ISACA Journal
Volume 5, 2,016 

Translated Articles 

Como auditar el elemento humano y evaluar el riesgo de seguridad de su organización 

Tom Pendergast, Ph.D. 

El Reporte del 2016 de la Investigación de Violación de Datos (DBIR) noveno reporte anual de Verizon, revelo algunas malas noticias—el vector de amenazas humanas es más peligrosa que nunca. El ultimo DBIR reafirmo el hecho que los empleados continúan jugar un papel mayor en muchas de las violaciones del año pasado. Un 63 por ciento de violaciones confirmadas involucraron contraseñas débiles, por defecto o robadas. Peor, errores misceláneos—empleados enviando informaciones a las personas erradas—corresponde a cerca del 18 por ciento de las violaciones.1 A pesar de una gran cantidad de medidas preventivas, los empleados permanecen ser uno de los vectores más caros en un gran número de violaciones de datos e incidentes de seguridad los cuales están aumentando a un ritmo alarmante.

¿Quién tiene la culpa? Es difícil decir porque, aunque los empleados son identificados claramente como una fuente de riesgo para el negocio, directores y ejecutivos también están siendo responsables cada vez más por prácticas de ciberseguridad más riesgosas. De hecho, recientes investigaciones muestran que los empleados usualmente quieren culpar por las deficiencias de ciberseguridad en los hombros de los directores y ejecutivos. Veintinueve por ciento de los trabajadores encuestados y los tomadores de decisiones de TI en el Reino Unido creen que el director ejecutivo (CEO) debiese ser responsable por una violación de datos significativa mientras que el 38 por ciento de los trabajadores creen que los directores deben ser responsables.2

A la inversa, estos directores y ejecutivos están buscando a los de TI o seguridad de la información y preguntándoles que están haciendo para mitigar el riesgo planteado por el “elemento humano”. Si esta examinación de prácticas actuales es llamada una auditoria o algo más, el empuje está en una forma más rigurosa que representa los esfuerzos de la organización para abordar el riesgo de seguridad más fastidioso: empleados. Directores y ejecutivos quieren saber exactamente que se está haciendo para abordar los temas y si estas acciones están obteniendo los resultados deseados. Ellos quieren ver que existe un programa de concientización verdadero, ej., un programa que se dirige a cambios significativos en el conocimiento y comportamiento de los empleados.

Sin embargo, aquellos a quien se les ha pedido efectuar tal auditoria encuentran poca guía sobre el tema. Las fuentes normales que guían un programa de evaluación—varios documentos proporcionados por el Instituto Nacional de Normas y Tecnología de EEUU (NIST), la Organización Internacional para la estandarización (ISO), y Decreto de Seguro de Salud Portabilidad y Responsabilidad de EEUU (HIPAA), entre otros-proporcionan solo una descripción vaga de un programa de concientización normas y requisitos. Afortunadamente, existe una gran cantidad de buenos trabajos que se están efectuando en esta área que pueden ayudar a las organizaciones a evaluar si están en el camino correcto en abordar la amenaza humana. Las mejores prácticas utilizadas en algunas de las empresas globales más conscientes del riesgo destacan algunos atributos básicos que las organizaciones debiesen buscar (o crear) mientras buscan efectuar mejoras en el rendimiento del elemento humano.

Aunque estas mejores prácticas toman diferentes formas y diferentes nombres, los mejores programas de concientización efectúan algunas cosas comunes: Evalúan y analizan el rendimiento real del personal dentro de la organización; crean un plan para mejora continua; e introducen una seria de intervenciones educativas (ej., entrenamiento y reforzamiento) enfocado a cambiar el comportamiento y fomentar una cultura consciente del riesgo. Las organizaciones que toman el problema humano seriamente saben que deben examinar el estado actual del conocimiento de los empleados, sus habilidades y actitud sobre seguridad (y privacidad, a menudo entrelazado en los ojos de los empleados). Esto requiere dar un paso atrás para tomar una mirada amplia a la cultura de la organización, evaluar todas maneras potenciales que los empleados están (o no están) entendiendo y respondiendo al riesgo relacionado con la seguridad.

Algunas de las mejores maneras para entender el factor de riesgo humano de una compañía es realizar una encuesta de los empleados pre y post entrenamiento. Esto ayuda a las organizaciones a entender cuanto saben hoy día, para que mejoras apropiadas puedan efectuarse en el futuro. Aun si el presupuesto es apretado, no existe escases de datos gratis de la industria, como es el DBIR citado previamente, para ayudar a una organización entender su riesgo de empleados especifico. Solo cuando los factores de riesgo son entendidos puede una organización asegurar de que funciona para entregar el entrenamiento correcto a los empleados correctos.

