Capacitación en concientización sobre seguridad en Internet

La capacitación en conciencia de seguridad en Internet (ISAT) es la capacitación que se brinda a los miembros de una organización con respecto a la protección de varios activos de información de esa organización. ISAT es un subconjunto de laformación de concienciación sobre seguridad general(SAT).

Incluso las pequeñas y medianas empresas se recomiendan generalmente para proporcionar este tipo de formación, pero las organizaciones que necesitan cumplir con las regulaciones gubernamentales (por ejemplo, la Ley Gramm-Leach-Bliley , el Estándar de Seguridad de Datos de la Industria de pago de tarjeta , Seguro de Salud de Portabilidad y Responsabilidad Act , Sarbox ) normalmente requieren ISAT formal anualmente para todos los empleados. ^[1] A menudo, esta formación se ofrece en forma de cursos en línea.

ISAT, también conocida como Educación, Capacitación y Conciencia en Seguridad (SETA), las organizaciones capacitan y crean conciencia sobre la gestión de la seguridad de la información dentro de su entorno. ^[2] Es beneficioso para las organizaciones cuando los empleados están bien capacitados y se sienten capacitados para tomar acciones importantes para protegerse a sí mismos y a los datos de la organización. ^[2] El objetivo del programa SETA debe basarse en los roles de los usuarios dentro de las organizaciones y para puestos que exponen a las organizaciones a mayores niveles de riesgo, se deben requerir cursos especializados. ^[2]

Los empleados y contratistas plantean amenazas a las organizaciones que la capacitación puede ayudar a reducir.

Cobertura

Hay temas generales que cubrir para la capacitación, pero es necesario que cada organización tenga una estrategia de cobertura basada en sus necesidades, ya que esto asegurará que la capacitación sea práctica y capture los temas críticos relevantes para la organización. Dado que el panorama de amenazas cambia con mucha frecuencia, las organizaciones deben revisar continuamente sus programas de capacitación para garantizar su relevancia con las tendencias actuales. ^[3]

Los temas cubiertos en ISAT ^[4] incluyen:

Métodos adecuados para proteger información confidencial en sistemas informáticos personales , incluida la política de contraseñas.
Diversos problemas de seguridad informática, incluidos spam , malware , phishing , ingeniería social , etc.
Consecuencias de la falta de protección adecuada de la información, incluida la posible pérdida de empleo, consecuencias económicas para la empresa, daños a las personas cuyos registros privados se divulgan y posibles sanciones de derecho civil y penal.

Ser consciente de la seguridad en Internet significa que comprende que hay personas que intentan activamente robar datos almacenados en las computadoras de su organización. (Esto a menudo se centra en los nombres de usuario y las contraseñas, de modo que los elementos delictivos puedan finalmente obtener acceso a cuentas bancarias y otros activos de TI de alto valor). Por eso es importante proteger los activos de la organización y evitar que eso suceda. ^[5]

El alcance general debe incluir temas como seguridad de contraseñas, phishing de correo electrónico, ingeniería social, seguridad de dispositivos móviles, seguridad de datos confidenciales y comunicaciones comerciales. Por el contrario, aquellos que requieren conocimientos especializados suelen estar obligados a realizar cursos de formación técnica y en profundidad. ^[2] Suponga que una organización determina que es mejor utilizar una de las herramientas de formación disponibles en el mercado, debe asegurarse de establecer objetivos que la formación pueda cumplir, incluida la confirmación de que la formación proporcionará a los empleados el conocimiento para comprender los riesgos y el comportamientos necesarios para gestionarlos, acciones a tomar para prevenir o detectar incidentes de seguridad, utilizar un lenguaje fácilmente comprensible para los alumnos y garantizar que los precios sean razonables. ^[6]

Se recomienda a las organizaciones que basen el contenido de capacitación de ISAT en los roles de los empleados y su cultura; la política debería orientar esa formación para todos los empleados y proporcionar los siguientes ejemplos de fuentes de materiales de referencia: ^[7]

