![\"\"](\"https:\/\/smartfense.com\/file\/2023\/08\/congratulations_ciso.jpg\")
<\/p>\nSupongamos que llegamos a una organizaci\u00f3n sin herramientas tecnol\u00f3gicas de protecci\u00f3n. Comenzamos pues con la instalaci\u00f3n de herramientas Antivirus, Antispam, Firewall, IDS\/IPS, DLP, etc. Luego de un a\u00f1o de ardua dedicaci\u00f3n, implementando, configurando y manteniendo las herramientas, llegamos al nivel de seguridad deseado.\u00a0Y abandonamos todo<\/b>. No realizamos m\u00e1s mantenimiento a ninguna herramienta, suspendemos las actualizaciones, dejamos de pagar las licencias de software, e incluso reducimos los equipos. Nos olvidamos de su existencia.<\/p>\n
\u00bfSuena inteligente?<\/b><\/p>\n
<\/p>\n
Igual de buena<\/b>\u00a0es la idea de ejecutar un programa de concienciaci\u00f3n, llevar el nivel de riesgo de la organizaci\u00f3n a un punto aceptable, aportar valor a las personas de nuestra organizaci\u00f3n, y luego de un a\u00f1o, dar por finalizada la gesti\u00f3n.<\/p>\n
Veamos por qu\u00e9:<\/i><\/p>\nGesti\u00f3n de riesgos<\/h2>\n
Mediante la concienciaci\u00f3n se gestiona uno de los principales riesgos de ciberseguridad que enfrentan las organizaciones: la ingenier\u00eda social.
\nPr\u00e1cticamente\u00a0todos los informes de la \u00faltima d\u00e9cada<\/b>\u00a0mencionan al Phishing como la puerta de entrada de m\u00e1s del 90% de los ciberataques. No importa la regi\u00f3n a la que haga referencia el informe, tampoco la organizaci\u00f3n que lo desarrolle, ni el a\u00f1o que analice.\u00a0El Phishing es el problema principal.<\/b><\/p>\n
Si las herramientas tecnol\u00f3gicas son cada d\u00eda m\u00e1s eficientes<\/b>, sus t\u00e9cnicas m\u00e1s elaboradas (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection), e incluso hacen uso de Machine Learning,\u00a0\u00bfpor qu\u00e9 el problema se mantiene o crece a\u00f1o a a\u00f1o?<\/b><\/p>\n
Los ciberdelincuentes\u00a0van directo a las personas<\/b>, y saltan de esta manera las medidas de protecci\u00f3n tecnol\u00f3gicas. Este riesgo existe, est\u00e1 sucediendo y es peligroso. Los costos tecnol\u00f3gicos y de negocio que las organizaciones pueden sufrir por un ataque de ingenier\u00eda social son suficientes como para interrumpir su funcionamiento y hasta provocar su quiebra.<\/p>\n
\u00bfY c\u00f3mo gestionamos un riesgo as\u00ed?<\/b><\/p>\n
Como gestionamos todos los riesgos. Hay que medir el nivel de exposici\u00f3n actual y realizar acciones para llevarlo a un nivel deseado. Una vez all\u00ed,\u00a0debemos seguir midiendo y manteniendo en ese punto deseado de manera continua<\/b>. Para esto sirve exactamente un programa de concienciaci\u00f3n.<\/p>\n
Si lo llevas a cabo un tiempo y luego lo dejas, \u00bfc\u00f3mo sabes cu\u00e1l es el nivel de exposici\u00f3n actual de tu organizaci\u00f3n frente a un ataque de ingenier\u00eda social? \u00bfC\u00f3mo lo mantienes bajo? \u00bfQu\u00e9 acciones puedes tomar respecto a las personas con scoring de riesgo elevado? \u00bfD\u00f3nde queda la inversi\u00f3n realizada en el per\u00edodo donde s\u00ed concienciaste?<\/p>\n
![\"\"](\"https:\/\/smartfense.com\/file\/2023\/08\/gestionar_riesgos-1024x683.jpg\")
<\/p>\n
Cuando concienciamos, uno de los objetivos estrat\u00e9gicos principales del programa es\u00a0desarrollar una cultura segura<\/b>\u00a0dentro de la organizaci\u00f3n.<\/p>\n
\u00bfQu\u00e9 significa esto?<\/b><\/p>\n
Una cultura segura es aquella donde\u00a0los usuarios encuentran en la seguridad un valor agregado<\/b>\u00a0para su vida personal y corporativa. El \u00e1rea de ciberseguridad aporta informaci\u00f3n \u00fatil y el usuario la reconoce como tal, teniendo en cuenta los aspectos de seguridad en su d\u00eda a d\u00eda (tanto dentro como fuera de la organizaci\u00f3n).\u00a0La persona demuestra h\u00e1bitos seguros en sus peque\u00f1os accionares diarios<\/b>, como reportar correos sospechosos, no descargar archivos inesperados, utilizar contrase\u00f1as fuertes o doble factor de autenticaci\u00f3n, bloquear la pantalla antes de levantarse del escritorio, y un largo etc\u00e9tera.<\/p>\n
\u00bfC\u00f3mo se logra?<\/b><\/p>\n
Transmitiendo contenidos de calidad<\/b>\u00a0a trav\u00e9s de diferentes medios (Videos, Videojuegos, M\u00f3dulos Interactivos,etc.), actualizados, centrados en el refuerzo positivo y en el aporte de valor a la persona.<\/p>\n
\u00bfC\u00f3mo se mide?<\/b><\/p>\n
