jueves, 13 de agosto de 2015

Concientización de la Ciberseguridad



Pura vida gente!

El Usuario, la meta final... si les pareció a la intro de Star Trek, pues ya están viejos como yo.

Pues si, es el eslabón más débil de la cadena de seguridad. Kevin Mitnick, nos indica que existen 5 formas de entrenar a tus usuarios para que la superficie de riesgo se disminuya.

Veamos:
  1. No hacer nada. Depender de filtros y contar con que los usuarios no hagan clic en enlaces de tipo phishing. La forma más barata y tonta. Es sorprendente que el 25% de las organizaciones siguen utilizando esta táctica.
  2. El cuarto de castigos. Arrear (si arrear...) a todos los usuarios una vez al año a una sala de conferencias. Mantenerlos despiertos con Red Bull y café durante una infinita cantidad de diapositivas de PowerPoint. Al menos se despertarán descansados.
  3. El video mensual de seguridad. Esta es cuando a los usuarios se les ofrecen videos cortos, que cada cubren un tema relacionado con mantener la red segura. Lo que no saben es que cuando van al baño y regresan, han pasado dos y medio videos, interrumpen preguntando y causan la fragmentación de la formación al resto del personal.
  4. La prueba de phishing. Se selecciona a un grupo de usuarios de alto riesgo, y se les envía a un simulacro de ataque tipo phishing. Cuando finalizan, se les pide al personal que no logró ganar el entrenamiento, que lo lleven de nuevo... recursivamente hasta el fin de las eras. Recuerden, no todos saben caminar y mascar chicle al mismo tiempo.
  5. El Cortafuegos Humano. Empodere al usuario, dele confianza de tomar decisiones para que encuentre la forma de visualizar (en su puesto de trabajo), la manera más simple de sacarle información. Se sorprenderán lo entusiasta e imaginativa que es la gente. Lo siguiente sería, entrenar on-line a todos sus usuarios para que aprendan a detectar cuales son los vectores más comunes de ataque, contra el trabajo que ellos mismos desarrollan. Calendarice durante todo el año ataques falsos y variados de phishing, -nada como escenarios en producción para mantener a la gente alerta-. Esto hace que desarrollen el "músculo mental" para reaccionar. Simple y altamente efectivo.

Nos vemos.

7 comentarios:

  1. Muy bueno y ojala en Tiquicia se empiece a capacitar a todos dentro de la organización, ningún antivirus ni malware superarán al conocimiento humano

    ResponderBorrar
  2. Muy bueno el aporte. El 80% de los riesgos vienen de lo interno de la compania y poder crear buenas practicas va salvar tiempo dinero mejora procesos ... en fin es una buena actividad para la empresa de hoy en dia y que piensa que no hay valor agregado a la seguridad . Exc aporte.

    ResponderBorrar
  3. Bien Randall, la manera más clara y sencilla de explicarlo. Gracias por el aporte!

    ResponderBorrar