Este artículo describe cómo se calcula el Scoring de Riesgo en SMARTFENSE y cómo interpretar los niveles de riesgo de cada usuario, grupo y de la organización en su instancia. También explica los gráficos disponibles para el análisis y seguimiento del riesgo.
Objetivo
El objetivo del Scoring de Riesgo es responder a las siguientes preguntas clave para el administrador de la instancia:
¿Cuál es el nivel de riesgo de cada usuario de la organización?
¿Cuál es el nivel de riesgo de cada grupo de usuarios?
¿Cuál es el nivel de riesgo de la organización en general?
Para lograrlo, SMARTFENSE muestra una tabla con información general y, además, un detalle particular del Scoring de Riesgo para cada usuario, grupo y para la organización.
Scoring de riesgo
Scoring de riesgo del usuario
Scoring de riesgo de los grupos
Scoring de riesgo de la organización
Scoring de riesgo
El Scoring de Riesgo es un cálculo propio de SMARTFENSE basado en la teoría general del scoring de riesgo, aplicable tanto en concienciación como en otros ámbitos (por ejemplo, el bancario). Es un número que refleja qué tan severo es un riesgo según la presencia de determinados factores.
El valor puede ir de 0 a 100.
Cuanto más alto es el número, mayor es el riesgo que representa.
A su vez, el valor del Scoring se asocia a una escala cualitativa. Esta escala permite a cada organización elaborar políticas internas y definir acciones concretas para cada nivel de riesgo medido.
Componentes del cálculo
Por definición, el cálculo de Scoring de Riesgo en SMARTFENSE está diseñado para ser sencillo de realizar y fácil de entender. Los componentes del cálculo son claros y su presencia está justificada. No se utilizan procesos de caja negra como machine learning u otras tecnologías similares para este cálculo.
De este modo, el resultado del Scoring de Riesgo es transparente y comprensible para los administradores.
Riesgo a analizar
El riesgo que se mide es que la organización sufra un incidente de seguridad de la información relacionado con la capa humana.
Factores de riesgo
Los factores de riesgo se relacionan directamente con las acciones o comportamientos de riesgo que puede realizar un usuario final.
Estas acciones pueden aumentar o disminuir la exposición de la organización al riesgo analizado. Para medir estos factores se utilizan campañas de simulación de phishing, ransomware y smishing.
Pesos
Los pesos indican la criticidad de cada factor de riesgo que se mide en las campañas de simulación de Phishing, Smishing y Ransomware.
Phishing:
Factor de riesgo |
Peso |
Enviado |
Nulo |
Abierto |
Bajo |
Clic en el enlace |
Medio |
Ingreso de datos |
Alto |
Smishing:
Factor de riesgo |
Peso |
Enviado |
Nulo |
Entregado |
Nulo |
Clic en el enlace |
Medio |
Ingreso de datos |
Alto |
Ransomware:
Factor de riesgo |
Peso |
Enviado |
Nulo |
Abierto |
Bajo |
Ransomware descargado |
Medio |
Ransomware abierto |
Alto |
Ransomware adjunto abierto |
Alto |
Encriptación posible en carpeta |
Alto |
Probabilidad de ocurrencia
La probabilidad de ocurrencia de cada factor de riesgo se calcula por usuario teniendo en cuenta:
La cantidad de campañas de simulación de Phishing, Smishing y Ransomware en las que participó.
La cantidad de acciones de riesgo realizadas en esas campañas.
La probabilidad evoluciona de manera logarítmica según la cantidad de acciones realizadas por el usuario en las últimas 100 campañas.
Ejemplo:
Cantidad de campañas |
Acciones de riesgo |
Probabilidad de ocurrencia |
1 |
1 |
100% |
2 |
1 |
86.94% |
3 |
1 |
67.74% |
La probabilidad de ocurrencia se calcula:
Por cada factor de riesgo.
Para cada usuario, de forma individual.
Por ejemplo, un usuario tendrá:
Una probabilidad específica de apertura de un correo de Phishing.
Otra probabilidad de clic en el enlace de Phishing.
Otra para el ingreso de datos, y así sucesivamente para cada factor medido.
Redención
La Redención permite que el Scoring de Riesgo de cada usuario disminuya a medida que no realiza acciones de riesgo en las campañas de Phishing, Smishing y Ransomware en las que es asignado.
La Redención lleva el scoring particular de cada factor de riesgo del usuario a 0 si este no realiza comportamientos inseguros. La disminución del scoring se realiza siguiendo una curva logarítmica.
Cuando el usuario realiza una acción de riesgo, la Redención correspondiente a ese factor de riesgo en particular se anula.
Penalización
La Penalización lleva el scoring de cada factor de riesgo particular de un usuario a 100 si éste realiza 5 acciones de riesgo recientes.
Se toman las últimas 5 campañas del usuario.
Según la cantidad de acciones de riesgo en esas campañas, se calcula la Penalización.
Esto permite encender las alarmas cuando un usuario que venía con un comportamiento correcto comienza a realizar acciones de riesgo en un período reciente.
Escala cualitativa
La siguiente escala cualitativa se aplica para calificar los distintos niveles de riesgo derivados del Scoring de Riesgo:
Bajo |
0 a 20 |
Medio bajo |
20 a 40 |
Medio alto |
40 a 60 |
Alto |
60 a 80 |
Muy alto |
80 a 100 |
Campañas consideradas en el cálculo
El cálculo de Scoring de Riesgo considera campañas de simulación de Phishing, Smishing y Ransomware finalizadas. No se tienen en cuenta campañas de prueba.
Las interacciones generadas por software se pueden tener en cuenta o no, según se decida Mostrarlas u Ocultarlas en la sección Configuración > Seguridad > Whitelist.