Publicación especial 800-50 del Instituto Nacional de Estándares y Tecnología (NIST), Creación de un programa de capacitación y concientización sobre seguridad de la tecnología de la información
Organización Internacional de Normalización (ISO) 27002: 2013, Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información
Organización Internacional de Normalización (ISO) 27001: 2013, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información
COBIT 5 Apéndice F.2, Orientación detallada: habilitador de servicios, infraestructura y aplicaciones, conciencia de seguridad

La capacitación debe enfocarse en las amenazas actuales específicas de una organización y los impactos si eso se materializa como resultado de las acciones de los usuarios. La inclusión de ejemplos prácticos y formas de abordar los escenarios ayuda a los usuarios a conocer las medidas adecuadas que deben tomar. Es una buena práctica capacitar periódicamente a los clientes de organizaciones específicas sobre las amenazas que enfrentan de personas con intenciones maliciosas. ^[8]

La estrategia de cobertura para SAT debe estar impulsada por la política de una organización. Puede ayudar a determinar verdaderamente el nivel de profundidad de la capacitación y dónde debe realizarse a nivel global o de unidad de negocio, o una combinación de ambos. Una política también faculta a una parte responsable dentro de la organización para llevar a cabo la capacitación. ^[2]

Importancia

Los empleados son clave para determinar si las organizaciones son violadas o no; debe haber una política para crear conciencia y capacitarlos sobre las amenazas emergentes y las acciones a tomar para salvaguardar la información confidencial y reportar cualquier actividad inusual observada dentro del entorno corporativo. ^[9]

La investigación ha demostrado que SAT ha ayudado a reducir los ataques cibernéticos dentro de las organizaciones, especialmente cuando se trata de phishing, ya que los aprendices aprendieron a identificar estos modos de ataque y les dieron la seguridad en sí mismos para tomar las medidas adecuadas. ^[10]

Hay un aumento en los ataques de phishing y se ha vuelto cada vez más importante que las personas comprendan cómo funcionan estos ataques, y las acciones necesarias para prevenirlos y SAT ha demostrado un impacto significativo en la cantidad de ataques de phishing exitosos contra las organizaciones. ^[11]

Requisitos de conformidad

Varias regulaciones y leyes exigen SAT para organizaciones en industrias específicas, incluida la Ley Gramm-Leach-Bliley (GLBA) para los servicios financieros, la Ley Federal de Modernización de la Seguridad de la Información de 2014 para las agencias federales y el Reglamento General de Protección de Datos de la Unión Europea (GDPR). ). ^[12]

Ley Federal de Modernización de la Seguridad de la Información

Se requiere que los empleados y contratistas de las agencias federales reciban una Capacitación de Concientización sobre Seguridad anualmente, y el programa debe abordar los riesgos de seguridad de la información relacionados con el trabajo que les proporcionen el conocimiento para disminuir los riesgos de seguridad. ^[13]

Ley de Responsabilidad y Portabilidad del Seguro de Salud

La Ley de Portabilidad y Responsabilidad de los Seguros de Salud tiene la Regla de Seguridad ^[14] y la Regla de Privacidad ^{[14] que} requieren la creación de un programa de capacitación en concientización sobre seguridad y garantizar que los empleados estén capacitados en consecuencia.

Estándar de seguridad de datos de la industria de tarjetas de pago

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago , el consejo de gobierno para las partes interesadas en la industria de pagos, formado por American Express, Discover, JCB International, MasterCard y Visa, que desarrolló el DSS como un requisito para la industria de pagos. ^{[7] El} requisito 12.6 requiere que las organizaciones miembros instituyan un programa formal de concientización sobre seguridad. Hay una guía publicada para que las organizaciones se adhieran al momento de configurar el programa. ^[7]

Normas de formación de los estados de EE. UU.

