento del negocio.

Para esto, las organizaciones deben ser abiertas y honestas acerca de qué significa la privacidad para ellas. Deben mencionar cómo recopilan, usan y comparten la información personal de sus clientes y los pasos que siguen para lograr y mantener la privacidad de cada uno. 


Una semana de introspectiva

La semana de la privacidad es un buen momento para realizar una evaluación de las prácticas de recopilación de datos de nuestras organizaciones. Ya sea que operemos de manera local, nacional o global, debemos comprender qué leyes y regulaciones de privacidad se aplican a nuestro negocio. 


A partir de aquí, debemos seguir las medidas de seguridad razonables para mantener la información personal de nuestros clientes a salvo del acceso inapropiado y no autorizado. Además, debemos asegurarnos de que los datos personales que recopilemos se procesen de manera justa y sólo para fines relevantes y legítimos.


Priorizar la ciberseguridad de terceros 

Si un tercero brinda servicios en nombre de nuestra organización, también somos responsables de cómo recopila y usa la información personal de nuestros consumidores.  

Las infracciones de terceros pueden ser tan graves como si nuestra organización fuera atacada directamente. Por lo tanto, es necesario contar con una lista de verificación rigurosa para garantizar que nuestros partners tomen la seguridad cibernética y la privacidad de los datos tan en serio como nosotros. Aquí hay algunas preguntas que podemos hacer para comenzar:

  • ¿Su empresa contrata una firma de auditoría externa para realizar una revisión de cumplimiento de sus controles operativos?
  • ¿Tiene su empresa una política de evaluación previa al empleo para empleados y contratistas?
  • ¿Se revisan, conservan y purgan los archivos y registros de acuerdo con los requisitos legales, las obligaciones contractuales y los acuerdos de nivel de servicio?


Adoptar un marco de privacidad

Conocer los riesgos a los que se enfrenta nuestra organización en materia de privacidad es fundamental para asegurarnos de que los datos personales se mantengan y utilicen de forma segura.

Sin embargo, solo el 57 por ciento de las empresas realizaron una evaluación de riesgos de seguridad de datos en 2020.  

Investigar y adoptar un marco de privacidad puede ayudarnos a gestionar el riesgo y crear una cultura segura en nuestra organización al incorporar la privacidad en nuestro negocio. Por supuesto, hay muchos tipos diferentes de frameworks y algunos pueden funcionar mejor para algunas empresas que para otras. Sin embargo, los siguientes recursos pueden ser útiles para tener una idea de dónde empezar: NIST Privacy Framework, AICPA Privacy Management Framework, ISO/IEC 27701 - International Standard for Privacy Information Management


Concienciar a los empleados

Las campañas continuas de concienciación son imprescindibles para las organizaciones de la actualidad, más ahora que el mundo digital se ve cada vez más impulsado por el trabajo remoto. Por fortuna, cada vez son más las empresas que fortalecen la capa más importante de su seguridad. 

El éxito de la privacidad de datos depende de la capacidad de cada organización para crear una cultura que priorice la privacidad. Un entorno así, se desarrolla concienciando a los empleados sobre su función y obligaciones para proteger la información personal.


Ideas finales 

Las personas se preocupan por cuidar su privacidad. Se puede ver en los constantes reclamos frente a gigantes como Meta y Google y los procedimientos legales a los que son sometidos. Tomemos entonces el lugar de nuestros clientes y pensemos: Nuestra organización, ¿les brinda un nivel aceptable de privacidad? ¿Pueden sentirse cómodos en la manera en la que sus datos son manejados por nuestros procedimientos internos?

El 2021 fue otro año decisivo en términos de uso de datos personales. Y es probable que en 2022 lo sea en mayor medida. Por lo tanto, es imperativo que las organizaciones den lo mejor de sí en lo que respecta a la privacidad de los datos.

Aprovechemos esta semana de la privacidad para pensar en todas estas cuestiones e impulsar avances significativos en el desarrollo de mejores hábitos de privacidad en nuestras organizaciones.

Leer Más