Joven hacker sonriendo
Tres diagramas circulares mostrando relación personas-procesos-tecnología

Estrategias Inteligentes: Seta

Entrenando el talento ante amenazas informáticas
Los empleados son el alma de la empresa y como tal es necesario que sepan como actuar ante las diferentes situaciones que pueden poner en peligro la seguridad informática de la organización. A continuación se presenta la metodología de enseñanza SETA para concientización de riesgos informáticos.

SETA (security education and training and awareness) es una de las herramientas más poderosas para establecer una línea de defensa contra los diferentes riesgos que involucran a los seres humanos como medio para alcanzar un objetivo. Desde el punto de vista de la seguridad, el talento humano HumanOS, o simplemente, las personas que se encargan de interactuar con tecnologías de la información, son vistas como un punto de quiebre de los sistemas de seguridad que protegen nuestros activos; es por ello que en esta ocasión hablaremos de porqué se considera el entrenamiento y educación como una estrategia inteligente al momento de concebir un plan de seguridad, y cuáles son las diferencias entre cada una de las metodologías.

“Los humanos son frecuentemente la primera y última línea de la seguridad” SANS Institute

La preparación es el primer paso

La interacción entre Humanos y las tecnologías de la información es necesaria e inevitable, por esto se considera esta relación y su apropiado tratamiento uno de los factores más importantes que puede hacer la diferencia para que las personas pasen de convertirse en un riesgo para los objetivos de la organización, a una medida de protección frente amenazas. Y es que las personas son un activo que tiene que estar en armonía con los otros dos pilares de las “organizaciones modernas”, los procesos y las tecnologías, es por ello que como activos necesitan estar en mantenimiento y capacitación, y muchas organizaciones olvidan esta parte del flujo, enfocando todos los recursos y esfuerzos a mejorar o reforzar otras áreas del negocio.

pilar
Imagen 1. Pilares de las organizaciones modernas

Dicho el ¿Qué?, ahora debemos conocer las diferencias entre cada una de las metodologías y su enfoque, pues muchos programas de seguridad fallan por no contar con una buena planeación. ¡No es lo mismo educación sexual y entrenamiento sexual!

En primer lugar, la concientización obedece al ¿Qué?. Qué es los que necesita nuestra organización de nuestro personal, qué deberían hacer los humanos cuando se enfrentan a una situación de seguridad, reconocer una amenaza y saber cuál sería la medida a seguir. En segundo lugar está el entrenamiento, el ¿Cómo?. Cómo el talento humano puede reaccionar frente a las diferentes amenazas, cuáles son los protocolos a seguir, y cómo mitigar un impacto. Es aquí donde las habilidades son necesarias y puestas a prueba. En último lugar está la educación el ¿Por qué?. Por qué es importante que el personal esté preparado ante las amenazas de seguridad y por qué la organización debe tomar este camino de prevención y reacción.

El enfoque y el aprendizaje

Cada una de las metodologías de enseñanza está enfocada a diferente tipo de personas en donde las habilidades y tareas que cada uno maneje dentro de la organización influye en cuál debe ser su orientación, por ejemplo el entrenamiento necesita de personal con habilidades técnicas, y el aprendizaje se da por medio de un aprendizaje formal y prácticas que pueden clasificarse normalmente en un entrenamiento uno a uno, clases, CB u otros. La educación por otra parte está dirigida a todas las personas que entiendan cuales son los objetivos de la organización es decir el personal no técnico y su aprendizaje se da por medio de seminarios e instrucción teórica y en último lugar la concienciación está enfocado a todas las personas que entiendan sobre amenazas y puedan formular simples respuestas y su aprendizaje se da por medios sociales como el uso de campañas de creación de cultura.

campaña
Imagen 2. Ejemplo de campañas de concienciación

Causas principales de fracaso: el comportamiento y la cultura de cambio

Uno de los problemas que tienen las organizaciones al momento de implementar una campaña de seguridad es el comportamiento del talento humano pues imponer nuevas reglas no será tarea fácil cuando las personas no están acostumbradas al cambio, es por ello que existen otros requisitos a tener en cuenta al momento de crear una cultura de seguridad como por ejemplo la persuasión, pero esto es un tema que se puede extender en otro post, por el momento podemos concluir que el talento humano es de gran importancia en cualquier organización y el nivel de cultura de seguridad debe convertirse en una métrica en el modelo organizacional frente a la seguridad, pues este activo puede convertirse en nuestro aliado o nuestro mayor riesgo.

¿Porque es una estrategia inteligente?

Se considera una estrategia de seguridad inteligente pues muchos expertos consideran que la relación costo/beneficio es favorable al momento de verificar el retorno de la inversión y pues con un poco de entrenamiento se pueden mitigar muchas de las amenazas de seguridad que involucran al talento humano como los es la ingeniería social y los fallos por errores o negligencias.

encuesta
Imagen 3. Encuesta sobre la frecuencia con que los empleados reciben entrenamiento sobre amenazas de seguridad en las organizaciones: (Mimecast)

La anterior es una encuesta llevada a cabo en el Reino Unido sobre la frecuencia con que los empleados reciben entrenamiento sobre algunas amenazas de seguridad tales como ingeniería social.

Conociendo ya un poco de como funciona SETA, cual es su importancia y porque algunos programas de seguridad fallan, expertos en el campo han establecido 7 pasos fundamentales para el buen desarrollo de un plan de entrenamiento. (NIST)

  1. Identificar el alcance, las metas y los objetivos del programa

  2. Identificar el personal de entrenamiento

  3. Identificar el objetivo de la audiencia

  4. Motivación de los empleados

  5. Administración de los programas

  6. Mantenimiento de los programas

  7. Evaluación de los programas

No debemos olvidar que un programa de seguridad es como construir una casa y un fallo en cualquier columna puede significar la caída de esta, pero al igual existen columnas principales y otras secundarias.


Foto del autor

Camilo Cardona

Ingeniero de sistemas y computación, OSCP, OSWP

"No tengo talentos especiales, pero sí soy profundamente curioso" Albert Einstein


Relacionado





Haz un comentario

Estado de los servicios - Términos de Uso