Además, los datos de las herramientas de reportes de incidentes de la red, como ser los sistemas de la gestión de eventos de seguridad e información (SIEM) y del software de prevención de pérdida de datos (DLP) que puede que estén en su lugar, ayudaran en entender el predominio del manejo de temas de datos. El concepto de usuario y el análisis de comportamiento de la entidad (UEBA o UBA) está emergiendo rápidamente como una manera de analizar a través de toda la información colectada por SIEM, DLP y otras fuentes, y proporcionar información sobre las tendencias priorizadas a los profesionales de TI monitoreando la RED. Las herramientas UEBA proporcionan un valor real en la identificación de patrones y signos que revelan la presencia de actores malos en el entorno de TI.

Un excitante y emergente uso para el UEBA es amarrarlo directamente a “entrenamiento-justo-atiempo” en el punto de la falla. UEBA podría identificar a Jane Dow almacenando un documento de la compañía en un sitio de almacenaje en la nube no autorizado como ser Dropbox, Box o Google Drive, y entregarle un pop-up generado por el sistema que le recuerda de la política de la compañía sobre el almacenamiento de documentos de la compañía en un ecosistema autorizado. Si Jane lo hace nuevamente, el sistema puede proporcionarle un video rápido sobre las razones por la cual es mejor evitar un sistema de almacenaje de la nube no aprobado. Meses después, si Jane comete el mismo error nuevamente, puede que se le inscriba automáticamente en un curso de 15 minutos sobre almacenamiento aprobados en la nube. Este es un ejemplo perfecto de entregar el entrenamiento correcto a la persona correcta en el momento oportuno.

Separado de las herramientas de monitoreo de la red, ataques de simulación de phishing e ingeniería social revelan que acciones riesgosas son más propensas que los empleados tomen al darles la oportunidad. Tales simulaciones pueden emplear una amplia variedad de técnicas inteligentes para capturar contraseñas, obtener acceso a información sensible, u obtener acceso físico a través de tácticas tan simples como un correo electrónico o una llamada telefónica, tailgating, o dejando falsos dispositivos USB en el entorno de trabajo.

Un número de proveedores ofrecen programas de simulación de phishing como parte de un paquete del programa de concientización. Pero los proveedores que se centran demasiado en phishing como el ser un todo, finalizan todo sobre amenazas de ciberseguridad debiesen ser vistos con cierta cautela. Tal acercamiento solo se enfoca en un vector de ataque y no hace el trabajo de ayudar a los empleados a ver la naturaleza multicapa de las amenazas.

Otro paso importante en mejorar el rendimiento y cultura de los empleados es entender el riesgo especifico a la industria de la organización y el entorno de negocio único. Por ejemplo, si una organización tiene un centro de llamados, sus empleados se van enfrentar en factores de riesgo diferentes de los que se pueden encontrar empleados bancarios-solo es parte de la naturaleza de lo que el trabajo conlleva. Entender los factores de riesgo en áreas específicas del negocio ayuda a las organizaciones a entregar entrenamiento que está adaptado a las líneas de trabajo específicas de cada empleado el cual es inherentemente más relacionables y útiles. (El entrenamiento pierde mucha de su efectividad si no es relevante.)

Recientemente la Comisión de EEUU de la Bolsa y Valores (SEC) noto que la ciberseguridad es el mayor riesgo para el sistema financiero de los EEUU, con la Presidente Mary Jo White diciendo, “Lo que encontramos, como una cuestión general por ahora, es mucha preparación, mucha concientización, pero también sus políticas y procedimientos no están adaptados a sus particulares riesgos.”3 Un reporte reciente por la Oficina de Cumplimiento de Inspecciones y Examinaciones (OCIE) de la SEC examino la industria de Valores y recomendó a la industria como un todo “centrarse en cómo la formación se adapta a las funciones específicas del trabajo y cómo el entrenamiento está diseñado para alentar a los empleados responsables y el comportamiento del proveedor”,4 prestar más apoyo para la necesidad de entrenamiento que sea más relacionables y útiles.

Mientras que existen muchas herramientas para efectuar análisis, la meta de estas es la misma: lograr una lista de cinco a 10 factores de riesgo centrados en humanos que puedan ser un punto focal de los esfuerzos para mejorar (no existe un numero de oro, pero el programa más efectivo limita el número para enfocar sus esfuerzos). Una vez estos factores de riesgo relacionados con humanos son comprendidos y descritos, el próximo paso es desarrollar un plan para un programa de concientización que aborda estos factores de riesgo. Como todo en la vida, planificar es la clave cuando se trata de desarrollar un programa de concientización exitoso y comprensivo. Como parte de ese plan, las organizaciones debiesen preguntarse si se han establecido para poner en práctica ambos programas de educación formal e informal. Sabiduría convencional dirían que entrenamiento formal, usualmente basado en la Web, es la manera de proceder. Esto se debe mayormente a la facilidad en que los empleados pueden ser hechos responsables de tomar el entrenamiento, pero el programa de educación no puede parar allí si la organización realmente quiere alcanzar a sus empleados y crear ese siempre importante cambio en el comportamiento. Los mejores programas no solo se basan en entrenamiento formal; en vez dependen de una variedad de medidas educacionales para comunicar el conocimiento y comportamiento deseado a los empleados.

