Curso de formación del profesorado de

Formación Profesional:

Conceptos de Ciberseguridad

TEMA 2. CONCIENCIACIÓN EN CIBERSEGURIDAD

Profesor. Miguel Ángel Pérez Sánchez

 Concienciación en ciberseguridad

Contenidos:

• 2.1 Actividades de concienciación en la

empresa: (Empleados, equipo directivo, equipos
técnicos (desarrolladores, administradores de
sistemas), actividades de concienciación a
clientes.
• 2.2 Phishing ético

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
2
Actividades de concienciación en la empresa
• El factor humano

• Perfiles de comportamiento frente a la seguridad

• La cultura de seguridad

• Acciones de formación y concienciación

• Establecer una normativa de seguridad

• Supervisar las buenas prácticas en ciberseguridad

• Concienciación en ciberseguridad para empleados y para directivos

• Técnicas de concienciación para contener incidentes

Curso de formación del profesorado de Formación Profesional:
Conceptos de Ciberseguridad
3
• El factor humano

• Una cadena es tan fuerte como su eslabón más débil.

• El usuario Es un eslabón más débil de la cadena de seguridad

• La experiencia demuestra que es uno de los eslabones más débiles.

• Para ello es necesario Invertir en formación y concienciación en seguridad

• Dado que el usuario es el eslabón más importante y débil de la cadena de la seguridad.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
4
• El factor humano

• Perfiles de comportamiento frente a la seguridad

• Apáticos y escépticos

• Creen que las amenazas a la ciberseguridad están sobrevaloradas

• Y que los mecanismos implementados inhiben su rendimiento

• Como consecuencia Se saltan las políticas.

• Con falta de conciencia Esperan que la empresa se ocupe de la seguridad

• Y no asumen responsabilidad personal de protección de datos corporativos.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
5
• El factor humano

• Perfiles de comportamiento frente a la seguridad

• Bienintencionados

• Los empleados que tratan de cumplir las políticas de seguridad

• Pero no lo hacen con constancia.

• Conscientes de las amenazas

• Empleados que son conscientes de los riegos de seguridad

• E intentan mantenerse seguros.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
6
• El factor humano

• En ciberseguridad La tecnología no es suficiente.

• Los protagonistas de la seguridad Son los usuarios finales

• Que gestionan y utilizan los sistemas de información de la organización.

• Los empleados deben adquirir conocimientos en ciberseguridad

• Que les permitan trabajar Aplicando normas de seguridad en su rutina

• Y desarrollar una capacidad de respuesta ante un incidente.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
7
• El factor humano

• La formación y concienciación

• Crea una cultura de seguridad en los empleados.

• Permite utilizar los recursos de la empresa Para proteger los sistemas

• Cumpliendo las normas de la organización en materia de seguridad

• Optimizar el manejo de los sistemas de seguridad implantados

• Y garantizar el cumplimiento de la legislación y de las políticas de seguridad.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
8
• La cultura de seguridad

• Desarrollar e integrar una cultura de seguridad en la organización Es complejo

• Su aplicación requiere

• Plazos de tiempo amplios

• Y acciones continuadas en el tiempo.

• Finalidad

• Conseguir que los empleados interioricen la cultura de seguridad en sus quehaceres.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
9
• La cultura de seguridad

• Problema Los empleados ven los procedimientos de seguridad de la organización

• Una complicación, un incordio o molestia.

• La percepción en los no concienciados

• Es que la seguridad es incómoda

• Y dificulta sus actividades cotidianas imponiendo limitaciones.

• Es necesario revertir esa visión negativa Mediante una cultura de seguridad.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
10
• La cultura de seguridad

• La empresa para mantener un nivel de seguridad

• Debe realizar acciones de formación para los empleados

• Establecer políticas, normas y procedimientos de seguridad

• Supervisar que se cumplan las buenas prácticas en seguridad

• Y realizar periódicamente acciones de concienciación en seguridad.

• La concienciación incrementa el nivel de seguridad de la organización

• Mejora la imagen y los procesos de negocio de la empresa Es rentable.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
11
• La cultura de seguridad Medidas de desarrollo

• Compromiso de confidencialidad

• Proporcionar al contratar nuevos empleados junto con el contrato

• Se comprometen a no revelar datos A personas ajenas a la empresa.

• Lo deben firmar los empleados y colaboradores

• Sobretodo los que trabajen con datos confidenciales De la empresa o clientes.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
12
• La cultura de seguridad Medidas de desarrollo

• Entregar documentos de seguridad a los empleados

• La política de seguridad

• Es la declaración formal La seguridad es parte de la cultura de la empresa

• Y define los procedimientos y las normas que aplican en la organización.