Algunos Estados exigen la formación de concienciación sobre la seguridad, mientras que otros no lo hacen, sino que simplemente recomiendan la formación voluntaria. Entre los estados que requieren la capacitación de sus empleados se encuentran:

Colorado (Ley de seguridad de la información de Colorado, Estatutos revisados de Colorado 24-37.5-401 et seq.) ^[15]
Connecticut (13 FAM 301.1-1 Capacitación en concientización sobre seguridad cibernética (PS800)) ^[16]
Florida (Estatutos de Florida Capítulo 282) ^[17]
Georgia (la Orden Ejecutiva GA EO182 exigió capacitación dentro de los 90 días posteriores a su emisión) ^[18]
Illinois (condado de Cook) ^[19]
Indiana (IN H 1240) ^[20]
Luisiana (División de Administración de Luisiana, Oficina de Servicios Tecnológicos p. 52: LA H 633) ^[21]
Maryland (Política de seguridad de TI 20-07) ^[22]
Montana (formación cibernética obligatoria para los empleados estatales del poder ejecutivo) ^[23]
Nebraska ^[24]
Nevada (requisito de empleado estatal de agencia por agencia - Estándar de seguridad estatal 123 - Seguridad de TI) ^[25]
New Hampshire
Nueva Jersey (NJ A 1654) ^[26]
Carolina del Norte
Ohio (IT-15 - Concienciación y formación sobre seguridad) ^[27]
Pensilvania ^[28]
Texas ^[29]
Utah ^[30]
Vermont
Virginia ^[31]
Virginia Occidental (Sección 5A-6-4a del Código de WV)

Técnicas de entrenamiento

A continuación se muestran algunas técnicas de capacitación comunes, aunque algunas se pueden combinar según el entorno operativo: ^[3]

Entrenamiento de video interactivo : esta técnica permite que los usuarios sean entrenados usando instrucciones de audio y video interactivas bidireccionales.
Capacitación basada en la web : este método permite a los empleados o usuarios realizar la capacitación de forma independiente y, por lo general, tiene un componente de prueba para determinar si se ha realizado el aprendizaje. De lo contrario, se puede permitir que los usuarios vuelvan a tomar el curso y lo prueben para asegurarse de que comprenden completamente el material.
Capacitación no basada en la web, basada en computadora : algunas organizaciones prefieren no usar Internet o tener ubicaciones sin conexión a Internet; por tanto, esta técnica les proporciona una forma eficaz de cargar programas de formación en las computadoras para los usuarios.
Capacitación presencial dirigida por un instructor : esta es una técnica muy popular para la capacitación en conciencia de seguridad, pero no es eficiente para las grandes organizaciones. Algunas organizaciones utilizan este método para la capacitación inicial de incorporación con los empleados, ya que la mayoría requiere que estén en el lugar para la incorporación.

La capacitación debe realizarse durante la incorporación y al menos una vez al año para los empleados u otros terceros con acceso a los sistemas de información de la organización; el medio es a través de instrucción cara a cara o en línea, generalmente enfocándose en reconocer síntomas de ataque y salvaguardar datos confidenciales usando varios mecanismos de seguridad, incluyendo contraseñas, cifrado y sesiones seguras. ^[32]

ISAT también enseña y refresca la memoria de los participantes sobre diversas amenazas presentes, amenazas de seguridad emergentes, vectores de ataque, políticas organizacionales relacionadas con la seguridad de la información y principios o normas básicos para mantener la seguridad en Internet. ^[32]

Las organizaciones consideran varias opciones cuando se trata de capacitar a los medios para brindar capacitación en concientización sobre seguridad a los usuarios, pero la investigación que utiliza la teoría del aprendizaje, la teoría de la riqueza de los medios y la teoría de la carga cognitiva ha demostrado que las organizaciones no necesitan invertir mucho en medios altamente ricos como ese no conduce a un mejor comportamiento del usuario; el contenido de la formación es lo más importante. ^[33]

Ver también

Control de acceso
La seguridad informática
Concienciación sobre ciberseguridad
Aseguramiento de información
Seguridad de información
Conciencia de seguridad de la información
seguridad de Internet
Seguridad de la red
Suplantación de identidad
Seguridad física
Seguridad
Conciencia de seguridad
Controles de seguridad
Gestion de seguridad
Ingeniería social

