Educación para usuarios sobre seguridad de la información

Resumen: Es responsabilidad de las empresas el realizar una correcta capacitación y/o concientización sobre las amenazas de seguridad de la información que apliquen a su entorno, así como las políticas y procedimientos para administrarlas. Las políticas de seguridad de la información están contempladas en distintas normas y estándares de seguridad de la información y se incluye adicional como control de cumplimiento la correcta divulgación y capacitación sobre las mismas. Los medios de divulgación de estas políticas y mejores prácticas dependen de las metodologías de enseñanza adoptadas por cada empresa y de los recursos disponibles. El constante avance de las tecnologías de información nos ha brindado herramientas con las que podemos capacitar y educar a las personas de forma remota. Plataformas de E-Learning cuentan con distintas funcionalidades que permiten generar cursos y capacitaciones a la medida de las empresas.

Palabras Claves: E-Learning, Seguridad de la información, Concientización, LMS.

Abstract: The human element is one of the most critical factors of an information security program and it is often the most neglected. A large proportion of the incidents are caused by uninformed employees who have no real awareness of the scope of their actions. This also applies as individuals, if you don’t want your checkbook to be stolen you don’t leave it in a public space, right? Then how do you explain this to your employees in an understandable yet affordable and effective way? The main objective is to protect your company information but how do you do it? In this article you can find answers to that kind of question.

Desarrollo:

La información que se administra es ahora el activo más importante de las empresas, el flujo de información permite que los datos sean vulnerables de captura y por lo tanto de manipulación. Existen distintas prácticas, herramientas y métodos para la prevención de cualquier tipo de delito informático, estas incluyen hardware y software que ayudan a proteger la información y el flujo de esta. El trabajo metódico de los analistas de seguridad informática debe considerar todos los puntos débiles y realizar mejoras sobre los mismos con el fin de evitar cualquier robo, fraude, manipulación, mal uso y destrucción de los datos que permiten el funcionamiento óptimo de las empresas.

Este es un proceso constante de mejora que debe ser llevado por los ingenieros en seguridad de la información; recordemos que si bien hablamos de información digital la seguridad no se limita solo a la información intangible; hablamos también de la información que encontramos en medios físicos como papelería, oficinas en donde se almacene información, instalaciones de centros de cómputo, videovigilancia, seguridad perimetral, entre otros.

Las evaluaciones constantes nos permiten tener control sobre las medidas a tomar para la protección de la información; sin embargo encontramos que los vectores de ataque también se mantienen en constante evolución, este es el caso de ataques como Ransomware el cual luego de infectar al equipo, secuestra la información cifrándola para que no pueda ser utilizada. El atacante luego de esto extorsiona a sus víctimas para que realicen un pago con cierta cantidad de dinero en dinero electrónico para recuperar sus datos. Los atacantes que utilizan el Ransomware por lo general perjudican a los archivos de ofimática, estos archivos son los que contienen información sensible y son los que generan más pérdida cuando no pueden ser recuperados.

La administración de la seguridad de la información es uno de los grandes problemas de las organizaciones. Se depende de administradores y analistas de seguridad para mantener las distintas capas de información aseguradas. Los especialistas de Seguridad Informática deben administrar los valores de las empresas manteniendo la confidencialidad, integridad y disponibilidad de la información.

En un estudio realizado por IBM se demostró que la inmensa mayoría de los ataques perpetrados por ciberdelincuentes alcanzaban el éxito debido a algún tipo de error humano. En el informe elaborado por investigadores en seguridad de IBM, conocido por IBM X-Force Threat Intelligence Index 2018, se puso de manifiesto este hecho analizando las causas de diversos incidentes de seguridad revelados públicamente a lo largo de 2015, 2016, 2017 y 2018. (OSI, 2018). Esta información se refiere únicamente a los incidentes de seguridad de las empresas, ¿nos podemos imaginar entonces que sucede en nuestros hogares o en pequeñas empresas con cero o poco soporte técnico?

Como usuarios finales hacemos de lado la importancia de nuestra propia información; consideramos que nuestras cuentas bancarias, números de tarjetas, correos electrónicos y contraseñas no son un botín apetitoso para los ciberdelincuentes y que no somos un objetivo para ellos. Sin embargo no consideramos que para un atacante no siempre es un objetivo el tamaño del botín si no la facilidad de alcanzarlo. La poca seguridad con la que utilizamos y damos nuestros datos personales en línea nos convierte en un objetivo fácil de alcanzar para los atacantes.

