Educación, Concientización y Entrenamiento - Fase 1.docx
Document Details
Uploaded by PlentifulMonkey
Universidad Autónoma de Nuevo León
Tags
Full Transcript
Introducción Un programa exitoso de concienciación sobre seguridad de la información es fundamental para garantizar que sus empleados tengan los conocimientos que necesitan para proteger su organización. Si bien los empleados son el activo más importante, también son el componente más débil y su ú...
Introducción Un programa exitoso de concienciación sobre seguridad de la información es fundamental para garantizar que sus empleados tengan los conocimientos que necesitan para proteger su organización. Si bien los empleados son el activo más importante, también son el componente más débil y su última línea de defensa. Una de las mejores formas de asegurarse de que sus empleados no cometan errores costosos en relación con la seguridad de la información consiste en establecer iniciativas de capacitación en concienciación sobre seguridad en toda la organización. Para lograr de forma efectiva el programa concienciación sobre seguridad es fundamental garantizar la identificación de los siguientes puntos: - Diseño del programa - Desarrollo del material del programa - Plan de implementación - Monitoreo y actualización Responsabilidades El programa de educación, concientización y entrenamiento suele tener algunos modelos de responsabilidad, en donde se determinara quien es la parte responsable dentro de la organización: - Centralizado - Toda la responsabilidad cae en la autoridad central, típicamente el CISO, CIO o Gerente de TI. - Parcialmente Centralizado - Políticas de entrenamiento y estrategia a cargo de la autoridad central, pero las funciones de implementación son distribuidas al personal de la organización. - Completamente Descentralizado - La autoridad central solo es responsable de la política del programa, todas las demás actividades son delegadas a personal o áreas en especifico. Consideraciones Para determinar el modelo del programa de educación, concientización y entrenamiento de la organización, comúnmente se toman en cuenta algunos factores como: - Presupuesto - Recursos disponibles - Tamaño de la organización - Objetivo global a alcanzar - Dispersión geográfica de la organización Definición del alcance El alcance del programa de seguridad va a depender de las consideraciones evaluadas del programa, por lo cual tomando en cuenta esos puntos, las definiciones de alcance aplicaran de la siguiente manera: - Personal considerado en el programa - Total de la organización o grupos en especifico - Mecanismos de desarrollo del programa - Presencial, sesiones remotas, material electrónico, plataformas de entrenamiento. - Tiempos - Periodicidad del programa, sesiones o actividades - Criterios de evaluación - Lista de asistencia, evaluaciones físicas, evaluaciones digitales Políticas Es importante validar previo al desarrollo de cualquier actividad relacionada al programa de ECE si dentro de las políticas de la organización ya se encuentra alguna dedición o avance con respecto al mismo tema. En caso de que la organización no cuente con políticas o procesos de seguridad de la información, es buen momento para determinar que este programa deberá estar alineado a una política para que en caso futuro de implementación, no se contraponga cualquier actividad ya desarrollada Comúnmente las organizaciones de nivel medio-alto, o aquellas que se encuentran en sectores con diversas regulaciones, como el Educativo, Banca o Gobierno, suelen tener algunas definiciones existentes acorde a las regulaciones o cumplimientos que tengan. Roles y responsabilidades Dependiendo del modelo de responsabilidad del programa, se adaptaran las responsabilidades a las personas o áreas que así se designen, mas sin embargo, es de suma importancia establecer por escrito, de ser posible en el programa de seguridad o gestión de la organización, cual es el rol y responsabilidad de cada una de las personas o áreas designadas. Este tipo de programa suelen caer en responsabilidad directa del departamento de IT, por tener relación con el contenido y plataformas a utilizar, sin embargo algunas organizaciones involucran a otros departamentos, como Recursos Humanos para que el contenido tome en cuenta factores alineados a un entrenamiento para cualquier persona; así mismo áreas como Marketing, quienes suelen encargarse de el desarrollo del material con los lineamientos establecidos por la organización. Definición de responsables En caso de que la organización no cuente con una estructura establecida para el desarrollo del programa, o que la estructura actual no contemple este tipo de actividades, es necesario considerar lo siguiente: - Designar un autoridad central sobre las actividades de seguridad de la información (CIO / CISO) - Esta a cargo comúnmente de la estrategia global de seguridad y programas de entrenamiento, concientización