Capacitación en concientización sobre la seguridad en Internet

La capacitación en concientización sobre la seguridad en Internet (ISAT) es la capacitación brindada a los miembros de una organización sobre la protección de diversos activos de información de esa organización. ISAT es un subconjunto de la capacitación general en concientización sobre seguridad (SAT).

Generalmente se recomienda incluso a las pequeñas y medianas empresas que proporcionen dicha capacitación, pero las organizaciones que necesitan cumplir con las regulaciones gubernamentales (por ejemplo, la Ley Gramm-Leach-Bliley , el Estándar de seguridad de datos de la industria de tarjetas de pago , la Ley de Responsabilidad y Portabilidad de Seguros Médicos , Sarbox ) normalmente requieren ISAT formal anualmente para todos los empleados. ^[1] A menudo, dicha formación se proporciona en forma de cursos en línea.

ISAT, también conocido como Educación, Capacitación y Concientización sobre Seguridad (SETA), las organizaciones capacitan y crean conciencia sobre la gestión de la seguridad de la información dentro de su entorno. ^[2] Es beneficioso para las organizaciones cuando los empleados están bien capacitados y se sienten capacitados para tomar acciones importantes para protegerse a sí mismos y a los datos de la organización. ^[2] El objetivo del programa SETA debe basarse en los roles de los usuarios dentro de las organizaciones y para puestos que exponen a las organizaciones a mayores niveles de riesgo, se deben requerir cursos especializados. ^[2]

Los empleados y contratistas representan amenazas para las organizaciones que la capacitación puede ayudar a reducir.

Cobertura

Hay temas generales a cubrir para la capacitación, pero es necesario que cada organización tenga una estrategia de cobertura basada en sus necesidades, ya que esto asegurará que la capacitación sea práctica y capture temas críticos relevantes para la organización. Dado que el panorama de amenazas cambia con mucha frecuencia, las organizaciones deben revisar continuamente sus programas de capacitación para garantizar su relevancia con las tendencias actuales. ^[3]

Los temas cubiertos en ISAT ^[4] incluyen:

• Métodos apropiados para proteger información confidencial en sistemas informáticos personales , incluida la política de contraseñas
• Diversos problemas de seguridad informática, incluidos spam , malware , phishing , ingeniería social , etc.
• Consecuencias de no proteger adecuadamente la información, incluida la posible pérdida de empleo, consecuencias económicas para la empresa, daños a las personas cuyos registros privados se divulguen y posibles sanciones civiles y penales.

Ser consciente de la seguridad en Internet significa que comprende que hay personas que intentan activamente robar datos almacenados en las computadoras de su organización. (Esto a menudo se centra en los nombres de usuario y las contraseñas, de modo que los elementos criminales puedan, en última instancia, obtener acceso a cuentas bancarias y otros activos de TI de alto valor). Por eso es importante proteger los activos de la organización y evitar que eso suceda. ^[5]

El alcance general debe incluir temas como seguridad de contraseñas, phishing por correo electrónico, ingeniería social, seguridad de dispositivos móviles, seguridad de datos confidenciales y comunicaciones comerciales. Por el contrario, aquellos que requieren conocimientos especializados suelen tener que realizar cursos de formación técnica y en profundidad. ^[2] Supongamos que una organización determina que es mejor utilizar una de las herramientas de capacitación disponibles en el mercado, debe asegurarse de establecer objetivos que la capacitación pueda cumplir, incluida la confirmación de que la capacitación proporcionará a los empleados el conocimiento para comprender los riesgos y los riesgos. comportamientos necesarios para gestionarlos, acciones a tomar para prevenir o detectar incidentes de seguridad, utilizar un lenguaje fácilmente comprensible para los alumnos y garantizar que el precio sea razonable. ^[6]

Se recomienda a las organizaciones que basen el contenido de la capacitación ISAT en los roles de los empleados y su cultura; la política debe guiar esa capacitación para todos los empleados ^[7] y proporcionó lo siguiente como ejemplos de fuentes de materiales de referencia: ^[8]

