COLUMNA
Concientización de
seguridad para su empresa
Marcel Erazo
Gerente Comercial
Grupo Radical
NIST 800-50
TEMARIO
Uso y Gestión de contraseñas
Caso Hacking Team: En casa de herrero cuchillo
de palo, historia cómo una empresa de seguridad
fue hackeada por un mal manejo de contraseñas
Protección frente a malware
Casos de APT 2016: Hospital de Hollywood, Concilio de lincolnshire, Agencia de viajes JTB, Banco central de Bangladesh, consecuencias y cómo
todo empezó por un usuario
Implicaciones de incumplimiento
Normativas locales y casos de grandes multas por
incumplimiento
Correo electrónico desconocido y
los archivos adjuntos
Qué es el spear phishing, tips de manejo seguro
del correo electrónico
Ingeniería social
Los 7 mejores ataques de ingeniería social y otros
ejemplos más
E
l reporte de Brechas publicado este año
por Verizon, indicó que el 30% de las personas hacen click en spear phishing (“haga
click aquí para cambiar su contraseña del banco”). Aproximadamente 50% de estos incidentes sucedió en menos de una hora.
En los últimos 12 meses se duplicó el número
de usuarios que hicieron clics en links maliciosos (del 12% al 23% de usuarios) según indica el
mismo reporte.
Las estadísticas muestran una falta de cultura
de seguridad informática, sin embargo muchas
empresas no poseen un plan de entrenamiento
en concientización de seguridad a sus empleados, generando como resultado que el 2015
hubo un crecimiento del 160% en Ransomware
y se estima que este año crecerá un 40% más.
Para estructurar el programa de entrenamiento, no hace falta inventar el agua tibia, incluso
10 www.ejecutivoti.com
existe un documento 800-50 de NIST que en
menos de 80 páginas indica los lineamientos
para crear este entrenamiento.
En base a este documento, he colocado un resumen de los objetivos a cumplir y ejemplo de
títulos para abordar el tema. (por tema de espacio solo se han colocado algunos objetivos)
Es importante tener en cuenta que el contenido debe ser actualizado constantemente,
no es necesario poner a todos los empleados en un auditorio, es preferible manejarlo
en un formato de e-learning. Se puede crear
un spear phishing para enviar a los usuarios y
aquellos que hagan click, tendrán obligación
de terminar el curso en menos de 30 días,
al resto, puede darse un tiempo prudencial
para la aprobación, crear políticas en la empresa como por ejemplo que el contenido sea
parte del programa de inducción a los nuevos
empleados.