GUÍA DE IMPLEMENTACIÓN
DE CONCIENTIZACIÓN DE SEGURIDAD:
TRABAJAR DE FORMA SEGURA DESDE CASA

Como resultado del COVID-19, muchas organizaciones se encuentran fortaleciendo la transición de los colaboradores para trabajar desde casa. Esto puede ser un desafío ya que muchas organizaciones carecen de las políticas, la tecnología y la capacitación para asegurar que los colaboradores realicen una labor remota. Además, muchos colaboradores pueden no estar familiarizados o incómodos con la idea de trabajar desde casa. El propósito de esta guía es permitirle capacitar rápidamente a esas personas para estarlo más seguro posible.

Es probable que los colaboradores, desempeñando una labor remota, atraviesen una gran cantidad de estrés y cambios, y que su organización esté limitada por el tiempo y los recursos. Esta guía estratégica se enfoca en hacer que la capacitación sea lo más simple posible. Les recomiendo que se concentren solo en los riesgos más importantes que tendrán el mayor impacto. Piensen en estos riesgos como un punto de partida. Si hay riesgos o temas adicionales que desean agregar, por supuesto, háganlo. Sólo tengan en cuenta que cuantos más comportamientos, procesos o tecnologías requiera de sus colaboradores, es menos probable que puedan implementarlos todos.

1. Equipo de Seguridad: Coordine con su equipo de seguridad para comprender mejor qué riesgos clave está tratando de administrar. En esta guía menciono los riesgos más comunes al trabajar desde casa. El típico error, que cometen los equipos de seguridad, es tratar de gestionar todos los riesgos y abrumar a las personas con numerosas políticas y requisitos. Intenten limitar los riesgos, a los que se dirigirán, lo menos posible. Una vez que hayan identificado y priorizado esos riesgos, definan cómo tratarán esos riesgos. Como ya se mencionó, si su organización no tiene el tiempo o los recursos para esto, aproveche lo que menciono a continuación.

2. Comunicación: Una vez que hayan identificado sus principales riesgos humanos y el cómo serán tratados esos riesgos, reúnanse con su equipo de comunicaciones para involucrar y capacitar a sus colaboradores. Los programas de concientización de seguridad son más efectivos si el equipo de comunicaciones se involucra. Es importante enfatizar que esta capacitación, por parte de la organización, no solo los asegurará en el trabajo sino que les permitirá crear un hogar de Ciber Seguro, protegiéndose a sí mismos y a su familia.

En última instancia, al trabajar con estos dos equipos, están intentando hacer que la seguridad sea lo más simple posible para sus colaboradores y motivarlos. Además de del equipo de seguridad y comunicaciones, otros departamentos con los que puede apoyarse y/o coordinar incluyen Recursos Humanos y Legal.

Respuesta a los colaboradores: Preguntas y reporte de incidentes

Además de comunicarse y capacitar a sus colaboradores, es recomendable utilizar algún tipo de tecnología o foro donde puedan responder las preguntas de las personas y/o informar incidentes, preferiblemente en tiempo real. Esto puede incluir un alias de correo electrónico dedicado, un canal de chat en Slack, Telegram, Skype o algún tipo de foro en línea como Yammer. El objetivo es que deseen que la seguridad sea lo más accesible posible y ayudar a las personas con sus preguntas. Además, tener una plataforma tan interactiva con sus colaboradores les permitirá identificar y responder rápidamente a los incidentes. Esta es una oportunidad fantástica para involucrar a sus colaboradores y mostrar una cara amigable en la seguridad, trate de aprovechar esta coyuntura. Tengan en cuenta que para que esto sea efectivo, se recomienda dedicar un recurso para moderar los canales de seguridad y responder activamente a consultas o incidentes reportados.

Riesgos

He identificado tres principales riesgos que deberán tratarse junto a sus colaboradores. Estos son un punto de partida y muy probablemente serán de valor para ustedes. Cada riesgo a continuación contiene enlaces a múltiples recursos para ayudar a comunicar y capacitar al respecto.