• Publicación especial 800-50 del Instituto Nacional de Estándares y Tecnología (NIST), Creación de un programa de capacitación y concientización sobre seguridad de la tecnología de la información
• Organización Internacional de Normalización (ISO) 27002:2013, Tecnología de la información—Técnicas de seguridad—Código de prácticas para controles de seguridad de la información
• Organización Internacional de Normalización (ISO) 27001:2013, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información.
• COBIT 5 Apéndice F.2, Guía Detallada: Habilitador de Servicios, Infraestructura y Aplicaciones, Conciencia de Seguridad

La capacitación debe centrarse en las amenazas actuales específicas de una organización y los impactos si se materializan como resultado de las acciones de los usuarios. Incluir ejemplos prácticos y formas de abordar escenarios ayuda a los usuarios a saber las medidas adecuadas a tomar. Es una buena práctica capacitar periódicamente a los clientes de organizaciones específicas sobre las amenazas que enfrentan por parte de personas con intenciones maliciosas. ^[9]

La estrategia de cobertura del SAT debe estar impulsada por la política de una organización. Puede ayudar a determinar verdaderamente el nivel de profundidad de la capacitación y dónde se debe llevar a cabo a nivel global o de unidad de negocios, o una combinación de ambos. Una política también faculta a una parte responsable dentro de la organización para llevar a cabo la capacitación. ^[2]

Importancia

Los empleados son clave para determinar si las organizaciones sufren o no una vulneración; debe haber una política para crear conciencia y capacitarlos sobre las amenazas emergentes y las acciones a tomar para salvaguardar la información confidencial y reportar cualquier actividad inusual observada dentro del entorno corporativo. ^[10]

Las investigaciones han demostrado que SAT ha ayudado a reducir los ataques cibernéticos dentro de las organizaciones, especialmente cuando se trata de phishing, ya que los alumnos aprendieron a identificar estos modos de ataque y les dieron la seguridad para tomar las medidas adecuadas. ^[11]

Hay un aumento en los ataques de phishing y se ha vuelto cada vez más importante que las personas comprendan cómo funcionan estos ataques, y las acciones necesarias para prevenirlos y el SAT ha demostrado un impacto significativo en la cantidad de ataques de phishing exitosos contra las organizaciones. ^[12]

Requisitos de conformidad

Varias regulaciones y leyes exigen el SAT para organizaciones en industrias específicas, incluida la Ley Gramm-Leach-Bliley (GLBA) para los servicios financieros, la Ley Federal de Modernización de la Seguridad de la Información de 2014 para agencias federales y el Reglamento General de Protección de Datos de la Unión Europea (GDPR). ). ^[13]

Ley federal de modernización de la seguridad de la información

Los empleados y contratistas de las agencias federales deben recibir capacitación en concientización sobre la seguridad anualmente, y el programa debe abordar los riesgos de seguridad de la información relacionados con el trabajo que les brinde el conocimiento para reducir los riesgos de seguridad. ^[14]

Ley de Responsabilidad y Portabilidad del Seguro de Salud

La Ley de Responsabilidad y Portabilidad del Seguro Médico tiene la Regla de Seguridad ^[15] y la Regla de Privacidad ^[15] que exigen la creación de un programa de capacitación en concientización sobre la seguridad y garantizan que los empleados reciban la capacitación correspondiente.

Estándar de seguridad de datos de la industria de tarjetas de pago

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago , el consejo rector de las partes interesadas en la industria de pagos, formado por American Express, Discover, JCB International, MasterCard y Visa que desarrolló el DSS como un requisito para la industria de pagos. ^[8] El requisito 12.6 requiere que las organizaciones miembro instituyan un programa formal de concientización sobre la seguridad. Existe una guía publicada que las organizaciones deben seguir al configurar el programa. ^[8]

Regulaciones de capacitación de los estados de EE. UU.