Referencias

^ "Formación de concienciación sobre seguridad de la información (ISAT)" . Universidad de Virginia . Consultado el 4 de noviembre de 2019 .
^ a b c d e "Educación, formación y concienciación sobre seguridad" . Manual de seguridad informática y de la información : 497–505. 2017-01-01. doi : 10.1016 / B978-0-12-803843-7.00033-8 .
^ a b Wilson, M; Hash, J (2003). "Creación de un programa de formación y sensibilización sobre seguridad en tecnologías de la información" . Gaithersburg, MD: 34. Cite journal requiere |journal=( ayuda )
^ "Contenido | ISAT | Prueba de admisión de estudiantes internacionales | ACER" . isat.acer.org . Consultado el 13 de marzo de 2021 .
^ Sharf, Elad (julio de 2016). "Intercambios de información: cambios normativos en la industria de la ciberseguridad después del Brexit: hacer que la formación de concienciación sobre seguridad funcione". En Fraude y Seguridad Informática . 7 : 9-12.
^ Cooper, Michael H. (2009). "Formación en seguridad de la información" . Actas de la conferencia de otoño de ACM SIGUCCS sobre la conferencia de servicios al usuario - SIGUCCS '09 . Nueva York, Nueva York, Estados Unidos: ACM Press. doi : 10.1145 / 1629501.1629541 . ISBN 978-1-60558-477-5.
^ a b c "Sitio oficial del Consejo de estándares de seguridad de PCI: verificar el cumplimiento de PCI, descargar seguridad de datos y estándares de seguridad de tarjetas de crédito" . www.pcisecuritystandards.org . Consultado el 5 de julio de 2021 .
^ Liska, Allan (2015), "Creación de un modelo de inteligencia de seguridad de red" , Creación de un programa de seguridad dirigido por inteligencia , Elsevier, págs. 124-125, ISBN 978-0-12-802145-3, consultado el 21 de julio de 2021
^ Industria de tarjetas de pago. Consejo de Normas de Seguridad. (2014). Mejores prácticas para implementar un programa de concientización sobre seguridad. [1]
^ Tschakert, Kai Florian; Ngamsuriyaroj, Sudsanguan. "Efectividad y preferencias de los usuarios de las metodologías de formación en sensibilización en seguridad" . Heliyon . 5 (6). doi : 10.1016 / j.heliyon.2019.e02010 . ISSN 2405-8440 . PMC 6606995 . PMID 31338464 .
^ Carella, Anthony; Kotsoev, Murat; Truta, Traian Marius. "Impacto de la formación de concienciación sobre seguridad en las tasas de clics de phishing" . 2017 IEEE International Conference on Big Data (Big Data) . IEEE. doi : 10.1109 / bigdata.2017.8258485 . ISBN 978-1-5386-2715-0.
^ Haney, Julie; Lutters, Wayne. "Capacitación en concienciación sobre seguridad para la fuerza laboral: más allá del" cumplimiento de "marcar la casilla" . Computadora . 53 (10): 91–95. doi : 10.1109 / MC.2020.3001959 . ISSN 0018-9162 . PMC 8201414 . PMID 34131349 .
^ "Ley de modernización de la seguridad de la información federal | CISA" . www.cisa.gov . Consultado el 27 de julio de 2021 .
^ a b "La regla de seguridad" . hhs.gov . Oficina de Derechos Civiles de Estados Unidos. 2009-09-10 . Consultado el 5 de julio de 2021 .
^ "Para empleados del estado - Oficina de tecnología de la información del gobernador de Colorado" . www.oit.state.co.us . Consultado el 27 de julio de 2021 .
^ "13 FAM 301.1 Capacitación de seguridad obligatoria para todos los empleados del departamento" . fam.state.gov . Consultado el 27 de julio de 2021 .
^ "Estatutos y Constitución: Ver estatutos: Sol en línea" . www.leg.state.fl.us . Consultado el 27 de julio de 2021 .
^ "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .
^ "Capacitación en ciberseguridad para empleados del condado de Cook, Illinois" . GovTech . 2013-11-07 . Consultado el 27 de julio de 2021 .
^ "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .
^ "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .
^ "Política de seguridad de TI 20-07" . doit.maryland.gov . Consultado el 27 de julio de 2021 .
^ "Recursos de formación en seguridad" . sitd.mt.gov . Consultado el 27 de julio de 2021 .
^ "NVeLearn" . nvelearn.nv.gov . Consultado el 27 de julio de 2021 .
^ "Normas y procedimientos de las políticas de seguridad del estado" . it.nv.gov . Consultado el 27 de julio de 2021 .
^ "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .
^ "Estado de seguridad y privacidad de la información de Ohio> Gobierno> Gobierno del estado> Seguridad> Capacitación y concientización" . infosec.ohio.gov . Consultado el 27 de julio de 2021 .
^ "Ciberseguridad para empleados y agencias del Commonwealth" . Oficina de Administración . Consultado el 27 de julio de 2021 .
^ "Programas de formación certificados en ciberseguridad, 154" . dir.texas.gov . Consultado el 27 de julio de 2021 .
^ "Capacitación de conciencia de seguridad 2021 | División de servicios tecnológicos" . dts.utah.gov . Consultado el 27 de julio de 2021 .
^ "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .
↑ a b Lincke, Susan (2016). PLANIFICACIÓN DE SEGURIDAD: un enfoque aplicado . Springer International. págs. 176-177. ISBN 3-319-36560-6. OCLC 1005117710 .
^ Jenkins, Jeffrey L .; Durcikova, Alexandra; Burns, Mary B. "Olvídese de la pelusa: examinar cómo la riqueza de los medios influye en el impacto de la formación en seguridad de la información en el comportamiento seguro" . 2012 45ª Conferencia Internacional de Ciencias de Sistemas de Hawái . Maui, HI, EE.UU .: IEEE: 3288–3296. doi : 10.1109 / HICSS.2012.285 . ISBN 978-1-4577-1925-7.