Si analizamos la información brindada por Index Global Web (MediaClick, 2019) podemos ver que es posible identificar las edades de los usuarios dependiendo del uso de las redes sociales. Si tomamos esta información podemos ver que Facebook y LinkedIn son las redes sociales utilizadas por las personas mayores a 50 años. Según las edades el uso de internet y redes sociales tiene una variación; las personas de menor edad han sido expuestos desde temprano a la tecnología por lo que el uso es más fácil mientras que las personas de mayor edad tienen una adaptabilidad distinta lo cual puede generar una brecha de seguridad.

El desconocimiento de las estafas electrónicas, la generación de claves de forma segura, los distintos tipos de gusanos y virus existentes en la red son temas que representan una constante amenaza para los usuarios de mayor edad. De esa misma forma nos tiene que preocupar nuestra información digital, en que sitio la almacenamos, a quien le compartimos nuestros datos de identificación y correo electrónico y como la utilizamos.

En el caso de las empresas la responsabilidad podemos decir que es “compartida” diciendo esto nos referimos a que el usuario se hace responsable según las políticas de seguridad de la información establecidas por la empresa y la empresa se hace responsable de establecer y monitorear estas políticas. En muchas empresas es posible ver que existen acuerdos de confidencialidad que limitan a los usuarios sobre qué información compartir y bajo que reglamentos. El incumplimiento de estos acuerdos puede tener como consecuencia penalizaciones, despidos y hasta denuncias legales dependiendo la legislación del país en donde fue firmado. A pesar de que los usuarios son responsables del manejo de la información las empresas son las que establecen y divulgan estas políticas.

Cuando los usuarios se encuentran familiarizados con las técnicas de prevención de incidentes de seguridad, bajo una metodología de aprendizaje constante y con herramientas interactivas; se reduce el riesgo de que sucedan ataques contra la integridad, confidencialidad y disponibilidad de la información de forma significativa. Estamos preparando a los usuarios para posibles escenarios dentro de sus funciones. El uso de herramientas como las plataformas E-Learning nos permiten distribuir cursos y capacitaciones asegurando que el eslabón más débil de la empresa ha sido reforzado. El reto para las organizaciones consiste en asegurar siempre la información, quienes la usan, como se distribuye y almacena y la constante revisión de este ciclo de forma que los usuarios no sean una brecha de seguridad y se conviertan en una herramienta para la prevención de incidentes de seguridad que afecten la estabilidad económica y reputacional de las empresas.

Referencias bibliográficas

(19 de 11 de 2019). Obtenido de Gepeese: http://www.finanzasparatodos.es/gepeese/es/inicio/laEconomiaEn/laHistoria/revolucion_industrial.html

27001, I. (29 de 10 de 2015). SGSI. Obtenido de SGSI: https://www.pmg-ssi.com/2015/10/clasificar-incidentes-norma-iso-27001/

Coveware. (19 de 12 de 2018). Squarespace. Obtenido de https://static1.squarespace.com/static/5ab16578e2ccd10898976178/t/5c4675dbaa4a995fe6badb80/ 1548121568515/Coveware+Global+Ransomware+Marketplace+Report+-+2018+Q4.pdf

El Periodico. (05 de 07 de 2019). Obtenido de https://elperiodico.com.gt/inversion/2019/07/05/tigo-fortalece-seguridad-de-datos/

Institute, S. (11 de 12 de 2018). Obtenido de https://www.sans.org/reading-room/whitepapers/awareness/paper/34385

MediaClick. (19 de 06 de 2019). MediaClick. Obtenido de MediaClick: https://www.mediaclick.es/blog/cual-es-la-edad-de-los-usuarios-de-las-redes-sociales/

Merriam Webster. (03 de 26 de 2016). Obtenido de “Simple Definition of profess”: merriam-webster.com

OSI. (05 de 12 de 2018). Obtenido de OSI: https://www.osi.es/es/actualidad/blog/2018/12/05/sabias-que-el-95-de-las-incidencias-en-ciberseguridad-se-deben-errores

Techradar. (22 de 10 de 2019). Obtenido de https://www.techradar.com/best/best-online-learning-platforms

Zimmermann, K. A. (2019). Obtenido de https://www.livescience.com/20718-computer-history.html