Concienciación en seguridadLEGITEC ha desarrollado un servicio para que su organización realice acciones de concienciación en ciberseguridad con los siguientes objetivos:

  • Fomentar la seguridad de la información.
  • Favorecer la capacidad de demostrar la debida diligencia de los responsables de tratamiento.
  • Cumplir con los objetivos de seguridad de la información relacionados con los recursos humanos.
  • Reducir la probabilidad de sufrir incidentes de seguridad que lleven a sanciones, pérdidas económicas, pérdidas reputacionales.
  • Demostrar ante los terceros el compromiso de la organización con la seguridad de la información que trata.

El servicio se define como un ciclo anual según se describe a continuación:

  • null

    Se traza un plan de actuaciones a llevar a cabo ajustando el servicio a las necesidades concretas que necesita, el público objetivo y aquello en lo que hacer mayor hincapié.

    Entre los puntos a decidir estará el tipo de ataque a realizar en su caso, los destinatarios, tipos de mensajes y cartelería para concienciación que se va a realizar, dónde colocarlos, etc.

  • null

    La concienciación se inicia con la simulación de ataque dirigido a los empleados según se haya planificado en la fase anterior que nos permitirá evaluar el nivel de concienciación a la vez que despertaremos su interés por aprender más. Se intentará que el ataque pase desapercibido por la mayor parte de la plantilla y que quienes sepan del mismo sea un conjunto mínimo de personas para que sea un ataque sorpresa.

    Se podrá realizar un ataque de Phishing por correo electrónico o un ataque a través de una o varias memorias USB (pendrive).

    Pendrive

    Este ataque se basa en la inclusión de un archivo infectado en una o varias memorias USB “extraviadas” en lugares de paso como el ascensor, entrada, máquina de café, pasillo transitado, etc. El contenido estará especialmente diseñado para que el personal “pique”.

    El programa infectado no realizará ningún daño en los sistemas, pero se utilizará para conocer cuántos de los usuarios han realizado “la infección ficticia”

    Phishing

    Se realizará una campaña de envíos de emails a las direcciones que nos proporcione la organización. Se elegirá el tipo de campaña para que se ajuste a lo planificado inicialmente. Algunas opciones de campañas de phishing serían:

    • Invitación de calendario: Se enviará una invitación para unirse a una reunión online solicitando pulsar en un enlace modificado.
    • Actualización de antivirus: El departamento de IT acaba de terminar de migrar a una nueva plataforma…. “Pulse aquí para activar el nuevo antivirus”
    • Correo lleno: Su carpeta de correo está llena y no podrá seguir recibiendo correo. Por favor entre aquí para….
    • Encuesta para empleados: RRHH está realizando una encuesta de desempeño y le gustaría conocer su opinión…
    • Nueva política: Se ha creado una nueva política de BYOD. Se ruega que entre y acepte la nueva política…
    • Advertencia de Phishing: Hemos realizado recientemente una campaña de phishing para detectar riesgos. Tiene adjunta una hoja Excel encriptada con los resultados. Descargue y revise los resultados. No comparta este documento fuera de la organización.
    • Etcétera.

    Ninguna de las campañas implicará riesgos para los sistemas de la organización.

  • null

    Tras la campaña se realizará una evaluación de los resultados basado en la tasa de clics y otros criterios de comportamiento que nos den una idea del conocimiento y de los riesgos a los que la organización se expone en este ámbito para poder atajar de inmediato aquellos que sean más graves.

  • null

    Como parte del proceso de concienciación a la organización se distribuirán distintos tipos de materiales gráficos y cartelería en distintas zonas de la organización, especialmente en aquellas en las que se puedan observar riesgos.… Distribución de dípticos, posters, protectores de pantalla, etc.

  • null

    Después de los ataques se distribuirán consejos mensuales por correo electrónico de manera escalonada mediante una adecuada lista de distribución.

  • null

    Finalmente se pondrán en marcha píldoras formativas con temáticas diferentes. Cada una de estas píldoras, se empleará para transmitir información útil sobre seguridad de la información y consejos o buenas prácticas a la hora de manejar información corporativa. Cada píldora estará enfocada en un ámbito relevante en cuanto a seguridad en la empresa se refiere, el tratamiento de la información y protección de datos, los soportes y sus medidas de seguridad, buenas prácticas el puesto de trabajo, Dispositivos móviles, amenazas de seguridad y concienciación.

    La formación podrá ajustarse a lo que necesite la organización.

Contacta con nosotros y obtén más información sobre concienciación en ciberseguridad.

Contactar