[1] "Formación de concienciación sobre seguridad de la información (ISAT)" . Universidad de Virginia . Consultado el 4 de noviembre de 2019 .

[:13-2] "Educación, formación y concienciación sobre seguridad" . Manual de seguridad informática y de la información : 497–505. 2017-01-01. doi : 10.1016 / B978-0-12-803843-7.00033-8 .

[:32-3] Wilson, M; Hash, J (2003). "Creación de un programa de formación y sensibilización sobre seguridad en tecnologías de la información" . Gaithersburg, MD: 34. Cite journal requiere |journal=( ayuda )

[4] "Contenido | ISAT | Prueba de admisión de estudiantes internacionales | ACER" . isat.acer.org . Consultado el 13 de marzo de 2021 .

[5] Sharf, Elad (julio de 2016). "Intercambios de información: cambios normativos en la industria de la ciberseguridad después del Brexit: hacer que la formación de concienciación sobre seguridad funcione". En Fraude y Seguridad Informática . 7 : 9-12.

[6] Cooper, Michael H. (2009). "Formación en seguridad de la información" . Actas de la conferencia de otoño de ACM SIGUCCS sobre la conferencia de servicios al usuario - SIGUCCS '09 . Nueva York, Nueva York, Estados Unidos: ACM Press. doi : 10.1145 / 1629501.1629541 . ISBN 978-1-60558-477-5.

[:22-7] "Sitio oficial del Consejo de estándares de seguridad de PCI: verificar el cumplimiento de PCI, descargar seguridad de datos y estándares de seguridad de tarjetas de crédito" . www.pcisecuritystandards.org . Consultado el 5 de julio de 2021 .

[8] Liska, Allan (2015), "Creación de un modelo de inteligencia de seguridad de red" , Creación de un programa de seguridad dirigido por inteligencia , Elsevier, págs. 124-125, ISBN 978-0-12-802145-3, consultado el 21 de julio de 2021

[9] Industria de tarjetas de pago. Consejo de Normas de Seguridad. (2014). Mejores prácticas para implementar un programa de concientización sobre seguridad. [1]

[10] Tschakert, Kai Florian; Ngamsuriyaroj, Sudsanguan. "Efectividad y preferencias de los usuarios de las metodologías de formación en sensibilización en seguridad" . Heliyon . 5 (6). doi : 10.1016 / j.heliyon.2019.e02010 . ISSN 2405-8440 . PMC 6606995 . PMID 31338464 .