Ingeniería Social

Uno de los mayores riesgos a los que se enfrentarán los colaboradores remotos, especialmente en este momento de cambios dramáticos y un entorno de urgencia, son los ataques de ingeniería social. La Ingeniería Social es un ataque psicológico en el que los atacantes engañan o engañan a sus víctimas para que cometan un error, lo que será más fácil durante un momento de cambio y confusión. La clave es capacitar a las personas sobre qué es la ingeniería social, cómo detectar los indicadores más comunes de un ataque de ingeniería social y qué hacer cuando detectan uno. Asegúrese de no centrarse sólo en los ataques de phishing por correo electrónico, sino en otros métodos que incluyen llamadas telefónicas, mensajes de texto, redes sociales o noticias falsas. Puede encontrar los materiales que necesita para capacitar y reforzar este tema a continuación:

Material de apoyo de ingeniería social en varios idiomas:

https://www.sans.org/security-awareness-training/deployment-kit-videos

Contraseña Robusta

Como sabrán, existen reportes de Cyber Security que evidencian que las contraseñas débiles continúan siendo uno de los principales impulsores de infracción a escala mundial. Existen cuatro comportamientos clave para ayudar a gestionar este riesgo, que enumero a continuación.

• Passphrases (tanto la complejidad de la contraseña como la caducidad de la contraseña son importantes
• Distinta contraseña para acceder a diferentes cuentas.
• Password Managers
• MFA (Multi-Factor Authentication). También conocido Two-factor Authentication o Two-Step Verification.

Sistemas actualizados

El tercer riesgo es garantizar que cualquier tecnología que utilicen sus colaboradores ejecute la última versión del sistema operativo, aplicaciones desktop y aplicaciones móviles.

Para las personas que usan dispositivos personales, esto puede requerir habilitar la actualización automática.

Criterios a considerar

• Detection/Response: ¿Desean que las personas denuncien si creen que ha habido un incidente mientras trabajaban en casa? Si es así, ¿qué quieres que denuncien y cuándo? Para que esto sea efectivo, asegúrese de tener un canal fácil para que las personas denuncien actividades sospechosas. Esto será crítico cuando haya personas trabajando de forma remota.

• Wi-Fi: Asegure su punto de acceso Wi-Fi. https://www.sans.org/security-awareness-training/deployment-kit-videos

• VPN: qué es una VPN y por qué debería usarla. https://www.us-cert.gov/ncas/alerts/aa20-073

• Trabajar de forma remota: Esto es para personas que trabajan de manera remota pero que NO trabajan desde casa, como una cafetería, en el aeropuerto o un hotel. https://www.sans.org/security-awareness-training/deployment-kit-videos

• Niños / invitados: Reforzar la idea de que la familia / invitados no deben acceder a dispositivos relacionados con el trabajo. https://www.sans.org/security-awareness-training/deployment-kit-videos

TIPS

Consejos y trucos que pueden compartir fácilmente.

• Los pasos efectivos que pueden tomar para proteger su red inalámbrica en el hogar es cambiar la contraseña de administrador predeterminada, habilitar el cifrado WPA2 y usar una contraseña segura para su red inalámbrica

• Consideren todos los dispositivos conectados a su red doméstica, incluidos los monitores para bebés, consolas de juegos, televisores o electrodomésticos. Asegúrense de que todos esos dispositivos estén protegidos por una contraseña segura y/o estén ejecutando la última versión de su sistema operativo

• Una de las formas más efectivas de proteger su computador, en el hogar, es asegurarse de que tanto el sistema operativo como sus aplicaciones estén parchados y actualizados. Habilite la actualización automática siempre que sea posible

• En última instancia, el sentido común es su mejor protección. Si un correo electrónico, una llamada telefónica o un mensaje en línea parece extraño, sospechoso o demasiado bueno para ser verdad, puede ser un ataque