Algunos Estados exigen la capacitación en concientización sobre la seguridad, mientras que otros no lo hacen, sino que simplemente recomiendan la capacitación voluntaria. Entre los estados que requieren la capacitación de sus empleados se encuentran:

• Colorado (Ley de Seguridad de la Información de Colorado, Estatutos Revisados ​​de Colorado 24-37.5-401 et seq.) ^[16]
• Connecticut (13 Capacitación en concientización sobre seguridad cibernética FAM 301.1-1 (PS800)) ^[17]
• Florida (Estatutos de Florida Capítulo 282) ^[18]
• Georgia (La Orden Ejecutiva GA EO182 exige capacitación dentro de los 90 días posteriores a su emisión) ^[19]
• Illinois (condado de Cook) ^[20]
• Indiana (EN H 1240) ^[21]
• Luisiana (División de Administración de Luisiana, Oficina de Servicios Tecnológicos p. 52: LA H 633) ^[22]
• Maryland (Política de seguridad de TI 20-07) ^[23]
• Montana (capacitación cibernética obligatoria para empleados estatales del poder ejecutivo) ^[24]
• Nevada ^[25]
• Nevada (requisito de empleado estatal agencia por agencia - Estándar de seguridad estatal 123 - Seguridad de TI) ^[26]
• Nuevo Hampshire
• Nueva Jersey (Nueva Jersey A 1654) ^[27]
• Carolina del Norte
• Ohio (IT-15 - Concientización y capacitación en seguridad) ^[28]
• Pensilvania ^[29]
• Texas ^[30]
• Utah ^[31]
• Vermont
• Virginia ^[32]
• Virginia Occidental (Código WV, Sección 5A-6-4a)

Técnicas de entrenamiento

A continuación se presentan algunas técnicas de capacitación comunes, aunque algunas se pueden combinar según el entorno operativo: ^[3]

• Capacitación en video interactiva  : esta técnica permite capacitar a los usuarios mediante instrucciones interactivas bidireccionales en audio y video.
• Capacitación basada en la web : este método permite a los empleados o usuarios realizar la capacitación de forma independiente y, por lo general, tiene un componente de prueba para determinar si se ha realizado el aprendizaje. De lo contrario, se puede permitir a los usuarios volver a realizar el curso y realizar la prueba para garantizar una comprensión completa del material.  
• Capacitación basada en computadora y no web : algunas organizaciones prefieren no utilizar Internet o tener ubicaciones sin conectividad a Internet; por lo tanto, esta técnica les proporciona una forma eficaz de cargar programas de formación en las computadoras para los usuarios.
• Capacitación in situ dirigida por un instructor : esta es una técnica muy popular para la capacitación en concientización sobre seguridad, pero no es eficiente para organizaciones grandes. Algunas organizaciones utilizan este método para la capacitación inicial de incorporación con los empleados, ya que la mayoría requiere que estén en el lugar para la incorporación.

La capacitación debe realizarse durante la incorporación y al menos anualmente para los empleados u otros terceros con acceso a los sistemas de información organizacional; el medio es a través de instrucción cara a cara o en línea, y generalmente se centra en reconocer los síntomas de un ataque y proteger los datos confidenciales mediante varios mecanismos de seguridad, incluidas contraseñas, cifrado y sesiones seguras. ^[33]

ISAT también enseña y refresca la memoria de los participantes sobre diversas amenazas actuales, amenazas de seguridad emergentes, vectores de ataque, políticas organizacionales relacionadas con la seguridad de la información y principios o normas básicas para mantener la seguridad en Internet. ^[33]

Las organizaciones consideran varias opciones cuando se trata de capacitar a los medios para brindar capacitación sobre concientización sobre seguridad a los usuarios, pero las investigaciones que utilizan la teoría del aprendizaje, la teoría de la riqueza de los medios y la teoría de la carga cognitiva han demostrado que las organizaciones no necesitan invertir mucho en medios altamente enriquecidos, ya que eso no conduce a una mejora del comportamiento del usuario; el contenido de la formación es lo más importante. ^[34]

Los servicios SAT suelen ir acompañados de herramientas y servicios adicionales relacionados con los empleados de una empresa, entre los que se incluyen:

• Servicios de monitoreo de la Dark Web : detecta si alguna dirección de correo electrónico o dominio de la empresa está involucrada en una violación de datos y notifica a los administradores sobre los datos expuestos vinculados a la dirección de correo electrónico de un empleado.
• Cumplimiento de políticas: guiar a los usuarios a través de políticas de gobernanza de ciberseguridad. Envíe políticas a sus usuarios para reconocerlas, realizar un seguimiento e informar sobre el cumplimiento.
• Evaluaciones de riesgos : evalúe e identifique las amenazas y vulnerabilidades de su empresa o cliente. ^[35]

Ver también

• Control de acceso
• La seguridad informática
• Concienciación sobre ciberseguridad
• Aseguramiento de información
• Seguridad de información
• Conciencia de seguridad de la información
• seguridad de Internet
• Seguridad de la red
• Suplantación de identidad
• Seguridad física
• Seguridad
• Conciencia de seguridad
• Controles de seguridad
• Gestion de seguridad
• Ingeniería social

Referencias

1. "Capacitación en concientización sobre la seguridad de la información (ISAT)". Universidad de Virginia . Consultado el 4 de noviembre de 2019 .
2. Caballero, Albert (1 de enero de 2017). "Educación, formación y sensibilización en seguridad". Manual de seguridad informática y de la información : 497–505. doi :10.1016/B978-0-12-803843-7.00033-8. ISBN 9780128038437.
3. Wilson, M; Hash, J (2003). "Creación de un programa de formación y concientización sobre la seguridad de la tecnología de la información". Gaithersburg, MD: 34. doi :10.6028/nist.sp.800-50. {{cite journal}}: Citar diario requiere |journal=( ayuda )
4. "Contenido | ISAT | Prueba de admisión de estudiantes internacionales | ACER". isat.acer.org . Consultado el 13 de marzo de 2021 .
5. Sharf, Elad (julio de 2016). "Intercambios de información: cambios regulatorios en la industria de la ciberseguridad después del Brexit: hacer que la capacitación en materia de seguridad funcione". En Fraude Informático y Seguridad . 7 : 9–12. doi :10.1016/S1361-3723(16)30052-5.
6. Cooper, Michael H. (2009). "Capacitación en seguridad de la información". Actas de la 37ª conferencia anual de otoño de ACM SIGUCCS: Comunicación y colaboración . Nueva York, Nueva York, Estados Unidos: ACM Press. pag. 217. doi : 10.1145/1629501.1629541. ISBN 978-1-60558-477-5. S2CID  7117477.
7. "Capacitación en concientización sobre ciberseguridad para principiantes". conscientego.com . 8 de noviembre de 2022 . Consultado el 5 de junio de 2023 .
8. "Sitio oficial del Consejo de estándares de seguridad de PCI: verifique el cumplimiento de PCI, descargue los estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Consultado el 5 de julio de 2021 .
9. Liska, Allan (2015), "Construcción de un modelo de inteligencia de seguridad de red", Creación de un programa de seguridad basado en inteligencia , Elsevier, págs. 124-125, doi :10.1016/b978-0-12-802145-3.00003-x, ISBN 978-0-12-802145-3
10. Industria de tarjetas de pago. Consejo de Normas de Seguridad. (2014). Mejores prácticas para implementar un programa de concientización sobre seguridad.[1]
11. Tschakert, Kai Florian; Ngamsuriyaroj, Sudsanguan (2019). "Efectividad y preferencias de los usuarios sobre las metodologías de formación en concientización sobre seguridad". Heliyón . 5 (6): e02010. Código Bib : 2019Heliy...502010T. doi : 10.1016/j.heliyon.2019.e02010 . ISSN  2405-8440. PMC 6606995 . PMID  31338464. 