[11] Carella, Anthony; Kotsoev, Murat; Truta, Traian Marius. "Impacto de la formación de concienciación sobre seguridad en las tasas de clics de phishing" . 2017 IEEE International Conference on Big Data (Big Data) . IEEE. doi : 10.1109 / bigdata.2017.8258485 . ISBN 978-1-5386-2715-0.

[12] Haney, Julie; Lutters, Wayne. "Capacitación en concienciación sobre seguridad para la fuerza laboral: más allá del" cumplimiento de "marcar la casilla" . Computadora . 53 (10): 91–95. doi : 10.1109 / MC.2020.3001959 . ISSN 0018-9162 . PMC 8201414 . PMID 34131349 .

[13] "Ley de modernización de la seguridad de la información federal | CISA" . www.cisa.gov . Consultado el 27 de julio de 2021 .

[ocr-14] "La regla de seguridad" . hhs.gov . Oficina de Derechos Civiles de Estados Unidos. 2009-09-10 . Consultado el 5 de julio de 2021 .

[15] "Para empleados del estado - Oficina de tecnología de la información del gobernador de Colorado" . www.oit.state.co.us . Consultado el 27 de julio de 2021 .

[16] "13 FAM 301.1 Capacitación de seguridad obligatoria para todos los empleados del departamento" . fam.state.gov . Consultado el 27 de julio de 2021 .

[17] "Estatutos y Constitución: Ver estatutos: Sol en línea" . www.leg.state.fl.us . Consultado el 27 de julio de 2021 .

[18] "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .

[19] "Capacitación en ciberseguridad para empleados del condado de Cook, Illinois" . GovTech . 2013-11-07 . Consultado el 27 de julio de 2021 .

[20] "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .

[21] "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .

[22] "Política de seguridad de TI 20-07" . doit.maryland.gov . Consultado el 27 de julio de 2021 .

[23] "Recursos de formación en seguridad" . sitd.mt.gov . Consultado el 27 de julio de 2021 .

[24] "NVeLearn" . nvelearn.nv.gov . Consultado el 27 de julio de 2021 .

[25] "Normas y procedimientos de las políticas de seguridad del estado" . it.nv.gov . Consultado el 27 de julio de 2021 .

[26] "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .

[27] "Estado de seguridad y privacidad de la información de Ohio> Gobierno> Gobierno del estado> Seguridad> Capacitación y concientización" . infosec.ohio.gov . Consultado el 27 de julio de 2021 .

[28] "Ciberseguridad para empleados y agencias del Commonwealth" . Oficina de Administración . Consultado el 27 de julio de 2021 .

[29] "Programas de formación certificados en ciberseguridad, 154" . dir.texas.gov . Consultado el 27 de julio de 2021 .

[30] "Capacitación de conciencia de seguridad 2021 | División de servicios tecnológicos" . dts.utah.gov . Consultado el 27 de julio de 2021 .

[31] "Recurso de factura" . custom.statenet.com . Consultado el 27 de julio de 2021 .

[:0-32] Lincke, Susan (2016). PLANIFICACIÓN DE SEGURIDAD: un enfoque aplicado . Springer International. págs. 176-177. ISBN 3-319-36560-6. OCLC 1005117710 .

[33] Jenkins, Jeffrey L .; Durcikova, Alexandra; Burns, Mary B. "Olvídese de la pelusa: examinar cómo la riqueza de los medios influye en el impacto de la formación en seguridad de la información en el comportamiento seguro" . 2012 45ª Conferencia Internacional de Ciencias de Sistemas de Hawái . Maui, HI, EE.UU .: IEEE: 3288–3296. doi : 10.1109 / HICSS.2012.285 . ISBN 978-1-4577-1925-7.

[1]