y educación. - Encabeza al equipo de recursos asignados con referencia en TI, como lo son responsables de Redes, Servidores o Bases de datos - Define roles y responsabilidades de los miembros de la organización - Asegura el consumo de recursos alineado a estrategias de menor privilegio - Mantiene el programa de entrenamiento alineado a las dediciones trabajadas previamente - Da un correcto seguimiento a registros de actividades relacionadas con seguridad de la información. Componentes del programa Un programa de seguridad de TI exitoso consiste en: 1. Desarrollar una política de seguridad de TI que refleje las necesidades comerciales atenuadas por los riesgos conocidos 2. Informar a los usuarios de sus responsabilidades de seguridad de TI, según lo documentado en la política y los procedimientos de seguridad de la agencia 3. Establecer procesos para monitorear y revisar el programa Un programa de concientización y capacitación es crucial porque es el medio para difundir la información que los usuarios, incluidos los gerentes, necesitan para hacer su trabajo. En el caso de un programa de seguridad de TI, es el medio que se utilizará para comunicar los requisitos de seguridad en toda la empresa. Un programa efectivo de capacitación y concientización sobre seguridad de TI explica las reglas de comportamiento adecuadas para el uso de la información y los sistemas de TI. El programa comunica las políticas y los procedimientos de seguridad de TI que deben seguirse. Concientización Concienciar no es entrenar. El propósito de las presentaciones de concientización es simplemente enfocar la atención en la seguridad. Las presentaciones de concientización están destinadas a permitir que las personas reconozcan las preocupaciones de seguridad de TI y respondan en consecuencia. En las actividades de concientización, el alumno es el receptor de la información, mientras que el alumno en un entorno de entrenamiento tiene un papel más activo. La capacitación es más formal, con el objetivo de desarrollar conocimientos y habilidades para facilitar el desempeño laboral. Un ejemplo de un tema para una sesión de concientización (o material de concientización que se distribuirá) es la protección contra virus. El tema puede abordarse de manera simple y breve describiendo: - ¿Qué es un virus? - ¿Qué puede suceder si un virus infecta el sistema de un usuario? - ¿Qué debe hacer el usuario para proteger el sistema? - ¿Qué debe hacer el usuario si se descubre un virus? Entrenamiento "El nivel de 'Entrenamiento' del continuo de aprendizaje se esfuerza por producir habilidades y competencias de seguridad relevantes y necesarias por parte de profesionales de especialidades funcionales distintas de la seguridad de TI (por ejemplo, administración, diseño de sistemas y desarrollo, adquisición, auditoría)." La diferencia más significativa entre entrenamiento y concientización es que la capacitación busca enseñar habilidades que permitan a una persona realizar una función específica, mientras que la concientización busca enfocar la atención de un individuo en un tema o conjunto de problemas. Un ejemplo de entrenamiento es un curso de seguridad de TI para administradores de sistemas, que debe abordar en detalle los controles de gestión, los controles operativos y los controles técnicos que deben implementarse. - Los controles de gestión incluyen políticas, gestión de programas de seguridad de TI, gestión de riesgos y seguridad del ciclo de vida. - Los controles operativos incluyen problemas de personal y usuarios, planificación de contingencias, manejo de incidentes, concientización y capacitación, soporte informático y operaciones, y problemas de seguridad física y ambiental. - Los controles técnicos incluyen identificación y autenticación, controles de acceso lógico, seguimiento de auditoría y criptografía. Educación "El nivel de \'Educación\' integra todas las habilidades y competencias de seguridad de las diversas especialidades funcionales en un conjunto común de conocimientos, agrega un estudio multidisciplinario de conceptos, problemas y principios (tecnológicos y sociales), y se esfuerza por producir especialistas en seguridad de TI y profesionales con capacidad de visión y respuesta proactiva." Un ejemplo de educación es una carrera técnica o profesional, bachillerato o licenciatura. Algunas personas toman un curso o varios cursos para desarrollar o mejorar sus habilidades en una disciplina en particular. Esto es entrenamiento en lugar de educación. Diseño del programa Los programas de concientización y capacitación deben diseñarse teniendo en cuenta la misión de la organización. Es importante que el programa de concientización y capacitación respalde las necesidades comerciales de la organización y sea relevante para la cultura y la arquitectura de TI de la organización. Los programas más exitosos son aquellos que los usuarios sienten que son relevantes para el tema y los