Desarrolla un proyecto de Hardening de Usuarios

SmartFense: Antes de comenzar cualquier proyecto de Seguridad de la Información, es indispensable que contemos con el apoyo de la alta gerencia de nuestra organización. Contar con su apoyo significa contar con el soporte, presupuesto, tiempo y recursos necesarios para llevar adelante nuestro proyecto según el alcance y los objetivos que hayamos definido para el mismo.

En otro artículo, llamado ¿Cómo desarrollar una capa de seguridad orientada al usuario?, se describieron los elementos necesarios para llevar adelante un proyecto de Hardening de Usuarios. A continuación, veremos una metodología que nos permitirá reunir todos los elementos
vistos y llevar adelante el proyecto.

En esta etapa, debemos establecer una Línea Base. Porque en materia de Seguridad de la Información es muy probable que los usuarios de nuestra
organización posean conocimientos, hábitos y comportamientos muy dispares. Es por eso que es recomendable medir todos estos factores como primer paso del proyecto de Hardening de Usuarios para así establecer una línea base que represente el estado actual de nuestros usuarios.

A partir de la línea base identificada en el punto anterior, estaremos en condiciones de planificar las acciones tanto de Concientización y Entrenamiento como de Evaluación a seguir para pasar del estado actual al estado deseado según los objetivos de nuestro proyecto.

Debemos tener en cuenta que el material de concientización debería ser repartido a lo largo de un período extenso, siendo planificado idealmente de manera anual. De esta forma, ocuparía sólo una pequeña parte del tiempo del usuario, y éste no vería al proceso como un obstáculo, de modo que podría realizar en tiempo y forma sus obligaciones diarias. Además, de esta manera, se logra una mejor atención y predisposición de los
mismos.

Dependiendo de la cultura de cada organización, habrá una mayor o menor resistencia a la hora de comenzar con el proyecto de Hardening de Usuarios. En base a esto, puede ser necesario realizar una preparación de los usuarios previa al inicio de nuestros procesos. Dicha preparación, implica explicar a los usuarios por qué serán incluidos en este nuevo proyecto, cuáles son los objetivos del mismo, qué herramientas van a utilizarse, cómo se utilizan dichas herramientas, y cualquier detalle que sea necesario para que enfrenten esta nueva actividad con la menor dificultad y resistencia posible.

Con los usuarios ya preparados, es posible comenzar a ejecutar el plan, llevando a cabo tanto las acciones de Capacitación y Entrenamiento como las Evaluaciones correspondientes.

Es recomendable que todas las acciones que ocurran dentro de un proyecto de Hardening de Usuarios queden registradas. Tanto aquellas realizadas por nosotros, quienes llevamos adelante el proyecto, como las correspondientes a cada uno de los usuarios de nuestra organización. Este tipo de registros es conocido como pistas de auditoría.

La Seguridad de la Información se encuentra en constante evolución. Continuamente avanzan tanto las medidas de protección como las amenazas a la información.

Los procesos de Hardening de Usuarios deberían ser por lo tanto procesos de mejora continua dentro de una organización. Idealmente, el proceso de Concientización y Entrenamiento debería evolucionar y adaptarse continuamente, tomando como entrada sus propias estadísticas, el resultado de los procesos de evaluación, y el estado del arte de la Seguridad de la Información.

La continuidad de los procesos de Hardening de Usuarios logran además mantener a todos los usuarios atentos y actualizados, y nuestra capa de seguridad orientada a las personas no se ve perjudicada por la llegada de nuevo personal a la organización, ya que también serán incluidos en el proceso.

La ejecución final de dicho proyecto variará en complejidad de organización en organización, pero estos elementos deberán estar presentes para
desarrollar y mantener con éxito nuestra capa de seguridad orientada a las personas.

Siempre es recomendable contar con una herramienta que asista en este proyecto, y que idealmente integre los procesos de Concientización y Entrenamiento y de Evaluación, además de incluir los contenidos apropiados para los usuarios de la organización.

Esto aliviará en gran medida al responsable de llevar adelante el proyecto debido a la automatización de tareas, la tranquilidad de contar con cobertura temática y la disponibilidad de registros confiables.

Ver también, Otros beneficios de un proyecto de Hardening de Usuarios.