Concienciación Ciberseguridad

Curso de formación del profesorado de
Formación Profesional:
Conceptos de Ciberseguridad
TEMA 2. CONCIENCIACIÓN EN CIBERSEGURIDAD
Profesor. Miguel Ángel Pérez Sánchez

Concienciación en ciberseguridad
Contenidos:
• 2.1 Actividades de concienciación en la

empresa: (Empleados, equipo directivo, equipos
técnicos (desarrolladores, administradores de
sistemas), actividades de concienciación a
clientes.
• 2.2 Phishing ético
Curso de formación del profesorado de Formación Profesional:

2
Actividades de concienciación en la empresa
• El factor humano
• Perfiles de comportamiento frente a la seguridad
• La cultura de seguridad
• Acciones de formación y concienciación
• Establecer una normativa de seguridad
• Supervisar las buenas prácticas en ciberseguridad
• Concienciación en ciberseguridad para empleados y para directivos
• Técnicas de concienciación para contener incidentes

3
• Una cadena es tan fuerte como su eslabón más débil.
• El usuario Es un eslabón más débil de la cadena de seguridad
• La experiencia demuestra que es uno de los eslabones más débiles.
• Para ello es necesario Invertir en formación y concienciación en seguridad
• Dado que el usuario es el eslabón más importante y débil de la cadena de la seguridad.

4
• Apáticos y escépticos
• Creen que las amenazas a la ciberseguridad están sobrevaloradas
• Y que los mecanismos implementados inhiben su rendimiento
• Como consecuencia Se saltan las políticas.
• Con falta de conciencia Esperan que la empresa se ocupe de la seguridad
• Y no asumen responsabilidad personal de protección de datos corporativos.

5
• Bienintencionados
• Los empleados que tratan de cumplir las políticas de seguridad
• Pero no lo hacen con constancia.
• Conscientes de las amenazas
• Empleados que son conscientes de los riegos de seguridad
• E intentan mantenerse seguros.

6
• En ciberseguridad La tecnología no es suficiente.
• Los protagonistas de la seguridad Son los usuarios finales
• Que gestionan y utilizan los sistemas de información de la organización.
• Los empleados deben adquirir conocimientos en ciberseguridad
• Que les permitan trabajar Aplicando normas de seguridad en su rutina
• Y desarrollar una capacidad de respuesta ante un incidente.

7
• La formación y concienciación
• Crea una cultura de seguridad en los empleados.
• Permite utilizar los recursos de la empresa Para proteger los sistemas
• Cumpliendo las normas de la organización en materia de seguridad
• Optimizar el manejo de los sistemas de seguridad implantados
• Y garantizar el cumplimiento de la legislación y de las políticas de seguridad.

8
• Desarrollar e integrar una cultura de seguridad en la organización Es complejo
• Su aplicación requiere
• Plazos de tiempo amplios
• Y acciones continuadas en el tiempo.
• Finalidad
• Conseguir que los empleados interioricen la cultura de seguridad en sus quehaceres.

9
• Problema Los empleados ven los procedimientos de seguridad de la organización
• Una complicación, un incordio o molestia.
• La percepción en los no concienciados
• Es que la seguridad es incómoda
• Y dificulta sus actividades cotidianas imponiendo limitaciones.
• Es necesario revertir esa visión negativa Mediante una cultura de seguridad.

10
• La empresa para mantener un nivel de seguridad
• Debe realizar acciones de formación para los empleados
• Establecer políticas, normas y procedimientos de seguridad
• Supervisar que se cumplan las buenas prácticas en seguridad
• Y realizar periódicamente acciones de concienciación en seguridad.
• La concienciación incrementa el nivel de seguridad de la organización
• Mejora la imagen y los procesos de negocio de la empresa Es rentable.

11
• La cultura de seguridad Medidas de desarrollo
• Compromiso de confidencialidad
• Proporcionar al contratar nuevos empleados junto con el contrato
• Se comprometen a no revelar datos A personas ajenas a la empresa.
• Lo deben firmar los empleados y colaboradores
• Sobretodo los que trabajen con datos confidenciales De la empresa o clientes.

12
• Entregar documentos de seguridad a los empleados
• La política de seguridad
• Es la declaración formal La seguridad es parte de la cultura de la empresa
• Y define los procedimientos y las normas que aplican en la organización.
• Las normas de uso de los activos y los procedimientos de seguridad de la empresa
• Indican cómo se hacen las cosas en la empresa
• Uso del correo, soportes extraíbles, copias de seguridad, contraseñas…

13
• El administrador de seguridad o el comité de seguridad
• Desarrolla y redacta la política, las normas y los procedimientos.
• Actualiza y mantiene los documentos
• Incorpora cambios legislativos, organizativos o las nuevas tecnologías.
• Y hace llegar los documentos a los empleados para su aplicación.