Una vez que la organización tiene un plan sólido, necesita efectuar un inventario rápidamente para ver si cuenta con la capacidad para entregar o no un programa y hacer bien en su plan. ¿Por ejemplo, tiene la organización la capacidad de entregar un refuerzo educacional en la forma de juegos, videos y posters? ¿Están los ejecutivos a bordo y están dispuestos a promover mensajes en sus comunicaciones diarias con sus empleados? ¿Están todas las personas idóneas disponibles para apoyar y llevar a cabo el programa? La capacidad de la organización para desplegar exitosamente un programa es crítico para llevar a cabo el plan y esto va determinar si puede o no proceder con una campaña adaptiva “todo incluido” de phishing, entrenamiento, posters, juegos, animaciones y similares en el transcurso del año.

En organizaciones más progresivas donde los objetivos son un cambio de mentalidad, mensajes sobre protección de la información forman parte de la cultura diaria. Esto puede incluir posters pegadizos y memorables en las paredes, videos animados presentados en el vestíbulo, Pantallas de TV, o juegos que causan competencia entre las personas y les permite a los empleados mostrar que saben sobre seguridad y privacidad. Este tipo de ejemplos son lo que hacen la diferencia cuando se combina con el entrenamiento más formal, en curso.

Un ejemplo usualmente citado es Microsoft porque efectúa un gran trabajo relacionado con esto. Cualquiera que haya caminado por sus muchos campus debiesen estar acostumbrados a ver mensajes de seguridad y privacidad cambiando constantemente. Un auditor o ejecutivo en cualquier compañía debiese ver estos tipos de dispositivos de concientización cuando caminan alrededor, si lo hace, esto es una indicación de una compañía que ha tomado tremendos pasos en proteger la información de la compañía y empoderar a los empleados hacer lo mismo.

Además, un buen programa entrega el entrenamiento que es basado y especifico en roles; empleados en diferentes roles, como ser recursos humanos (HR) y TI, debiesen recibir entrenamientos adaptados a sus especialidades. ¿Porque importa esto? Empleados TI no necesitan saber sobre cómo salvaguardar conversaciones con empleados potenciales, pero si necesitan estar bien versados en prevenir en el acceso y uso de datos no autorizados. Por lo contrario, el personal de HR no necesitan estar tan preocupados por la educación en prácticas de transmisión de datos, al tiempo que protege la información confidencial de los empleados es exactamente en su puente de mando.

Otra manera de enfocar la educación en aquellos que la necesitan es de desplegar una manea de evaluar competencias previo a la entrega del entrenamiento. ¿Cómo? En vez de entregar entrenamiento a todos sobre toda una serie de temas—el más caro y la opción que más tiempo consume—individuos pueden ser entrenados en lo que les puede estar faltando, sobre una base de caso por caso. Por ejemplo, Jane Doe ha recibido cinco intentos de phishing simulados durante el año pasado y ha reenviado cada uno de ellos a TI sin darle clic al link, mientras que John Doe ha fallado en tres de esas cinco campañas de phishing. En base a esa información, uno puede concluir que Jane probablemente no requiere entrenamiento sobre phishing pero John definitivamente si lo necesita. Identificando los factores de riesgo al nivel individual ahorra tiempo y dinero, ya que la organización probablemente no requiere entrenar a John y Jane de forma igual. Como dice el refrán “el tiempo es dinero” y cuando los empleados pasan tiempo siendo entrenados en cosas que ellos no necesitan conocer, ellos están potencialmente perdiéndose de las tareas más importantes (¡y llegando a la conclusión que seguridad de la información no les importa!).