12. Carella, Antonio; Kotsoev, Murat; Truta, Traian Marius (2017). "Impacto de la formación en materia de concienciación sobre seguridad en las tasas de clics de phishing". 2017 Conferencia Internacional IEEE sobre Big Data (Big Data) . IEEE. págs. 4458–4466. doi : 10.1109/bigdata.2017.8258485. ISBN 978-1-5386-2715-0. S2CID  35766007.
13. Haney, Julie; Lutters, Wayne (2020). "Capacitación en concientización sobre seguridad para la fuerza laboral: ir más allá del cumplimiento de" marcar la casilla "". Computadora . 53 (10): 91–95. doi :10.1109/MC.2020.3001959. ISSN  0018-9162. PMC 8201414 . PMID  34131349. 
14. "Ley Federal de Modernización de la Seguridad de la Información | CISA". www.cisa.gov . Consultado el 27 de julio de 2021 .
15. "La regla de seguridad". hhs.gov . Oficina de Derechos Civiles de los Estados Unidos. 2009-09-10 . Consultado el 5 de julio de 2021 .
16. "Para empleados estatales: Oficina de Tecnología de la Información del Gobernador de Colorado". www.oit.state.co.us . Consultado el 27 de julio de 2021 .
17. "13 FAM 301.1 Capacitación en seguridad obligatoria para todos los empleados del departamento". fam.state.gov . Consultado el 27 de julio de 2021 .
18. "Estatutos y constitución: ver estatutos: sol en línea". www.leg.state.fl.us . Consultado el 27 de julio de 2021 .
19. "Recurso de factura". personalizado.statenet.com . Consultado el 27 de julio de 2021 .
20. "Capacitación en ciberseguridad para empleados del condado de Cook, Illinois". GovTech . 2013-11-07 . Consultado el 27 de julio de 2021 .
21. "Recurso de factura". personalizado.statenet.com . Consultado el 27 de julio de 2021 .
22. "Recurso de factura". personalizado.statenet.com . Consultado el 27 de julio de 2021 .
23. "Política de seguridad informática 20-07". doit.maryland.gov . Consultado el 27 de julio de 2021 .
24. "Recursos de formación en seguridad". sitsd.mt.gov . Consultado el 27 de julio de 2021 .
25. "NVeLearn". nvelearn.nv.gov . Consultado el 27 de julio de 2021 .
26. "Estándares y procedimientos de las políticas de seguridad del Estado". it.nv.gov . Consultado el 27 de julio de 2021 .
27. "Recurso de factura". personalizado.statenet.com . Consultado el 27 de julio de 2021 .
28. "Seguridad y privacidad de la información del estado de Ohio> Gobierno> Gobierno estatal> Seguridad> Capacitación y concientización". infosec.ohio.gov . Consultado el 27 de julio de 2021 .
29. "Ciberseguridad para agencias y empleados del Commonwealth". Oficina de Administración . Consultado el 27 de julio de 2021 .
30. "Programas certificados de formación en ciberseguridad, 154". dir.texas.gov . Consultado el 27 de julio de 2021 .
31. "Capacitación en concientización sobre seguridad 2021 | División de Servicios Tecnológicos". dts.utah.gov . Consultado el 27 de julio de 2021 .
32. "Recurso de factura". personalizado.statenet.com . Consultado el 27 de julio de 2021 .
33. Lincke, Susan (2016). PLANIFICACIÓN DE SEGURIDAD: un enfoque aplicado. Springer Internacional. págs. 176-177. ISBN 978-3-319-36560-2. OCLC  1005117710.
34. Jenkins, Jeffrey L.; Durcikova, Alexandra; Quemaduras, María B. (2012). "Olvídese de las tonterías: examinar cómo la riqueza de los medios influye en el impacto de la capacitación en seguridad de la información en el comportamiento seguro". 2012 45ª Conferencia Internacional de Hawaii sobre Ciencias de Sistemas . Maui, Hola, Estados Unidos: IEEE. págs. 3288–3296. doi :10.1109/HICSS.2012.285. ISBN 978-1-4577-1925-7. S2CID  206705398.
35. Mezquita, Ty (18 de enero de 2022). "Los beneficios ocultos de la formación de concienciación para los MSP". CiberHoot . Consultado el 27 de enero de 2022 .