EJECUTIVO TI 01 | Page 10

COLUMNA Concientización de seguridad para su empresa Marcel Erazo Gerente Comercial Grupo Radical NIST 800-50 TEMARIO Uso y Gestión de contraseñas Caso Hacking Team: En casa de herrero cuchillo de palo, historia cómo una empresa de seguridad fue hackeada por un mal manejo de contraseñas Protección frente a malware Casos de APT 2016: Hospital de Hollywood, Concilio de lincolnshire, Agencia de viajes JTB, Banco central de Bangladesh, consecuencias y cómo todo empezó por un usuario Implicaciones de incumplimiento Normativas locales y casos de grandes multas por incumplimiento Correo electrónico desconocido y los archivos adjuntos Qué es el spear phishing, tips de manejo seguro del correo electrónico Ingeniería social Los 7 mejores ataques de ingeniería social y otros ejemplos más E l reporte de Brechas publicado este año por Verizon, indicó que el 30% de las personas hacen click en spear phishing (“haga click aquí para cambiar su contraseña del banco”). Aproximadamente 50% de estos incidentes sucedió en menos de una hora. En los últimos 12 meses se duplicó el número de usuarios que hicieron clics en links maliciosos (del 12% al 23% de usuarios) según indica el mismo reporte. Las estadísticas muestran una falta de cultura de seguridad informática, sin embargo muchas empresas no poseen un plan de entrenamiento en concientización de seguridad a sus empleados, generando como resultado que el 2015 hubo un crecimiento del 160% en Ransomware y se estima que este año crecerá un 40% más. Para estructurar el programa de entrenamiento, no hace falta inventar el agua tibia, incluso 10 www.ejecutivoti.com existe un documento 800-50 de NIST que en menos de 80 páginas indica los lineamientos para crear este entrenamiento. En base a este documento, he colocado un resumen de los objetivos a cumplir y ejemplo de títulos para abordar el tema. (por tema de espacio solo se han colocado algunos objetivos) Es importante tener en cuenta que el contenido debe ser actualizado constantemente, no es necesario poner a todos los empleados en un auditorio, es preferible manejarlo en un formato de e-learning. Se puede crear un spear phishing para enviar a los usuarios y aquellos que hagan click, tendrán obligación de terminar el curso en menos de 30 días, al resto, puede darse un tiempo prudencial para la aprobación, crear políticas en la empresa como por ejemplo que el contenido sea parte del programa de inducción a los nuevos empleados.