Incluso la organización que ha identificado sus factores de riesgo específicos, desarrolló un plan, y se va a poner en práctica la formación formal e informal puede hacer más si se desea, y para evaluar si tiene una cultura de la seguridad. Esto es difícil de medir, pero no es imposible. La recopilación de la información en este nivel exige una evaluación rigurosa del conocimiento de los empleados. Una Encuesta del Diagnóstico de la Cultura de Seguridad ha sido diseñada para identificar y comparar culturas de seguridad en organizaciones y puede encontrarse en Personas-Centradas en Seguridad: Transformando su Cultura de Seguridad Empresarial.5

Alternativamente, las organizaciones pueden comenzar buscando que mensajes los gerentes y ejecutivos están (o no) comunicando relacionado con seguridad. ¿Por otra parte, son los sistemas de refuerzo de la seguridad (por ejemplo, notificación de incidentes, revisiones de seguridad sistémicos) valorados y utilizados? ¿Algunas de las unidades de negocio fuera de la seguridad de la información tratan de participar de manera significativa con los problemas de seguridad? Si la respuesta a cualquiera de estas es “no” o “no se sabe”, la organización puede ser que no ha alcanzado el punto en el cual ha establecido una cultura de seguridad, el cual debiese ser parte de su plan para mejorar su postura de concientización.

Una verdadera organización madura, una que se adhiere a los principios del tier 3 y tier 4 en el Marco de Ciberseguridad NIST (CSF),6 enfoca seguridad de la información como un programa de auto-refuerzo de mejora continua, no simplemente un evento anual, como el modelo de entrenamiento anteriormente requerido. El CSF deja claro que hay niveles de madurez de ciberseguridad y, en forma similar, madurez de la concientización. Estos niveles de madurez se han separado convenientemente en tiers:

  • Parcial (tier 1)—La gestión de riesgos es ad hoc con un conocimiento limitado de riesgo y sin la colaboración con los demás.
  • Riesgo Informado (tier 2)—Los procesos y programa de la gestión del riesgo están implementados, pero no están integrados a nivel de toda la empresa, colaboración es entendida, pero a la organización le hace falta capacidades formales.
  • Repetible (tier 3)—Políticas formales para los procesos y programa de la gestión de riesgo están implementados en toda la empresa, con colaboración externa parcial.
  • Adaptado (tier 4)—Procesos y programas de gestión de riesgo están basados en lecciones aprendidas y embebido en la cultura, con colaboración proactiva.

Organizaciones que enfocan el entrenamiento como un evento anual simple es muy probable que se encuentren en tier 1 o tier 2, mientras que organizaciones que continuamente mejoran muy probablemente se encuentren en tier 3 o tier 4.

Cualquier tier o nivel de madurez que una organización es o aspira a ser, el paso para entender y mejorar empieza con dar un paso atrás y examinar las prácticas existentes. Las mejores organizaciones analizan sus factores de riesgo humano utilizando una variedad de diferentes herramientas; desarrollan un plan para cambiar el comportamiento relacionado con esos factores del riesgo; alinean sus recursos para ejecutar en ese plan; y luego entregan educación adaptativa y flexible a las personas adecuadas, cuando y donde lo necesiten. Las amenazas no están disminuyendo y los mejores esfuerzos de los empleados no se está manteniendo. La educación sobre concientización de seguridad de los empleados debe continuar y adaptarse a nuevas y emergentes amenazas. La mejor manera de alcanzar este objetivo es a través de un programa alineado al riesgo robusto y concientización adaptivo.

Notas del autor

El autor desea revelar que Microsoft ha realizado trabajos con MediaPro en el pasado.

Notas Finales

1 Verizon, 2016 Data Breach Investigations Report, www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
2 VMare, “The Cyber Chasm: How the Disconnect Between the C-suite and Security Endangers the Enterprise,” The Economist Intelligence Unit, 2016, www.vmware.com/radius/wp-content/uploads/2015/08/EIU-VMware-Data-Security-Briefing.pdf
3 Lambert, L.; “SEC Says Cyber Security Biggest Risk to Financial System,” Reuters, 18 May 2016, www.reuters.com/article/us-finance-summit-sec-idUSKCN0Y82K4
4 Securities and Exchange Commission, “OCIE’s 2015 Cybersecurity Examination Initiative,” National Exam Program Risk Alert, vol. 4, iss. 8, USA, 15 September 2015, https://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf
5 Hayden, L.; People-Centric Security: Transforming Your Enterprise Security Culture, McGraw-Hill, USA, September 2015
6 National Institute of Standards and Technology, Cybersecurity Framework, USA, 2013, www.nist.gov/cyberframework/

Tom Pendergast, Ph.D.
Es el arquitecto Jefe del Marco de la concientización de adaptación de MediaPro, una visión de cómo analizar, planificar, formar y reforzar la construcción de un programa integral de concientización, con el objetivo de construir una cultura consciente del riesgo. Él es el autor o editor de 26 libros y colección de referencia. Pendergast ha dedicado toda su carrera a los contenidos y plan de estudios de diseños, impreso por primera vez como el fundador de Full Circle editorial, a continuación, en soluciones de aprendizaje con MediaPro.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.