Scoring de riesgo del usuario
Ya conocemos los componentes que impactan en el cálculo del Scoring de Riesgo a partir de las acciones de cada usuario. SMARTFENSE ofrece un mapa de calor por campaña ( de phishing, ransomware y smishing) para analizar la relación entre la probabilidad de ocurrencia de una acción de riesgo y su impacto potencial. Para ver el mapa de calor:
Ingrese a Auditoría - Detalle de Campaña.
En la sección Gráficos verá el mapa de calor correspondiente a esa campaña.
En SMARTFENSE se realiza el siguiente análisis por cada usuario de la plataforma:
Se toman las últimas 100 campañas de Phishing, Smishing y Ransomware en las que participó el usuario.
Se consideran las interacciones realizadas por el usuario en cada campaña.
Estas interacciones se agrupan en tres categorías:
Acciones de riesgo bajo
Apertura de correos de simulación de Phishing.
Apertura de correos de simulación de Ransomware.
Acciones de riesgo medio
Clic en el enlace de una simulación de Phishing o Smishing.
Descarga de un archivo en una simulación de Ransomware.
Acciones de riesgo alto
Ingreso de datos en una simulación de Phishing o Smishing.
Apertura de un archivo adjunto descargado de una simulación de Ransomware.
Según su historial, cada usuario tiene una probabilidad determinada de realizar cada categoría de acciones.
Mapa de calor según modalidad de campaña
En campañas de simulación de Phishing o Ransomware con modalidad Asignación inicial única y fecha de expiración específica, el mapa de calor se muestra una vez que la campaña finaliza. Considera el comportamiento del usuario en la campaña actual y también el comportamiento en las últimas 100 campañas de simulación de Phishing o Ransomware.
En campañas con modalidad Asignación recurrente y duración relativa, el mapa de calor se actualiza a medida que los usuarios asignados de forma recurrente finalizan la campaña.
El mapa de calor de una campaña no se modifica en el tiempo. Puede consultarse en cualquier momento futuro y el resultado será siempre el mismo.
| Importante: modificar el estado de los usuarios tiene un efecto directo en el mapa de calor de la organización. Este efecto no es inmediato, ya que la actualización del mapa se realiza cada 24 horas. |
Gráficos del scoring de riesgo de los usuarios
Para analizar el Scoring de Riesgo de los usuarios:
Ingrese desde el menú de SMARTFENSE a Scoring de Riesgo > Usuarios.
Verá una tabla con la lista de usuarios de su organización.
Podrá filtrar por grupo, área funcional y nivel jerárquico.
Si desea ver la evolución del scoring de riesgo de un usuario en particular, busque al usuario en la tabla, ingrese al detalle del usuario y verá los siguientes gráficos:
Scoring de riesgo actual.
Evolución en el tiempo.
Factor de riesgo.
Estos gráficos ayudan al administrador a identificar tendencias de riesgo y a tomar decisiones sobre capacitación y acciones correctivas.
Scoring de riesgo de los grupos
El Scoring de Riesgo de un grupo se calcula como un promedio ponderado del scoring de cada usuario que forma parte del grupo. Se otorga más peso a los usuarios que presentan un mayor riesgo.
El peso de cada rango de Scoring de Riesgo es el siguiente:
Escala |
Scoring |
Peso |
Bajo |
0 a 20 |
25 |
Medio bajo |
20 a 40 |
25 |
Medio alto |
40 a 60 |
50 |
Alto |
60 a 80 |
100 |
Muy alto |
80 a 100 |
100 |
No se consideran usuarios inactivos dentro del grupo.
El Scoring de Riesgo de los grupos inactivos no se actualiza.
| Importante: modificar la composición de los grupos (añadir, quitar, activar o desactivar usuarios) tiene un efecto directo en el Scoring de Riesgo del grupo. Este efecto no es inmediato, ya que la actualización del Scoring se realiza cada 24 horas. |
Gráficos del scoring de riesgo de los grupos
Para analizar el Scoring de Riesgo de los grupos:
Ingrese desde el menú de SMARTFENSE a Scoring de Riesgo > Grupos.
Verá una lista de los grupos de su organización.
Si desea ver la evolución del scoring de riesgo de un grupo en particular busque el grupo en la lista, ingrese al detalle del grupo y verá los siguientes gráficos:
Scoring de riesgo actual.
Evolución en el tiempo.
Factor de riesgo.
Estos gráficos permiten identificar qué grupos representan mayor riesgo y priorizar acciones de capacitación o ajustes en la estrategia de seguridad.
Scoring de riesgo de la Organización
Al ingresar a Scoring de riesgo > Organización desde le menú de SMARTFENSE, podrá ver la evolución global de su organización en función de las acciones de los usuarios en los distintos componentes que impactan en el cálculo del Scoring de Riesgo.
Los gráficos disponibles permiten:
Visualizar la tendencia general de riesgo de la organización.
Identificar períodos de aumento o disminución del riesgo.
Facilitar la toma de decisiones estratégicas de seguridad a nivel organizacional.
💡 Mejores prácticas
Revise periódicamente el Scoring de Riesgo de Usuarios, Grupos y Organización para detectar tendencias de riesgo y reaccionar a tiempo.
Utilice las campañas de Phishing, Smishing y Ransomware de forma continua para mantener actualizada la probabilidad de ocurrencia de los factores de riesgo.
Aproveche la Redención como incentivo para mejorar el comportamiento de los usuarios, reforzando la importancia de no realizar acciones de riesgo.
Supervise los usuarios con Penalización activa y considere acciones de capacitación específica o comunicación adicional por parte del administrador de la instancia.