14
• Jornadas de concienciación periódicas
• Permiten recordar y comunicar los cambios que se van incorporando
• Todos los empleados tienen que asistir.
• El objetivo Reforzar la aplicación de los procedimientos, normas y la política
• Y evitar que se olviden
• Permite verificar la aplicación de las buenas prácticas.

15
• Acciones de formación y concienciación
• Personal técnico
• Precisa formación en materia de seguridad
• Con un mayor grado de especialización.
• Se deben facilitar recursos y mecanismos Para formarles en ciberseguridad
• Dirigida a los sistemas y aplicaciones
• Que soportan los procesos de negocio de la organización fundamentalmente.

16
• Acciones de formación y concienciación Personal técnico
• Aspectos de ciberseguridad de concienciación y formación
• Seguridad de los sistemas operativos y aplicaciones Parches, vulnerabilidades…
• Gestión de elementos de seguridad perimetral Cortafuegos, IDS…
• Procedimientos de copias de seguridad y recuperación de la información
• Gestión y resolución de incidentes de seguridad
• Políticas de seguridad a aplicar los soportes extraíbles
• Otros mecanismos de seguridad Cifrado, autenticación, perfiles, contraseñas…

17
• Acciones de formación y concienciación Personal técnico
• La permanente evolución de la tecnología Exige un continuo proceso de formación
• Sobre todo si la organización tiene una alta dependencia de la tecnología
• Además este personal es Asesor de los usuarios en la tecnología y su seguridad.
• Si la empresa ha externalizado la administración de la infraestructura TIC
• Verificar que es competente en ciberseguridad
• Y que la gestión de la infraestructura TIC se realiza de manera segura.

18
• Acciones de formación y concienciación Usuarios finales
• En las empresas la gran mayoría de sus empleados trabajan con ordenadores
• O dispositivos móviles Conectan desde el exterior a los sistemas corporativos.
• La ciberseguridad no se limita a los aspectos técnicos
• Sino que incorpora otros ámbitos Como el organizativo y el legal
• Si la empresa tiene como clientes a personas físicas
• Se debe formar al empleado en la protección de datos de carácter personal.

19
• Acciones de formación y concienciación Usuarios finales
• Aspectos de ciberseguridad para la concienciación y formación
• Reconocer un ataque de ingeniería social y evitarlo
• Proteger el puesto de trabajo Antivirus, actualizaciones, correo electrónico…
• Manejar con seguridad dispositivos móviles corporativos Portátiles, smartphones…
• Entender los riesgos del acceso y navegación
• En webs externas, aplicaciones de terceros, actualizaciones no validadas…

20
• La ciberseguridad Se plasma en políticas, nomas y procedimientos
• Son protocolos de actuación a seguir dentro de la organización.
• Las actividades de ciberseguridad hay que formalizarlas
• Documentando la ciberseguridad a aplicar
• Y especificando lo que se puede o no se puede hacer en la organización
• Incluir los usos permitidos de los recursos corporativos Y las sanciones a aplicar.

21
• Las normas y procedimientos Se derivan de Política de Seguridad.
• La Política de Seguridad
• Recoge los objetivos de la organización en ciberseguridad
• Debe ser formalmente aprobada por la Dirección.
• Aprobadas las normativas de uso de los recursos corporativos
• Se comunican a los empleados Para alcanzar la concienciación.

22
• Una vez definido el marco de trabajo y trasladado a las partes afectadas
• Es necesario comprobar que se está aplicando.
• El administrador de seguridad es el encargado de velar
• La vigencia y actualización de las normas y procedimientos definidos
• Atendiendo a la detección de nuevas situaciones y cambios organizativos
• La implantación de la normativa
• Y la verificación de su cumplimiento por los empleados.

23
• Se deben disponer mecanismos Para comprobar que se siguen los procedimientos
• Supone realizar auditorías Internas o externas.
• Usar herramientas que registren las operaciones de los usuarios Su trazabilidad
• En los dispositivos, aplicaciones, ficheros y bases de datos corporativas…
• E implantar soluciones tecnológicas Que impidan las acciones no permitidas.