• Asegúrese de que cada una de sus cuentas tenga una contraseña única. ¿No puedo recordar todas sus contraseñas/frases de contraseña? Considere usar un administrador de contraseñas para almacenarlos de forma segura por usted

• La verificación en dos pasos es uno de los mejores pasos que puede seguir para proteger cualquier cuenta. La verificación en dos pasos es cuando necesita una contraseña y un código enviados o generados por su dispositivo móvil. Los ejemplos de servicios que admiten la verificación en dos pasos incluyen Gmail, Dropbox, Airbnb y Twitter

• La suplantación de identidad es cuando un atacante intenta engañarlo para que haga clic en un enlace malicioso o abra un archivo adjunto en un correo electrónico. Sospeche de cualquier correo electrónico o mensaje en línea que cree un sentido de urgencia, tenga una mala ortografía o se dirija a usted como "Estimado cliente".

Anexo: Plantilla de mensaje

El propósito de esta plantilla es ayudarlo a comunicarse e introducir el concepto de trabajar desde casa. Se recomienda encarecidamente que coordine este mensaje con/a través de su departamento de comunicaciones, ya que su organización probablemente ya se está comunicando activamente sobre el COVID-19. A continuación muestro un ejemplo de lo que puede comunicar; sin embargo, asegúrese de modificarlo según sus necesidades y requisitos.

Amigos, mientras se preparan para trabajar desde casa, uno de nuestros objetivos es ayudarlos a hacerlo de manera segura. Como tal, durante los próximos días/semanas compartiremos con usted pasos clave y consejos sobre cómo puede trabajar de forma segura desde su hogar. A veces, la Ciberseguridad puede parecer abrumadora, sin embargo, al seguir solo algunos pasos simples y básicos, recorrerás un largo camino para protegerte. Además, todo lo que aprenderá no solo se aplica al trabajo, sino que ayudará a proteger su vida familiar y personal, creando en última instancia un hogar mucho más seguro.

Los temas clave en los que nos centraremos para ayudarlo a estar seguro son:

• Ingeniería social: cómo detectar y detener los ataques de ingeniería social, como los que ocurren por correo electrónico o por teléfono.

• Red doméstica: pasos clave para proteger su red doméstica, por ejemplo, su dispositivo Wi-Fi.

• Contraseñas: cómo usar las contraseñas de manera segura.

• Actualización: cómo asegurarse de que siempre utiliza los sistemas, aplicaciones y aplicaciones móviles más recientes.

• Familia/invitados: cómo lidiar con la navegación familiar y de los invitados para dispositivos y actividades relacionados con el trabajo.

Seguir solo unos pocos pasos será una forma robusta de asegurarlo a usted y a su familia en el hogar. Si tiene alguna pregunta sobre cómo trabajar de forma segura en casa o sugerencias sobre cómo mejorar nuestros esfuerzos de seguridad cibernética, comuníquese con [Su información de contacto aquí]. Ella es la responsable general de nuestro programa de concientización de seguridad y estará encantado de saber de usted.

NOTA: Puede poner la información de contacto de su equipo de seguridad al final o quizás vincular a su portal de seguridad interno, canales de seguridad o cualquier otro recurso que desee promocionar.

Sobre el AUTOR:

Jorge Sandoval

Consultor Senior Ciberseguridad · NLT Secure

14 años de experiencia en Ciberseguridad, investigación de amenazas cibernéticas, arquitectura de seguridad, concientización e implementación de controles de seguridad. Implementó y participó en certificaciones ISO 27001, PCI DSS y FFIEC CAT. Como Cybersecurity Manager, se certificó como CEH, CCSE, ISO 27032, ISO/IEC 27001, ISO 31000, Kanban y CompTIA Security+. Además, Jorge ha ayudado a más de 35 organizaciones a crear programas de Ciberseguridad y busca mejorar nuestras interacciones diarias con el mundo digital.