De manera objetiva<\/b>, a trav\u00e9s de la evaluaci\u00f3n de los comportamientos de los usuarios (mediante herramientas de simulaci\u00f3n) y de sus conocimientos y opiniones (ex\u00e1menes y encuestas).<\/p>\n
Para lograr un cambio de cultura es necesario construir sobre el cambio,\u00a0establecer procesos de mejora continua<\/b>, y anclar los cambios en la cultura organizacional.<\/p>\n
\u00bfCu\u00e1nto se tarda?<\/b><\/p>\n
No debemos ver a la cultura segura como un proyecto a lograr en cierto per\u00edodo de tiempo. Una cultura segura\u00a0se desarrolla y se mantiene todos los d\u00edas<\/b>. Y esto en gran medida tiene que ver con el hecho de que estamos trabajando con personas:<\/p>\n Entonces, al igual que un riesgo se debe gestionar de manera continua,\u00a0una cultura segura se debe mantener d\u00eda a d\u00eda<\/b>.<\/p>\n Volviendo a pensar en el ejemplo inicial: \u00bfPor qu\u00e9 actualizamos las soluciones tecnol\u00f3gicas de la organizaci\u00f3n? Porque el Malware evoluciona, las t\u00e9cnicas de evasi\u00f3n mejoran, se descubren nuevas vulnerabilidades, etc.<\/p>\n \u00bfPor qu\u00e9 entonces no mantener siempre actualizada a la capa humana?<\/b><\/p>\n Es la capa m\u00e1s atacada por los ciberdelincuentes. \u00bfNo deber\u00eda ser acaso la capa m\u00e1s fuerte?\u00a0Depende de nosotros.<\/i><\/p>\n Los ciberdelincuentes son originales, inteligentes y realmente creativos. Adem\u00e1s, est\u00e1n altamente motivados porque\u00a0ven resultados muy lucrativos<\/b>. Los usuarios deben estar al tanto de todas las novedades sobre ellos, para\u00a0detectar enga\u00f1os y prevenir problemas de seguridad.<\/b><\/p>\n Actualmente\u00a0m\u00faltiples normativas exigen concientizar a los usuarios<\/b>, y no por \u00fanica vez. Adem\u00e1s, las mismas normativas se actualizan y modifican con el tiempo, y es necesario adaptarse para seguir dando cumplimiento.<\/p>\n La concienciaci\u00f3n tiene el poder de\u00a0mejorar la imagen que los usuarios tienen del \u00e1rea de ciberseguridad<\/b>\u00a0de la organizaci\u00f3n. Los usuarios dejan de percibir a los controles como trabas en su trabajo diario y encuentran un aliado en la imagen del CISO y su \u00e1rea, tanto para su vida personal y laboral.<\/p>\n Si luego de un per\u00edodo de concienciaci\u00f3n las acciones cesan bruscamente,\u00a0la imagen del \u00e1rea va a decaer,\u00a0<\/b>ya que hizo algo apreciado por las personas y luego se abandon\u00f3. Habr\u00e1 personas esperando una frecuencia en la comunicaci\u00f3n y con el tiempo se olvidar\u00e1n de la ayuda que encontraron en el \u00e1rea.<\/p>\n Los riesgos existen porque\u00a0los factores que los provocan est\u00e1n fuera de nuestro control directo<\/b>\u00a0y tienen cierta probabilidad de ocurrir. Pero\u00a0no perdamos de vista el problema que estamos enfrentando<\/b>. Si concienciamos un a\u00f1o, dos, o tres, y luego abandonamos el proceso,\u00a0los factores de riesgo van a seguir ah\u00ed<\/b>, y la probabilidad de afectar a nuestra organizaci\u00f3n va a aumentar a medida que las acciones que realizamos se vayan diluyendo con el tiempo.<\/p>\n \u00bfHas concienciado un a\u00f1o y dado por finalizado el problema? \u00a1Felicitaciones!\u00a0Ya no gestionas el principal riesgo de ciberseguridad\u00a0<\/b>y pronto tu organizaci\u00f3n ser\u00e1 v\u00edctima de Phishing (o quiz\u00e1s ya lo es).<\/p>\n","protected":false},"excerpt":{"rendered":" Supongamos que llegamos a una organizaci\u00f3n sin herramientas tecnol\u00f3gicas de protecci\u00f3n. Comenzamos pues con la instalaci\u00f3n de herramientas Antivirus, Antispam, Firewall, IDS\/IPS, DLP, etc. Luego de un a\u00f1o de ardua […]<\/p>\n","protected":false},"author":2,"featured_media":10853,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[198],"tags":[193],"class_list":["post-11063","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-plan-de-concientizacion-es-ar"],"acf":[],"yoast_head":" \n\n
Actualizaci\u00f3n<\/h2>\n
![\"\"](\"https:\/\/smartfense.com\/file\/2021\/02\/buena_segura_barata-1024x538.jpg\")
<\/p>\nRegulaciones y Normativas<\/h2>\n
Imagen del \u00e1rea de seguridad<\/h2>\n
Ideas finales<\/h2>\n
\nLa decisi\u00f3n de actuar sobre\u00a0uno de los riesgos m\u00e1s relevantes en la ciberseguridad<\/b>\u00a0mediante un proceso de Hardening de Usuarios es, hoy m\u00e1s que nunca, un punto infaltable en nuestra estrategia de seguridad.<\/p>\n