24
• Concienciación en ciberseguridad Para empleados
• Para que la ciberseguridad se integre en la cultura de la empresa
• La Dirección debe asegurarse la implicación de los empleados.
• Los empleados deben ser conscientes de la importancia de la información que manejan
• La propia y la de terceros con los que hacen negocios Clientes, proveedores…

25
• Si los empleados no se consideran parte fundamental de este proceso
• El fracaso está garantizado
• Son parte fundamental en la mejora del nivel de seguridad.
• En algunos casos los empleados no necesitan formación en seguridad
• Sino información sobre seguridad A aplicar en el desempeño de sus tareas.

26
• La tecnología evoluciona Evolucionan los riesgos asociados a la seguridad.
• Como BYOD (Bring Your Own Device)
• La conexión a la red corporativa de dispositivos no controlados
• O almacenar información corporativa sensible sin medidas de seguridad.
• Son aspectos a concienciar a los empleados
• Establecer políticas de seguridad para estas situaciones
• Y crear medidas de seguridad para controlarlo.

27
• A la vez que la tecnología evoluciona Evolucionan los riesgos asociados a la seguridad.
• Como usar técnicas de ingeniería social Para acceso a información o a sistemas
• Mediante llamadas telefónicas Supuestamente del departamento de TI
• Solicitando las credenciales del empleado para una prueba que se está realizando
• O el envío de un correo electrónico Con un documento adjunto con malware.
• Los empleados deben conocer los riesgos a los que están expuestos Y saber reaccionar.

28
• Temas de concienciación para empleados
• Uso seguro de redes wifi

• Uso seguro del correo electrónico
• Navegación segura
• Identificación de malware
• Gestión de contraseñas
• Clasificación de la información
• Borrado seguro de la información
• Uso de dispositivos USB
• Seguridad en dispositivos móviles

• Técnicas de ingeniería social…
29
• Los temas a tratar deben abarcar también otros ámbitos
• Mesas limpias
• Destrucción segura de la documentación en soporte papel
• Posibles escenarios de fuga de información…
• El objetivo Que el empleado adopte hábitos personales saludables en seguridad
• Tanto a nivel personal como profesional
• Lo que redunda en la mejora del nivel de seguridad de la empresa.

30
• Diseñar acciones formativas Adaptadas a la realidad de la organización.
• Al abordar las acciones de concienciación y sensibilización
• Centrar las actividades En revisar casos prácticos
• Que representen riesgos A los que se pueda enfrentar en su trabajo
• Las actividades deben presentar Las amenazas y sus medidas de seguridad
• Y exponer la forma de evitarlas y protegerse en cada caso.

31
• Concienciación en ciberseguridad Para directivos
• Desarrollar acciones de concienciación
• Sobre el acceso a información de carácter sensible.
• Las acciones se deben centrar en un enfoque personalizado
• Considerando su problemática, su entorno de trabajo y los riesgos específicos asociados.
• Estas acciones deben adaptarse a las características del trabajo del directivo
• Con propuestas y medidas de seguridad para éste y su entorno.

32
• Técnicas para contener incidentes
• De protección del puesto de trabajo
• Consiste en realizar acciones a convertir en hábitos
• Bloquear el terminal
• Despejar la mesa
• Proteger las contraseñas
• Controlar los pendrives
• Destruir de forma segura lo que ya no se use…

33
• De prevención
• Respetar los procedimientos y políticas que la empresa establece
• La actualización de equipos y aplicaciones
• Instalación de aplicaciones
• Configuraciones permitidas
• El uso de los navegadores
• Dispositivos externos en el trabajo…

34
• De defensa
• La fuga de información Salida no controlada de información de la empresa
• Equilibrar la importancia de la información y los medios para protegerla
• Es esencial clasificar la información
• Seguir los procedimientos para proteger la información sensible
• Y tener presente los acuerdos de confidencialidad firmados.

35
• De defensa
• La ingeniería social
• Sospechar de los mensajes no solicitados
• Y los que puedan suplantar a clientes, bancos o responsables de sistemas.
• Nunca dar contraseñas a nadie
• Ni difundir datos personales y confidenciales.

36
Contenidos:

clientes.

37
Phishing ético
• Fases del phishing ético

38
• Phishing ético
• Permite conocer la respuesta de los empleados
• Frente a correos electrónicos de suplantación de identidad.
• Consiste en monitorizar la respuesta de los usuarios A los correos de suplantación
• Para adiestrarlos en la detección de estos mensajes
• Y aumentar el conocimiento de los riesgos
• Al hacer clic en los enlaces y adjuntos que incluyen.

