Recientemente un CISO me comentó que estaba analizando Moodle como plataforma para llevar adelante un plan de Concientización en Seguridad de la Información.
Como conozco Moodle por haberlo utilizado en entornos académicos y soy consciente de que los CISO requieren soluciones rápidas y eficaces debido a la gran cantidad de responsabilidades con las que cargan, sentí que algo no encajaba bien.
Modelo de distribución
Si bien Moodle es distribuido bajo la licencia GNU, es necesario disponer de la infraestructura, recursos humanos y tiempo necesario para poder implementarlo y mantenerlo actualizado, seguro y funcionando correctamente.
Si sumamos a esto la necesidad de realizar backups de la información que manejamos en Moodle, o bien la gran cantidad de vulnerabilidades que son encontradas y explotadas en este sistema [1] [2], vamos descubriendo que necesitamos empujar bastante a Moodle para lograr implementarlo y mantenerlo funcionando correctamente.
Contenidos de Capacitación y Concientización
Uno de los elementos más importantes a la hora de llevar adelante un plan de Concientización son los contenidos que van a recibir los usuarios.
Muchos planes de concientización fracasan por no poseer contenidos atractivos y amigables para los usuarios. La asimilación es muy baja o hasta nula por no haber diseñado los contenidos en forma pedagógica, o por utilizar traducciones de contenidos creados para otras realidades e idiosincrasias diferentes a la de los usuarios que se desea concientizar.
Presentación de los contenidos
Moodle permite presentar el contenido de cada curso de diversas maneras, pero deja fuera recursos muy interesantes como la ludificación o el Game Based Learning que aumentan el grado de interés, implicación y asimilación de conocimiento de las personas a la vez que hacen más divertidas sus capacitaciones.
Si deseamos incorporar estos recursos en nuestro plan, deberemos empujar a Moodle con links a recursos externos de este tipo, los cuales deberemos desarrollar con recursos propios o contratar a terceras partes.
Calendarización
La mejor forma de llevar adelante un plan de Concientización es presentar los contenidos a los usuarios en forma paulatina, reforzando los mismos periódicamente y realizando diversos tipos de evaluación sin interferir en las tareas y el día a día de cada usuario y sin ahogarlos de un día para el otro en un mar de información.
¿Cansado de empujar?
Método de evaluación
Tan importante como llevar adelante un plan de Concientización es poder medir sus resultados. Moodle posee diversos módulos de evaluación para poder medir el rendimiento académico de los alumnos.
En el ámbito académico tradicional esto es suficiente, pero en el ámbito de la seguridad de la información no, ya que no sólo necesitamos evaluar qué sabe un usuario sino también cuáles son sus hábitos y comportamientos.
Reportes Gerenciales
Moodle nos brindará reportes de acuerdo a las evaluaciones realizadas. Por lo tanto los mismos estarán relacionados con el rendimiento académico de los alumnos. Será nuestra tarea entonces empujar a Moodle y complementar esta información para así lograr indicadores útiles para la alta gerencia.
Auditoría
Moodle posee logs orientados a registrar el rendimiento académico de alumnos, descritos como logs de actividad de curso.
Si estamos interesados en satisfacer diversos estándares de seguridad y calidad, como ser ISO 27001, ISO 9001, PCI DSS, DNPDP, normativas del BCRA, etc., deberemos entonces empujar a Moodle y tomar sus logs, postprocesarlos y complementarlos para satisfacer lo exigido por cada normativa.
Conclusión
En su día a día, los CISO poseen muchas tareas y responsabilidades, por lo que necesitan estar tranquilos y lograr sus resultados con mínimo esfuerzo. Moodle, en este ámbito, no será entonces la respuesta que buscamos.
Deja un comentario