A la hora de concientizar es ideal contar con una única plataforma que permita llevar adelante toda la gestión del programa y correlacionar las acciones de concientización en un único lugar.
Con esto nos referimos a que posea herramientas de simulación de ataques de Ingeniería Social para evaluar el nivel de riesgo actual, y también herramientas de concientización para llevarlo a un nivel de riesgo aceptable.
Esto aumentará la productividad, ya que podrá llevar adelante una gestión integral y contará con reportes de correlación que demuestren la evolución del comportamiento de los usuarios de manera sencilla.
Si las herramientas de simulación de ataques de Ingeniería Social y las herramientas de concientización en ciberseguridad no se encuentran correlacionadas entre sí, se pueden dar escenarios que no son favorables para la creación de una cultura cibersegura.
Por un lado, hay que tener en cuenta que simular y concientizar son dos acciones que van de la mano y se retroalimentan. El resultado de una lleva a realizar ajustes y planificaciones específicas en la otra.
Por otro lado, al gestionar la Ingeniería Social estamos tratando con personas (human risk management). El éxito del programa depende en gran medida de su nivel de interés y compromiso. Ambos factores se verán afectados si el programa no se encuentra ordenado y coordinado correctamente.
Si se lanzan simulaciones de Phishing, Ransomware, QRishing, USB Drop, etc., sin tener en cuenta las acciones actuales del programa de concientización en ciberseguridad, los escenarios seleccionados no guardarán relación con el programa. Posiblemente se envíe a todos los usuarios el mismo contenido, sin importar su scoring de riesgo, su nivel actual de progreso en el programa o el área funcional a la que pertenecen (entre otros factores). Esto va a disminuir la eficacia de la medición y no permitirá que se aprovechen las simulaciones al 100%.
Otro problema común de la falta de correlación es que la herramienta de simulación puede mostrar mensajes de formación que no se correspondan con la forma de comunicación que los usuarios están acostumbrados a ver en el programa de concientización. Si la herramienta de simulación utiliza otro remitente, con diferente diseño gráfico, diferentes trato hacia el usuario, etc., se verá disminuido el nivel de engagement.
Los resultados de las simulaciones de ataques de Ingeniería Social son una entrada importante para el programa de concientización en seguridad de la información. Si no se correlacionan los datos, se dan situaciones no deseadas, como por ejemplo que los usuarios reincidentes no reciben refuerzos en la concientización, o que los usuarios con buen comportamiento no reciben incentivos.
Otro ejemplo común es que la dificultad de las trampas enviadas desde el equipo que maneja la herramienta de simulación cambie de manera arbitraria, sin tener en cuenta el progreso actual que cada usuario tiene en el programa de concientización.
Contar con toda la información en una misma plataforma permite que la productividad aumente al eliminarse los trabajos de importación, exportación y reprocesamiento de datos. De manera sencilla se puede conocer si las acciones que estamos realizando están dando el resultado que esperamos.
Además, el programa se adapta más fácilmente al comportamiento de los usuarios. Por ejemplo, mediante el uso de grupos inteligentes donde se pueden asignar acciones de concientización automáticas a los usuarios que tienen comportamientos inseguros (por ejemplo aquellos que caen más seguido en trampas de Phishing).
Phishing, Ransomware, USB Drop, Smishing, Momentos Educativos, Scoring de Riesgo y más...
Conocer más
Todas las herramientas que necesitas para llevar adelante tu programa de concientización.
Conocer más
La plataforma SMARTFENSE brinda diversas opciones de integración con otros fabricantes.
Conocer más
En este post analizamos qué debe tener en cuenta a la hora de elegir una plataforma de concientización en ciberseguridad.
No importa dónde estés, solo basta levantar la vista para encontrar la torre. Su presencia es constante y abrumadora…
¿Qué dice el RGPD acerca de este tipo de información? ¿Podemos utilizarlo en nuestros programas de concientización?