temas presentados. ¿Cuál es nuestro plan para desarrollar e implementar oportunidades de concientización y capacitación que cumplan con las directivas existentes? Estructura - Modelo 1: Política, estrategia e implementación centralizadas - Modelo 2: Política y estrategia centralizadas, implementación distribuida - Modelo 3: Política centralizada, estrategia distribuida e implementación - El tamaño y la dispersión geográfica de la organización. - Funciones y responsabilidades organizacionales definidas - Asignaciones presupuestarias y autoridad Programa Centralizado Todas las directivas, el desarrollo de estrategias, la planificación y la programación se coordinan a través de la autoridad central. - La comunicación entre la autoridad central y las unidades organizacionales es en ambas direcciones. - Las unidades organizacionales proporcionan la información solicitada por la autoridad central. - La unidad organizacional también puede proporcionar retroalimentación sobre la efectividad del material de concientización y entrenamiento y sobre la idoneidad de los métodos utilizados para implementar el material. Este tipo de programa es comúnmente implementado por aquellas organizaciones que: - Son relativamente pequeñas o tienen un alto grado de estructura y administración central de la mayoría de las funciones de TI - Tienen, a nivel de sede, los recursos, la experiencia y el conocimiento necesarios de la(s) misión(es) y operaciones a nivel de unidad - Tienen un alto grado de similitud en la misión y los objetivos operativos en todos sus componentes. Programa Parcialmente Descentralizado La política y la estrategia del programa están definidas por una autoridad central, pero la implementación se delega a los funcionarios de gerencia de línea en la organización. La autoridad central puede requerir aportes periódicos de cada unidad organizacional, informando los gastos presupuestarios realizados, el estado de los planes de capacitación de la unidad e informes de progreso sobre la implementación del programa. La autoridad central también puede requerir que las unidades organizacionales informen el número de asistentes a las sesiones de concientización, el número de personas capacitadas en un tema en particular y el número de personas que aún no han asistido a las sesiones del programa. Se le puede pedir a la unidad organizacional que describa las lecciones aprendidas, de modo que la autoridad central pueda brindar orientación efectiva a otras unidades. Este tipo de programa es comúnmente implementado por aquellas organizaciones que: - Son relativamente grandes o tienen una estructura bastante descentralizada con responsabilidades claras asignadas tanto a la sede (central) como a los niveles de unidad - Tener funciones que estén repartidas en un área geográfica amplia - Tener unidades organizacionales con misiones diversas, de modo que los programas de concientización y capacitación puedan diferir significativamente, según las necesidades específicas de la unidad. Completamente Descentralizado La autoridad central difunde la política y expectativas del programa, pero otorga la responsabilidad de ejecutar el resto del programa a cada unidad organizacional. La autoridad central comunica las directivas de política de la organización con respecto a programa, y el presupuesto para cada unidad organizacional. La autoridad central también puede informar a las unidades organizacionales que son responsables de realizar su propia evaluación de necesidades, desarrollar su estrategia, desarrollar planes de capacitación e implementar el programa. La autoridad central puede brindar orientación o capacitación a las unidades organizacionales para que puedan cumplir con sus responsabilidades. Este tipo de programa es comúnmente implementado por aquellas organizaciones que: - Tener una estructura muy descentralizada con responsabilidades generales asignadas a la sede (central) y responsabilidades específicas asignadas a niveles de unidad - Tener funciones que estén repartidas en un área geográfica amplia - Tener unidades organizacionales casi autónomas con misiones separadas y distintas, de modo que los programas de concientización y capacitación deban diferir mucho. Evaluación de Necesidades Proceso que se puede utilizar para determinar las necesidades del programa de concienciación y entrenamiento de una organización. Los resultados de una evaluación de necesidades pueden proporcionar una justificación para convencer a la gerencia de que asigne los recursos adecuados para satisfacer las necesidades identificadas de concientización y entrenamiento. Al realizar una evaluación de necesidades, es importante que participe el personal clave. Como mínimo, los siguientes roles deben abordarse en términos de cualquier necesidad de capacitación especial: - Gerencia Ejecutiva. Los líderes organizacionales deben comprender completamente las directivas y leyes que forman la base del