Educación, Concientización y Entrenamiento - Fase 2.docx
Transcript
Implementación del programa Un programa de concientización y entrenamiento sobre seguridad de TI debe implementarse solo después de: - Se ha realizado una evaluación de necesidades - Se ha desarrollado una estrategia - Se ha completado un plan de programa de sensibilización y capacitac...
Implementación del programa Un programa de concientización y entrenamiento sobre seguridad de TI debe implementarse solo después de: - Se ha realizado una evaluación de necesidades - Se ha desarrollado una estrategia - Se ha completado un plan de programa de sensibilización y capacitación para implementar esa estrategia - Se ha desarrollado material de sensibilización y formación. Plan de comunicación La implementación del programa debe ser completamente explicada a la organización para lograr el apoyo para su implementación y el compromiso de los recursos necesarios. Esta explicación incluye las expectativas de la administración de la empresa y el apoyo del personal, así como los resultados esperados del programa y los beneficios para la organización. Es esencial que todos los involucrados en la implementación del programa comprendan sus funciones y responsabilidades. Centralizado - El CIO y/o el gerente del programa de seguridad de TI desarrollan toda la política de capacitación y concientización sobre seguridad de TI de la organización, desarrollan la estrategia y el plan del programa, e implementan el programa. Por lo tanto, todo el presupuesto necesario para el desarrollo e implementación de materiales es controlado y proporcionado por el CIO y el gerente del programa de seguridad de TI. - El CIO y/o el gerente del programa de seguridad de TI deben informar al jefe de la organizacion y a la alta gerencia sobre el plan de implementación y obtener la aprobación para comunicarlo a toda la agencia. Parcialmente descentralizado - El CIO y/o el gerente del programa de seguridad de TI desarrollan toda la política de capacitación y concientización sobre seguridad de TI de la agencia y desarrollan la estrategia. También realizan la evaluación de necesidades, de la cual se deriva la estrategia. - A los gerentes de las unidades organizacionales se les proporciona un presupuesto de concientización y capacitación, desarrollan planes de capacitación para su propia unidad e implementan el programa. - Deben proporcionar informes de estado al CIO y/o al administrador del programa de seguridad de TI según sea necesario. Totalmente descentralizado - El CIO y/o el gerente del programa de seguridad de TI difunden una política y expectativas amplias con respecto al programa de capacitación y concientización sobre seguridad de TI. - La ejecución del resto del programa es responsabilidad de las unidades orgánizacionales. - Se espera que los gerentes de las unidades organizacionales realicen una evaluación de necesidades, formulen una estrategia, desarrollen un plan de capacitación, desarrollen material de capacitación y concientización, e implementen el programa de capacitación y concientización. Técnicas de entrega del material Existen muchas técnicas para hacer que un mensaje de concientización sobre la seguridad de TI, o una serie de mensajes, se difunda a través de la organización. Las técnicas elegidas dependen de los recursos y la complejidad de los mensajes. Algunas de las técnicas utilizados son: - Mensajes en herramientas de concientización (plumas, tazas, termos, post-it, o algún articulo de novedad) - Posters de "No hacer / Deber hacer" - Listas de verificación - Protectores de pantalla, mensajes de advertencia. - Boletines informativos - Alertas de escritorio a escritorio (boletines impresos, mensajes llamativos)\* - Correos electrónicos a toda la organización - Seminarios o webinars - Videoconferencias - Sesiones presenciales - "IT Security Day" o eventos con dicha temática - Calendarios programados con sesiones de seguridad - Consejos mensuales en diferentes plataformas internas - Dinámicas, juegos interactivos - Programa de premiación (agradecimientos, placas, cartas, etc) Para poder asegurar que las técnicas a utilizar sean las adecuadas, es comun responder a estas preguntas para su selección: - ¿Qué técnicas son las mas efectivas? - ¿Qué debe considerar una técnica para lograr ser efectiva? - ¿Cuánto debo de gastar en implementar el material adecuado? Técnicas de entrega de entrenamientos Para hacer efectivo un entrenamiento, se recomienda considerar las siguientes características en la tecnología a utilizar: - Facilidad de uso. - Fácil acceso, actualizaciones, mantenimientos, etc. - Escalabilidad. - Diferentes capacidades de usuarios, fácil crecimiento, múltiples ubicaciones. - Registro y estadísticas. - Seguimiento y avance del material por usuario. - Amplio soporte de la industria. - Soporte a la plataforma, formato de material compatible. Algunas organizaciones considerar la implementación de algunas técnicas como: - Entrenamientos de video interactivo. - Plataforma considerada efectiva por capacidad de interacción con el usuario, mediante audio y video. - Entrenamiento en plataformas Web. - Fácil despliegue y compatibilidad con diferentes entornos sin necesidad de formatos compatibles, comúnmente usada para aprendizaje a sus tiempos. - Entrenamiento en plataforma especifica. - Cada vez menos utilizado pero mayor precisión del contenido y seguimiento del avance del material por usuario.---- - Entrenamiento en sitio por instructor. - Formato mas antiguo pero efectivo acorde a ciertas audiencias. Suele considerarse con mayores desventajas por perdida de atención, enfoque, etc, pero todo dependerá al desempeño del material y presentador. Mantenimiento y actualización del programa Una vez que se ha implementado el programa, se deben establecer procesos para monitorear el cumplimiento y la eficacia. Se debe diseñar un sistema de seguimiento automatizado para capturar información clave sobre la actividad del programa (ejemplo, cursos, fechas, audiencia, costos, fuentes). El sistema de seguimiento debe capturar estos datos a nivel de compañía, de modo que puedan usarse para proporcionar análisis e informes de toda la empresa con respecto a las iniciativas de concientización, entrenamiento y educación. Los requisitos para la base de datos deben incorporar las necesidades de todos los usuarios previstos. Los usuarios típicos de la base de datos incluirían: - CIO: - Pueden usar la base de datos para respaldar la planificación estratégica, informar al jefe de la compañía y a otros altos funcionarios de la gerencia sobre el estado del programa de capacitación y concientización sobre seguridad de TI, identificar la capacidad interna y las necesidades críticas en la fuerza laboral de seguridad, realizar análisis de programas, identificar actividad en toda la empresa, ayudar en la seguridad y el presupuesto de TI, identificar la necesidad de mejorar el programa y evaluar el cumplimiento - Gerentes de programas de seguridad de TI: - Pueden usar la base de datos para respaldar la planificación de seguridad, proporcionar informes de estado al CIO y a otro personal de administración y seguridad, justificar solicitudes de financiamiento, demostrar el cumplimiento de las metas y objetivos establecidos por la empresa, identificar proveedores y otras fuentes de capacitación, responder a consultas relacionadas con la seguridad, identificar la cobertura actual y hacer ajustes por omisiones críticas - Departamentos de recursos humanos: - Pueden usar la base de datos para garantizar que exista un mecanismo efectivo para capturar toda la capacitación relacionada con la seguridad, identificar los costos relacionados con la capacitación en seguridad de TI, ayudar en el establecimiento de descripciones de puestos, respaldar informes de estado, responder a consultas de capacitación y ayudar en desarrollo profesional. - Departamentos de capacitación de la empresa: - Pueden usar la base de datos para ayudar a desarrollar una estrategia general de capacitación de la empresa, establecer requisitos de la base de datos de capacitación relacionados con las directivas de seguridad, identificar posibles fuentes de capacitación, respaldar solicitudes de capacitación, identificar la relevancia y popularidad del curso, respaldar la actividad presupuestaria y responder consultas. - Gerentes funcionales: - Pueden usar la base de datos para monitorear el progreso de la capacitación de sus usuarios y ajustar los planes de capacitación de los usuarios según sea necesario, obtener informes de estado y responder consultas sobre capacitación en seguridad en sus componentes, e identificar fuentes y costos de capacitación para ayudar con las solicitudes y propuestas de presupuesto. - Auditores: - Pueden usar la información de la base de datos para monitorear el cumplimiento de las directivas de seguridad y la política de la empresa. - Directores financieros (CFO): - Pueden usar la información de la base de datos para responder a consultas presupuestarias, ayudar en la planificación financiera y proporcionar informes al director de la empresa y a los gerentes superiores con respecto a las actividades de financiación de la capacitación en seguridad. Retroalimentación Los mecanismos formales de evaluación y retroalimentación son componentes críticos de cualquier programa de concientización, capacitación y educación sobre seguridad. La mejora continua no puede ocurrir sin un buen sentido de cómo está funcionando el programa existente. El mecanismo de retroalimentación debe estar diseñado para abordar los objetivos establecidos inicialmente para el programa. Una vez que se han solidificado los requisitos básicos, se puede diseñar e implementar una estrategia de retroalimentación. Una estrategia de retroalimentación debe incorporar elementos que aborden: - Calidad - Alcance - Método de implementación (ejemplo, basado en la web, en sitio, remoto), - Nivel de dificultad - Facilidad de uso - Duración de la sesión(es) - Relevancia - Vigencia - Sugerencias de modificación. Métodos para solicitar retroalimentación: - Formularios de evaluación/cuestionarios - Se puede utilizar una variedad de formatos. - Los mejores diseños eliminan la necesidad de escribir mucho por parte de la persona que los completa. - La clave es diseñar los formularios para que sean lo más fáciles de usar posible. - Grupos de enfoque - Reunir a los sujetos de la capacitación en foros abiertos para discutir sus perspectivas sobre la efectividad del programa de capacitación en seguridad de TI y solicite sus ideas para mejorar. - Entrevistas selectivas - Este enfoque primero identifica los grupos objetivo de capacitación en función del impacto, la prioridad u otros criterios establecidos e identifica áreas específicas para la retroalimentación. - Normalmente se lleva a cabo utilizando uno- entrevistas individuales o en pequeños grupos homogéneos (generalmente diez o menos). - Observación/análisis independiente - Incorporar una revisión del programa de capacitación y concientización sobre seguridad de TI como una tarea para un contratista externo u otro tercero como parte de una auditoría iniciada por una empresa. - Informes de estado formales - Implementar un requisito de informes de estatus frecuentes por parte de los gerentes funcionales o personal a cargo de actividades - Evaluación comparativa del programa de seguridad (vista externa). - Muchas organizaciones incorporan la evaluación comparativa del \"Programa de seguridad\" como parte de su estrategia para la mejora continua y la búsqueda de la excelencia. - La forma de evaluación comparativa de seguridad enfocada externamente compara el desempeño de una organización con otras organizaciones y proporciona un informe a la empresa sobre dónde se encuentran en función de las líneas de base observadas en todas las organizaciones con datos actualmente disponibles. Tendencias - Pruebas de phishing simulado - Entrenamientos as a Service - Herramientas Avanzadas - Vishing - Pruebas de USB Marcas sobresalientes - KNOWBE4 - PROOFPOINT - INFOSEC - TERRANOVA - MEDIAPRO - SANS Recomendaciones - Establecer alcance - Concientización - Entrenamiento - Educación - Establecer mecanismo de entrega - Directo / Presencial - Online / Plataformas - Dar seguimiento y redefinir alcances - Mejorar - Robustecer
