Diseñar un programa de concientización en ciberseguridad es crucial para fortalecer la postura de seguridad de una organización. Para dar inicio a la creación de este programa, primero será necesario tener una referencia inicial y conocer el comportamiento y el nivel de conciencia de los usuarios. A esta referencia inicial la llamaremos línea base. Mencionamos algunos puntos que permiten comprender la importancia de la misma:
- Evaluación de riesgos iniciales: la línea base permite a la organización comprender sus riesgos iniciales en términos de vulnerabilidades, amenazas y comportamientos de los usuarios. Esto proporciona una base sólida para desarrollar el programa de concientización.
- Identificación de necesidades específicas: ayuda a identificar los grupos de usuarios que pueden tener deficiencias en términos de conocimientos y prácticas de seguridad.
-
Medición del progreso: al tener una línea base, es posible medir el progreso del programa de concientización a lo largo del tiempo.
¿Cómo obtener una línea base?
Antes de lanzar el programa, recomendamos conocer cuál es el estado actual de la capa humana de la organización. Esta medición permitirá establecer objetivos y metas a alcanzar mediante las acciones de concientización.
Proponemos cuatro enfoques complementarios para distribuir las campañas de medición de su línea base. Puede elegir el que tenga más sentido para su organización. Tenga en cuenta principalmente la cantidad de campañas que implica cada modelo.
Seleccione los contenidos específicos para utilizar en cada campaña de acuerdo a la situación actual de su organización, su zona geográfica, acontecimientos relevantes de la actualidad - tanto locales como internacionales - y otros factores que considere relevantes. SMARTFENSE proporciona un catálogo completo de contenidos predefinidos y brinda la posibilidad de crear contenidos personalizados tanto desde cero, cómo partiendo de plantillas de los predefinidos.
Desde nuestro calendario programe las campañas según el enfoque elegido, y a medida que las mismas vayan finalizando, podrá ver detalle de auditoría de campaña para analizar los resultados obtenidos.
Si necesita ayuda para programar las campañas vea nuestros artículos en la sección Calendario y Componentes, que lo guiarán en la configuración de las campañas de phishing, ransomware, examen y encuesta.
Es recomendable repetir las mediciones de la línea base cada 6 meses, para conocer si las acciones de concientización están generando los resultados deseados.
Programa de concientización
Una vez ejecutada la línea base, podremos crear junto al cliente el programa de concientización. Este programa tendrá diferentes campañas que utilizarán los diversos componentes que ofrece SMARTFENSE para simular, capacitar e informar:
- Módulos interactivos
- Videos
- Videojuegos
- Newsletters
- Simulaciones de phishing, ransomware y smishing
- USB Drop
- Exámenes
- Encuestas
El siguiente link de descarga contiene un programa de ejemplo de tres años, en cada uno de los cuales, sugerimos mensualmente contenidos específicos relacionados con diferentes temáticas.
Definido el programa, podrá crear las campañas desde nuestro calendario para que se ejecuten en la fecha deseada.
Ajuste del programa
A medida que avancen las acciones de concientización, en base a los reportes y auditoría de las campañas programadas, es recomendable valorar si es necesario realizar ajustes a la programación, por ejemplo:
- cambiar el orden o periodicidad de las campañas
- enviar campañas específicas a usuarios que caen en las trampas de simulación
- segmentar los usuarios por grupos, niveles jerárquicos, áreas funcionales
- enviar campañas específicas a ciertos grupos con comportamientos no deseados (finanzas, ventas, etc.)
- enviar campañas específicas a usuarios para mejorar el engagement
- programar envíos muestrales (no generales)