• Las normas de uso de los activos y los procedimientos de seguridad de la empresa

• Indican cómo se hacen las cosas en la empresa

• Uso del correo, soportes extraíbles, copias de seguridad, contraseñas…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
13
• La cultura de seguridad Medidas de desarrollo

• El administrador de seguridad o el comité de seguridad

• Desarrolla y redacta la política, las normas y los procedimientos.

• Actualiza y mantiene los documentos

• Incorpora cambios legislativos, organizativos o las nuevas tecnologías.

• Y hace llegar los documentos a los empleados para su aplicación.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
14
• La cultura de seguridad Medidas de desarrollo

• Jornadas de concienciación periódicas

• Permiten recordar y comunicar los cambios que se van incorporando

• Todos los empleados tienen que asistir.

• El objetivo Reforzar la aplicación de los procedimientos, normas y la política

• Y evitar que se olviden

• Permite verificar la aplicación de las buenas prácticas.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
15
• Acciones de formación y concienciación

• Personal técnico

• Precisa formación en materia de seguridad

• Con un mayor grado de especialización.

• Se deben facilitar recursos y mecanismos Para formarles en ciberseguridad

• Dirigida a los sistemas y aplicaciones

• Que soportan los procesos de negocio de la organización fundamentalmente.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
16
• Acciones de formación y concienciación Personal técnico

• Aspectos de ciberseguridad de concienciación y formación

• Seguridad de los sistemas operativos y aplicaciones Parches, vulnerabilidades…

• Gestión de elementos de seguridad perimetral Cortafuegos, IDS…

• Procedimientos de copias de seguridad y recuperación de la información

• Gestión y resolución de incidentes de seguridad

• Políticas de seguridad a aplicar los soportes extraíbles

• Otros mecanismos de seguridad Cifrado, autenticación, perfiles, contraseñas…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
17
• Acciones de formación y concienciación Personal técnico

• La permanente evolución de la tecnología Exige un continuo proceso de formación

• Sobre todo si la organización tiene una alta dependencia de la tecnología

• Además este personal es Asesor de los usuarios en la tecnología y su seguridad.

• Si la empresa ha externalizado la administración de la infraestructura TIC

• Verificar que es competente en ciberseguridad

• Y que la gestión de la infraestructura TIC se realiza de manera segura.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
18
• Acciones de formación y concienciación Usuarios finales

• En las empresas la gran mayoría de sus empleados trabajan con ordenadores

• O dispositivos móviles Conectan desde el exterior a los sistemas corporativos.

• La ciberseguridad no se limita a los aspectos técnicos

• Sino que incorpora otros ámbitos Como el organizativo y el legal

• Si la empresa tiene como clientes a personas físicas

• Se debe formar al empleado en la protección de datos de carácter personal.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
19
• Acciones de formación y concienciación Usuarios finales

• Aspectos de ciberseguridad para la concienciación y formación

• Reconocer un ataque de ingeniería social y evitarlo

• Proteger el puesto de trabajo Antivirus, actualizaciones, correo electrónico…

• Manejar con seguridad dispositivos móviles corporativos Portátiles, smartphones…

• Entender los riesgos del acceso y navegación

• En webs externas, aplicaciones de terceros, actualizaciones no validadas…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
20
• Establecer una normativa de seguridad

• La ciberseguridad Se plasma en políticas, nomas y procedimientos

• Son protocolos de actuación a seguir dentro de la organización.

• Las actividades de ciberseguridad hay que formalizarlas

• Documentando la ciberseguridad a aplicar

• Y especificando lo que se puede o no se puede hacer en la organización

• Incluir los usos permitidos de los recursos corporativos Y las sanciones a aplicar.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
21
• Establecer una normativa de seguridad

• Las normas y procedimientos Se derivan de Política de Seguridad.

• La Política de Seguridad

• Recoge los objetivos de la organización en ciberseguridad

• Debe ser formalmente aprobada por la Dirección.

• Aprobadas las normativas de uso de los recursos corporativos

• Se comunican a los empleados Para alcanzar la concienciación.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
22
• Supervisar las buenas prácticas en ciberseguridad

• Una vez definido el marco de trabajo y trasladado a las partes afectadas

• Es necesario comprobar que se está aplicando.

