Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50

Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50

En octubre del año 2003 el National Institute of Standards and Technology (NIST) lanzó la publicación NIST Special Publication 800-50, Building An Information Technology Security Awareness and Training Program. Este documento pretende ser una guía para construir un programa efectivo de concientización y entrenamiento en seguridad informática para agencias federales de Estados Unidos. De todas maneras, también puede ser utilizado por otro tipo de organizaciones, en otros países.
A casi 20 años de su lanzamiento, mucho ha cambiado en el ámbito de las tecnologías y la ciberseguridad, y en nuestras vidas en general. Creemos que es momento de revisar algunos de sus lineamientos a la luz del presente.

Estructura

La guía identifica cuatro pasos críticos en el ciclo de vida de un programa de concientización y entrenamiento:

  • Diseño del programa: Se conduce un relevamiento dentro de la organización y, a partir de su resultado, se desarrolla y aprueba la estrategia a seguir durante el programa, alineada a la misión de la organización.
  • Desarrollo del material: Se evalúa el alcance del entrenamiento deseado, el contenido necesario para cubrirlo y las posibles fuentes para desarrollarlo.
  • Implementación del programa: Se comunica y lanza el programa de concientización y entrenamiento, a través de los medios definidos en la estrategia.
  • Post implementación: Se busca mantener una ejecución continua del programa y monitorear su efectividad.

Alcance

Si bien la publicación que estamos analizando suele ser vista como un estándar para el desarrollo de un programa de concientización, en realidad su objetivo es más amplio y considera también:

  • Educación puntual de los usuarios técnicos relacionados al área de tecnología
  • Entrenamiento especial en seguridad para desarrollar habilidades específicas para distintos roles funcionales dentro de la organización.
  • Desarrollo de profesionales especialistas en seguridad informática
Figure 2-1: The IT Security Learning Continuum

Modelos de implementación

La guía discute también tres modelos comunes (para la época) de implementar un programa de concientización y entrenamiento:

  • Centralizado: Toda la responsabilidad recae en una autoridad central, por ejemplo el CIO.
  • Parcialmente descentralizado: La autoridad central se ocupa de desarrollar una política y una estrategia de implementación. La implementación se distribuye entre distintas áreas funcionales.
  • Totalmente descentralizado: La autoridad central únicamente desarrolla una política, pero la estrategia y la implementación recae en distintas áreas funcionales.

Nótese que aquí se menciona al CIO como posible autoridad central de un programa de concientización en ciberseguridad. Por aquel entonces (año 2003), el rol del CISO prácticamente no existía. A la fecha de redacción de este post, ya se habla incluso de un puesto específico encargado del programa de Security Awareness en la organización. Esto da pie a la siguiente sección de este post:

Cambios y continuidades

Al tratarse de una guía redactada en 2003, debemos tomar con cuidado la información que nos brinda.

Concepto de Concientización

Según la guía, la concientización no es más que entregar información a los usuarios. Decirles qué hacer, y qué no. Enfocado 100% a dar cumplimiento a normativas y 0% enfocado en cambiar hábitos y desarrollar una cultura segura.

Sólo se menciona que el usuario conozca manuales, procedimientos, políticas. Pero no se habla de que el usuario comprenda por qué le conviene saber esto, cuáles son sus beneficios en su vida laboral y ni hablar de su vida personal. Tampoco se comenta que la concientización tenga efecto alguno más allá de la organización.

De hecho, no se habla en ningún momento del desarrollo de hábitos seguros para la vida de la persona en el uso de la tecnología. Lo más cercano a esto, y que sin embargo sigue siendo muy lejano, es la mención del entrenamiento como concepto independiente a la concientización orientado a desarrollar habilidades en las personas.

En un contexto actual donde ya se comienza a hablar incluso de Awareness Management Systemsdebemos ser muy cuidadosos en seguir estas directivas, que han dejado de ser útiles en el ámbito corporativo cuando el concepto de perímetro de la organización prácticamente desapareció.


Ejemplo de un póster de concientización propuesto por la guía. ¿Crees que un usuario actual de tu organización se detendría siquiera a leerlo?

Contenidos de Concientización

La guía propone el desarrollo desde cero del material de concientización: Un trabajo faraónico, tan grande como innecesario.
Si bien se menciona la posibilidad de adquirir o tomar como base contenidos de otras organizaciones proveedoras, no se habla de la opción que hoy en día es la más recomendable: utilizar una plataforma SaaS con contenidos predefinidos (y editables) listos para utilizar, con una política de actualización constante.

Simulaciones

Una nueva alarma para encender si nos basamos en esta guía: el documento no se explaya acerca de las distintas maneras de medir el estado de la capa humana de la organización, siendo el punto de referencia a la hora de comenzar un programa de concientización y demostrar su efectividad.
En la actualidad, guiar un programa de concientización sin apoyarnos en las métricas que arrojan las simulaciones de Phishing y de Ransomware, las cuales reflejan el comportamiento de los usuarios de nuestra organización, es prácticamente como navegar sin siquiera una brújula.

Modelos de implementación

En la guía no existe uno de los modelos de implementación más utilizados hoy, donde el CISO o encargado del plan de concientización se ocupa de la parte estratégica del plan y en general, delega la parte operativa en un partner integrador, quien brinda un servicio de valor agregado.

Conclusiones

Cada día más estamos convencidos acerca de la importancia de la concientización en la seguridad de la información. Es interesante que esta guía sea actualmente un punto de referencia para muchas personas que desarrollan un programa de awareness.

Si bien la información brindada por la guía es muy interesante, necesita por un lado ser actualizada, y por el otro, mantenerse al día con una frecuencia suficiente como para llegar a ser una publicación de referencia a la hora de llevar adelante nuestros planes de concientización.

Por suerte, la actualización ya está cerca, y de seguro será motivo para un nuevo análisis.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta