Mòdul Professional 1: Incidents de ciberseguretat - Plans de formació i conscienciació en matèria de ciberseguretat

Índex

A ciberseguretat la tecnología no és suficient per mantenir els sistemes IT segurs, de fet el factor determinant és l'humà.

Els treballadors en definitiva són els operadors del sistema IT i per tant els que acaben utilitzant correctament, o no, aquests sistemes.

És per això que cal inculcar a tot el personal de l'organització (treballadors i directius) una cultura en ciberseguretat que permeti utilitzar els recursos de l'organització de firma òptima i segura, tot seguint les normes internes, complir amb les polítiques i la legislació vigent.

1 Factor humà

El factor humà és el més feble de la cadena i per tant cal invertir recursos en el seu enfortiment. Això implica dos factor bàsicament consciencia de la necessitat i importància junt amb coneixement i habilitat.

Per tant s'han d'establir dues línies d'actuació:

Plans de conscienciació
Aquests plans proporcionaran una línia d'acció que permeti sensibilitzar tant treballadors com directius de la importància de la ciberseguretat dins l'empresa, valorant-la com un valor afegit.
Plans de formació
Un cop sensibilitat, el personal de l'empresa necessitarà coneixements de diferents àrees i nivells dins la disciplina de ciberseguretat, així com habilitats, que els permetin treballar de forma segura i també detectar qualsevol incidència que es pugui produir i reaccionar de forma ràpida i efectiva.

1.1 Sensibilitat enfront la ciberseguretat

Ens podem trobar diferents perfils de sensibilitat o actitud davant la ciberseguretat:

Apàtics i esceptics
Creuen que la ciberseguretat està sobrevalorada i que els mecanismes implementats en els deixen treballar correctament. En conseqüència acostumen a saltar-se les polítiques establertes.
Amb falta de consciencia
Esperen que l'empresa s'encarregui de la seguretat i no asumenixen cap mena de responsabilitat.
Benintencionats
Intenten complir amb les polítiques de seguretat, però molts cops no ho fan amb constància o rigorositat.
Conscienciats
Entenen els riscos als quals estan exposats i intenten mantenir-se segurs seguint les polítiques establertes.

2 Cultura de ciberseguretat

Desenvolupar i integrar una cultura de seguretat a l'organització és complex i requereix per un costat molt temps alhora que implica realitzar accions continuades (insistir-hi molt).

L'objectiu és aconseguir que tot membre de l'organització pregui consciència de la importància de seguretat alhora que interioritzi conceptes i procediments en les seves tasques diàries (i no es vegin com una molèstia, sinó com una necessitat).

Normalment la visió que es té de les polítiques de seguretat és que imposen restriccions en les tasques qüotidianes molt incòmodes i pesades, cosa que les dificulta de forma incomprensible. Cal revertir aquesta visió incidint en la cultura de seguretat.

Cal fer entendre que incrementar el nivell de seguretat implica una millora de l'imatge i dels processos de negoci, això com evitar pèrdues, cosa que en definitiva és rentable (genera ingressos).

2.1 Accions de l'organització

Caldrpa que l'organització faci:

Formació
Per dotar de coneixements i procediments adequats als membres de l'organització en matèria de seguretat.
Polítiques
Per definir els objectius en la matèria, establir normes i procediments a aplicar.
Auditoríes
Per verificar que les bones pràctiques en seguretat (les polítiques) s'estàn aplicant i són suficients.
Accions de conscienciació
Per sensibilitzar els membres de l'organització en matèria de seguretat.

2.2 Desenvolupament

2.2.1 Compromís de confidencialitat

El primer que cal fer és, en contractar personal, fer signar un compromís de confidencialitat. Aquest compromís l'ha de signar tothom, especialment aquells que treballin amb dades confidencials, inclosos els col·laboradors (terceres empresses).

2.2.2 Polítiques de seguretat

Com a document principal i inicial es redacta la política de seguretat que no deixa de ser una declaració formal de que la seguretat forma part de l'empresa i cal fomentar-la dins de la seva cultura. A més es defineixen (llisten) els procediments i normes que s'han d'aplicar a l'organització.

Cadascuna d'aquestes normes, o polítiques, apliquen a un àmbit concret i descriuen els actius i procediments a aplicar. Podem trobar aquí un ventall ampli de polítiques, algunes que ja hem treballat en cursos anteriors com la política de còpies de seguretat, política d'emmagatzematge, política de contrasenyes, etc.

Cal fer esment que la política de seguretat es difondrà per tota l'empresa, i les polítiques concretes seran seccionades i distribuïdes segons apliqui. Això vol dir que no tothom ha de conèixer com es gestionaran les contrasenyes o les còpies de seguretat per exemple.

2.2.3 Administrador o comitè de seguretat

La responsabilitat que te és la de:

  • Desenvolupar i redactar les polítiques, normes i procediments de seguretat.
  • Actualitzar i mantenir les polítiques, tot incorporant canvis legislatius, organitzatius, canvis en l'entorn o noves tecnologies,
  • Distribuir de forma correcte les polítiques en els treballadors per a la seva aplicació.

3 Establimnet d'una normativa de seguretat

Com hem vist fins ara, la ciberseguretat ve regida dins l'organització mitjançant polítiques de seguretat, on es defineixen els protocols d'actuació, els usos permesos dels recursos corporatius i també les sancions.

La política superior és la Política de Seguretat on es recullen els objectius en matèria de ciberseguretat de l'organització. Aquesta política ha de ser formalment aprovada per la Direcció de l'organització, fet que la dotarà de validesa i força per fer aplicada i acatada per tota l'organització.

Dins d'aquesta Política de Seguretat s'establiran:

Objectius
De forma poc tècnica i relativament concreta, quins objectius en la matèria es volen assolir i quines són les prioritats.
Estructura interna
Organigrama intern, estructura de càrrecs, recursos humans.
Estructura externa
Encaix en l'organigrama de l'organització, normalment independent i penjant directament de la Direcció.
Recursos econòmics
Assignació econòmica per poder operar.

A partir d'aquí és el propi Responsable de Seguretat que agafa les regnes i desenvolupa les polítiques que donen concreció i resposta als objectius expressats en la política de seguretat.

Un cop aprovades aquestes polítiques (per part del Dept. de Seguretat, ja no cal Direcció) son comunicades als membres de l'organització per al seu compliment.

4 Auditar les bones pràctiques

Un cop definides les polítiques i comunicades a les parts afectades cal verificar la seva aplicació.

El responsable de fer-ho és l'administrador de seguretat i té com objectius:

  • Verificar la vigència.
  • Verificar l'actualitat i adaptada al entorn.
  • Verificar la implantació.
  • Verificar el compliment.

Aquestes verificacions s'acostumen a realitzar mitjançant:

  • Solucions tecnològiques que impedeixin les accions no permesses.
  • Eines que registrin les operacions i permetin la traçabilitat de les mateixes.
  • Auditories, internes i/o externes.

5 Accions de formació i conscienciació

Permeten recordar les polítiques i comunicar canvis amb l'objectiu de reforçar l'aplicació de les mateixes i evitar que s'oblidin.

També, si s'avaluen d'alguna forma, permeten veure en quin nivell de maduresa està l'aplicació de les polítiques i la cultura de seguretat de l'empresa.

Podem distingir tres tipus de formacions depenent de la tipologia d'alumne que tindran:

5.1 Formació a personal tècnic

És molt important, especialment en organitzacions amb alta dependència tecnològica, donat que la tecnologia evoluciona molt ràpidament i a més aquest personal tècnic desenvoluparà també tasques de assessoria i suport en tecnologia i seguretat a l'usuari final, amb tot és una formació molt important.

5.2 Formació a usuaris finals

Cal formar als usuaris finals en matèria de seguretat per a que siguin conscients de la importància de la informació amb la que treballen i segueixin procediments que assegurin la seguretat del sistemes i les dades. Especialment remarcable quan aquests treballadors manipulin dades confidencials o dades personals.

Així doncs caldrà centrar la formació en aspectes com reconeixement d'atacs, protecció del lloc de treball, ús de tecnologies emergents (dispositius mòbils, etc), riscos d'accés i navegació, etc.

A més, cal evidenciar durant aquestes formacions que l'usuari és la peça clau a nivell de seguretat, i més en els últims temps on les tendencies com BYOD (Bring You Own Device) o el teletreball s'estàn imposant i suposen nous reptes en seguretat on el factor humà és el component clau.

Altres aspectes on fer especial reforç poden ser:

  • Ús segur de xarxes wifi.
  • Us segur d'email.
  • Navegació segura.
  • Identificació de malware.
  • Gestió de contrasenyes.
  • Classificació de la informació.
  • Esborrat segur, i destrucció de documents.
  • Seguretat en el lloc de treball.
  • Ús de dispositius mòbils.
  • Ús de USBs.
  • Tècniques d'enginyeria social.
  • Bloqueig del terminal.
  • Neteja del lloc de treball.
  • Actualitzacions de programari.
  • Instal·lació de programari.
  • Dispositius externs / personals en el lloc de treball.

L'objectiu doncs és aconseguir que tot membre de l'organització adopti hàbits de seguretat saludables, o el que s'anomena a vegades de higiene digital. Aquests hàbits repercutiran de forma positiva en el treballador tant en l'àmbit professional com personal i per tant també en l'empresa.

Alhora de dissenyar les accions formatives cal adaptarles a la realitat de l'organització, tot presentant casos pràctics, i mostrar les amenaces i les mesures de seguretat adients per evitar-les i protegir-se.

Són efectives doncs sessions de rol, revisió que casos reals succeïts a l'empresa, etc. Cal que siguin significatius per als treballadors i que mostrin un "dia a dia normal" per a que emfatitzin i puguin veure la importància dels fets.

Cal també demostrar-los com integrar aquests hàbits de forma fàcil i dels beneficis immediats que poden comportar a nivell individual tant en aspectes professionals com personals.

Finalment, i encara que no calgui esmentar-ho, el llenguatge i nivell tècnic ha de ser suficient per explicar el conceptes que són objecte de la formació però alhora prou propers per assegurar la seva comprensió.

5.3 Formació a directius

Finalment els directius són una peça clau en l'estructura de l'organització i per tant objectiu prioritari de molts atacs. Cal doncs conscienciar-los especialment dels riscos associats a l'ús de les tecnologies.

Les formacions per a directius han d'incloure els mateixos conceptes de higiene digital que per als usuaris finals, però en aquest cas focalitzant molt el fet que ells tenen accés a dades confidencials de l'organització i que normalment aquest perfil d'usuari té uns requeriments únics per desenvolupar les seves tasques (desplaçaments, reunions, treball en itinerància, des de casa, etc).

Per tant aquesta formació ha de tenir un enfoc molt més personalitzat, amb solucions adaptades a les característiques de la seva feina i entorn.

6 Pràctica: Sessió conscienciació phishing

Conèixer resposta davant suplantació de correu. Monitoritzar si han fet clic a enllaços o adjunts. Dades personals?

6.1 Fases

  1. Obtenció de emails.
  2. Disseny
  3. Enviament
  4. Anàlisis de feedback
  5. Jornada de formació, conscienciació i mostra de resultats.

7 Pràctica: Manual pràctic de higiene digital

Data: 2021-07-27 dt. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-27 dt. 13:44