¡¡¡En construcción, consúltenos si está interesado!!!

 

 

Introducción

Los ciclos de vida de la información en una organización implican fases de recabar datos, procesarlos, almacenarlos, transmitirlos, eliminarlos, etc. En todas estas fases hay un punto común que hace que cualquier medida de seguridad pueda fallar: Los usuarios.

En la mayoría de las organizaciones son los empleados los encargados de realizar todas estas labores. Son el engranaje principal para el buen funcionamiento, pero ¿conocen los riesgos en materia de seguridad? ¿Saben cómo actuar? ¿Puede demostrar que lo saben?

Sufrir incidentes en seguridad la información puede implicar sanciones por incumplimiento normativo como protección de datos, sanciones de nuestros clientes, pérdidas económicas y/o reputacionales.

La formación a nuestros empleados por medio de la concienciación en materia de Ciberseguridad, de sus riesgos e implicaciones, supone una garantía adicional en la capacidad de demostrar la responsabilidad activa de una organización en la custodia y tratamiento de la información, a la vez que mitiga en buena parte la probabilidad de que los riesgos de seguridad se materialicen.

 

Descripción del Servicio

LEGITEC ha desarrollado un servicio para que su organización realice acciones de concienciación en ciberseguridad con los siguientes objetivos:

 

  • Fomentar la seguridad de la información.
  • Favorecer la capacidad de demostrar la debida diligencia de los responsables de tratamiento.
  • Cumplir con los objetivos de seguridad de la información relacionados con los recursos humanos.
  • Reducir la probabilidad de sufrir incidentes de seguridad que lleven a sanciones, pérdidas económicas, pérdidas reputacionales.
  • Demostrar ante los terceros el compromiso de la organización con la seguridad de la información que trata.

El servicio se define como un ciclo anual según se describe en los siguientes diagramas:

Se traza un plan de actuaciones a llevar a cabo ajustando el servicio a las necesidades concretas que necesita, el público objetivo y aquello en lo que hacer mayor hincapié.

Entre los puntos a decidir estará el tipo de ataque a realizar en su caso, los destinatarios, tipos de mensajes y cartelería para concienciación que se va a realizar, dónde colocarlos, etc.

La concienciación se inicia con un ataque dirigido a los empleados según se haya planificado en la fase anterior que nos permitirá evaluar el nivel de concienciación a la vez que despertaremos su interés por aprender más. Se intentará que el ataque pase desapercibido por la mayor parte de la plantilla y que quienes sepan del mismo sea un conjunto mínimo de personas para que sea un ataque sorpresa.

Se podrá realizar un ataque de Phishing por correo electrónico o un ataque a través de una o varias memorias USB (pendrive).

 

Pendrive

Este ataque se basa en la inclusión de un archivo infectado en una o varias memorias USB “extraviadas” en lugares de paso como el ascensor, entrada, máquina de café, pasillo transitado, etc. El contenido estará especialmente diseñado para que el personal “pique”.

El programa infectado no realizará ningún daño en los sistemas, pero se utilizará para conocer cuántos de los usuarios han realizado “la infección ficticia”

Phishing

 

Se realizará una campaña de envíos de emails a las direcciones que nos proporcione la organización. Se elegirá el tipo de campaña para que se ajuste a lo planificado inicialmente. Algunas opciones de campañas de phishing serían:

 

  • Invitación de calendario: Se enviará una invitación para unirse a una reunión online solicitando pulsar en un enlace modificado.
  • Actualización de antivirus: El departamento de IT acaba de terminar de migrar a una nueva plataforma…. “Pulse aquí para activar el nuevo antivirus”
  • Correo lleno: Su carpeta de correo está llena y no podrá seguir recibiendo correo. Por favor entre aquí para….
  • Encuesta para empleados: RRHH está realizando una encuesta de desempeño y le gustaría conocer su opinión…
  • Nueva política: Se ha creado una nueva política de BYOD. Se ruega que entre y acepte la nueva política…
  • Advertencia de Phishing: Hemos realizado recientemente una campaña de phishing para detectar riesgos. Tiene adjunta una hoja Excel encriptada con los resultados. Descargue y revise los resultados. No comparta este documento fuera de la organización.
  • Etcétera.

Ninguna de las campañas implicará riesgos para los sistemas de la organización.

Tras la campaña se realizará una evaluación de los resultados basado en la tasa de clics y otros criterios de comportamiento que nos den una idea del conocimiento y de los riesgos a los que la organización se expone en este ámbito para poder atajar de inmediato aquellos que sean más graves.

 

 

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.