programa de seguridad. - Personal de Seguridad (Gerentes u Oficiales \[Managers or CISO\]). Consultores expertos de la organización, que están bien informados sobre la política de seguridad y mejores practicas aceptadas. - SystemOwners. Los responsables o dueños de sistemas o procesos deben tener una amplia comprensión de la política de seguridad y controles, así como los requisitos aplicables a los sistemas que administran. - Administradores de Sistemas o personal de soporte. Estas personas suelen tener autoridad sobre operaciones criticas de la organización, necesitan un amplio conocimiento técnico en practicas e implementación de medidas de seguridad. - Gerentes operativos y usuarios de sistemas. Este tipo de personas necesitan un alto grado de conciencia y entrenamiento sobre seguridad en los controles y reglas de comportamiento de los sistemas que utilizan para sus actividades laborales. A través de los siguientes criterios podemos recopilar información de la evaluación de necesidades: - Encuestas organizacionales - Análisis de métricas (porcentaje de usuarios con responsabilidades especificas) - Revisión de hallazgos de auditorias o controles internos - Análisis de eventos de seguridad (DoS, suplantaciones, malware o algún incidente reciente) - Validar procesos de control de cambios (cada cuando se hacen) - Orientación del sector al que pertenece la organización. Principales preguntas a desarrollar en una evaluación de necesidades: - ¿Qué concientización, entrenamiento y/o educación se necesitan (es decir, qué se requiere)? - ¿Qué se está haciendo actualmente para satisfacer estas necesidades? - ¿Cuál es el estado actual con respecto a cómo se están abordando estas necesidades (es decir, qué tan bien están funcionando los esfuerzos actuales)? - ¿Dónde están las brechas entre las necesidades y lo que se está haciendo (es decir, qué más se necesita hacer)? - ¿Qué necesidades son las más críticas? Desarrollo del material del programa Un número significativo de temas se pueden mencionar y discutir brevemente en cualquier sesión o campaña/programa de concientización. Los temas pueden incluir: - Uso y administración de contraseñas, incluida la creación, la frecuencia de los cambios y la protección - Protección contra virus, gusanos, troyanos y otros códigos maliciosos: exploración, actualización de definiciones--Política: implicaciones del incumplimiento - Correo electrónico/archivos adjuntos desconocidos - Uso de la web: permitido vs prohibido; seguimiento de la actividad del usuario - Correo no deseado / SPAM - Copia de seguridad y almacenamiento de datos: enfoque centralizado o descentralizado - Ingeniería social - Respuesta a incidentes: ¿contactar a quién? \"¿Qué debo hacer?\" - Shouldersurfing - Cambios en el entorno del sistema: aumento de los riesgos para los sistemas y los datos (p. ej., agua, fuego, polvo o suciedad, acceso físico) - Transferencia de inventario y propiedad: identifique la organización responsable y las responsabilidades del usuario (por ejemplo, desinfección de medios) - Problemas de uso personal y ganancia: sistemas en el trabajo y el hogar - Problemas de seguridad de los dispositivos portátiles: problemas de seguridad físicos e inalámbricos - Uso de encriptación y transmisión de información sensible/confidencial a través de Internet: dirección de la política de la agencia, procedimientos y contacto técnico para asistencia - Seguridad de la computadora portátil mientras viaja: aborde los problemas de seguridad física y de la información - Sistemas y software de propiedad personal en el trabajo: indique si está permitido o no (por ejemplo, derechos de autor) - Aplicación oportuna de parches del sistema: parte de la gestión de la configuración - Problemas de restricción de licencias de software: abordar cuándo se permiten y no se permiten las copias - Software admitido/permitido en los sistemas de la organización: parte de la gestión de la configuración - Problemas de control de acceso: abordar el privilegio mínimo y la separación de funciones - Responsabilidad individual: explique lo que esto significa en la organización - Uso de declaraciones de reconocimiento: contraseñas, acceso a sistemas y datos, uso y ganancia personal - Control de visitantes y acceso físico a los espacios: discuta la política y los procedimientos de seguridad física aplicables, por ejemplo, desafiar a extraños, informar actividades inusuales - Seguridad de escritorio: discuta el uso de protectores de pantalla, restringiendo la vista de los visitantes de la información en la pantalla (evitando/limitando la \"navegación por el hombro\"), dispositivos de respaldo de batería, acceso permitido a los sistemas - Proteger la información sujeta a preocupaciones de confidencialidad: en sistemas, archivada, en medios de copia de seguridad, en forma impresa y hasta que se destruya - Etiqueta de la lista de correo electrónico: archivos adjuntos y otras reglas.