39
• Phishing ético
• Los correos electrónicos de suplantación de identidad y de phishing
• Son un arma de acceso de los ciberdelincuentes
• Se basa en la confianza de las personas al creer que todos los correos son verídicos.
• El phishing ético Aumenta la concienciación del empleado
• Y la repetición de las pruebas
• Cambia el comportamiento de los usuarios ante los correos electrónicos.

40
• Phishing ético
• Fases del phishing ético
• Obtención de correos
• La dirección proporciona al auditor La lista de correos objetivo de la empresa.
• Envío de correos
• El equipo auditor diseña y envía correos de suplantación de identidad a los objetivos.
• Procesamiento información La información es procesada para tomar decisiones.

41
Contenidos:

clientes.

42
¡Gracias!

Concienciación Ciberseguridad

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Concienciación Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Curso de formación del profesorado de

TEMA 2. CONCIENCIACIÓN EN CIBERSEGURIDAD

Profesor. Miguel Ángel Pérez Sánchez

• 2.1 Actividades de concienciación en la

Curso de formación del profesorado de Formación Profesional:

• Perfiles de comportamiento frente a la seguridad

• Acciones de formación y concienciación

• Establecer una normativa de seguridad

• Supervisar las buenas prácticas en ciberseguridad

• Concienciación en ciberseguridad para empleados y para directivos

• Técnicas de concienciación para contener incidentes

• Una cadena es tan fuerte como su eslabón más débil.

• El usuario Es un eslabón más débil de la cadena de seguridad

• La experiencia demuestra que es uno de los eslabones más débiles.

• Para ello es necesario Invertir en formación y concienciación en seguridad

• Dado que el usuario es el eslabón más importante y débil de la cadena de la seguridad.

Curso de formación del profesorado de Formación Profesional:

• Perfiles de comportamiento frente a la seguridad

• Creen que las amenazas a la ciberseguridad están sobrevaloradas

• Y que los mecanismos implementados inhiben su rendimiento

• Como consecuencia Se saltan las políticas.

• Con falta de conciencia Esperan que la empresa se ocupe de la seguridad

• Y no asumen responsabilidad personal de protección de datos corporativos.

Curso de formación del profesorado de Formación Profesional:

• Perfiles de comportamiento frente a la seguridad

• Los empleados que tratan de cumplir las políticas de seguridad

• Pero no lo hacen con constancia.

• Conscientes de las amenazas

• Empleados que son conscientes de los riegos de seguridad

• E intentan mantenerse seguros.

Curso de formación del profesorado de Formación Profesional:

• En ciberseguridad La tecnología no es suficiente.

• Los protagonistas de la seguridad Son los usuarios finales

• Que gestionan y utilizan los sistemas de información de la organización.

• Los empleados deben adquirir conocimientos en ciberseguridad

• Que les permitan trabajar Aplicando normas de seguridad en su rutina

• Y desarrollar una capacidad de respuesta ante un incidente.

Curso de formación del profesorado de Formación Profesional:

• Crea una cultura de seguridad en los empleados.

• Permite utilizar los recursos de la empresa Para proteger los sistemas

• Cumpliendo las normas de la organización en materia de seguridad

• Optimizar el manejo de los sistemas de seguridad implantados

• Y garantizar el cumplimiento de la legislación y de las políticas de seguridad.

Curso de formación del profesorado de Formación Profesional:

• Desarrollar e integrar una cultura de seguridad en la organización Es complejo

• Plazos de tiempo amplios

• Y acciones continuadas en el tiempo.

• Conseguir que los empleados interioricen la cultura de seguridad en sus quehaceres.

Curso de formación del profesorado de Formación Profesional:

• Problema Los empleados ven los procedimientos de seguridad de la organización

• Una complicación, un incordio o molestia.

• La percepción en los no concienciados

• Es que la seguridad es incómoda

• Y dificulta sus actividades cotidianas imponiendo limitaciones.

• Es necesario revertir esa visión negativa Mediante una cultura de seguridad.

Curso de formación del profesorado de Formación Profesional:

• La empresa para mantener un nivel de seguridad

• Debe realizar acciones de formación para los empleados

• Establecer políticas, normas y procedimientos de seguridad

• Supervisar que se cumplan las buenas prácticas en seguridad

• Y realizar periódicamente acciones de concienciación en seguridad.

• La concienciación incrementa el nivel de seguridad de la organización