• El administrador de seguridad es el encargado de velar

• La vigencia y actualización de las normas y procedimientos definidos

• Atendiendo a la detección de nuevas situaciones y cambios organizativos

• La implantación de la normativa

• Y la verificación de su cumplimiento por los empleados.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
23
• Supervisar las buenas prácticas en ciberseguridad

• Se deben disponer mecanismos Para comprobar que se siguen los procedimientos

• Supone realizar auditorías Internas o externas.

• Usar herramientas que registren las operaciones de los usuarios Su trazabilidad

• En los dispositivos, aplicaciones, ficheros y bases de datos corporativas…

• E implantar soluciones tecnológicas Que impidan las acciones no permitidas.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
24
• Concienciación en ciberseguridad Para empleados

• Para que la ciberseguridad se integre en la cultura de la empresa

• La Dirección debe asegurarse la implicación de los empleados.

• Los empleados deben ser conscientes de la importancia de la información que manejan

• La propia y la de terceros con los que hacen negocios Clientes, proveedores…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
25
• Concienciación en ciberseguridad Para empleados

• Si los empleados no se consideran parte fundamental de este proceso

• El fracaso está garantizado

• Son parte fundamental en la mejora del nivel de seguridad.

• En algunos casos los empleados no necesitan formación en seguridad

• Sino información sobre seguridad A aplicar en el desempeño de sus tareas.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
26
• Concienciación en ciberseguridad Para empleados

• La tecnología evoluciona Evolucionan los riesgos asociados a la seguridad.

• Como BYOD (Bring Your Own Device)

• La conexión a la red corporativa de dispositivos no controlados

• O almacenar información corporativa sensible sin medidas de seguridad.

• Son aspectos a concienciar a los empleados

• Establecer políticas de seguridad para estas situaciones

• Y crear medidas de seguridad para controlarlo.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
27
• Concienciación en ciberseguridad Para empleados

• A la vez que la tecnología evoluciona Evolucionan los riesgos asociados a la seguridad.

• Como usar técnicas de ingeniería social Para acceso a información o a sistemas

• Mediante llamadas telefónicas Supuestamente del departamento de TI

• Solicitando las credenciales del empleado para una prueba que se está realizando

• O el envío de un correo electrónico Con un documento adjunto con malware.

• Los empleados deben conocer los riesgos a los que están expuestos Y saber reaccionar.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
28
• Concienciación en ciberseguridad Para empleados

• Temas de concienciación para empleados

• Uso seguro de redes wifi

• Uso seguro del correo electrónico
• Navegación segura

• Identificación de malware
• Gestión de contraseñas

• Clasificación de la información
• Borrado seguro de la información
• Uso de dispositivos USB

• Seguridad en dispositivos móviles

• Técnicas de ingeniería social…
Curso de formación del profesorado de Formación Profesional:
Conceptos de Ciberseguridad
29
• Concienciación en ciberseguridad Para empleados

• Los temas a tratar deben abarcar también otros ámbitos

• Mesas limpias

• Destrucción segura de la documentación en soporte papel

• Posibles escenarios de fuga de información…

• El objetivo Que el empleado adopte hábitos personales saludables en seguridad

• Tanto a nivel personal como profesional

• Lo que redunda en la mejora del nivel de seguridad de la empresa.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
30
• Concienciación en ciberseguridad Para empleados

• Diseñar acciones formativas Adaptadas a la realidad de la organización.

• Al abordar las acciones de concienciación y sensibilización

• Centrar las actividades En revisar casos prácticos

• Que representen riesgos A los que se pueda enfrentar en su trabajo

• Las actividades deben presentar Las amenazas y sus medidas de seguridad

• Y exponer la forma de evitarlas y protegerse en cada caso.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
31
• Concienciación en ciberseguridad Para directivos

• Desarrollar acciones de concienciación

• Sobre el acceso a información de carácter sensible.

• Las acciones se deben centrar en un enfoque personalizado

• Considerando su problemática, su entorno de trabajo y los riesgos específicos asociados.

• Estas acciones deben adaptarse a las características del trabajo del directivo

• Con propuestas y medidas de seguridad para éste y su entorno.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
32
• Técnicas para contener incidentes

• De protección del puesto de trabajo

• Consiste en realizar acciones a convertir en hábitos

• Bloquear el terminal

• Despejar la mesa

• Proteger las contraseñas

• Controlar los pendrives

• Destruir de forma segura lo que ya no se use…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
33
• Técnicas para contener incidentes

• De prevención

• Respetar los procedimientos y políticas que la empresa establece

• La actualización de equipos y aplicaciones

• Instalación de aplicaciones

• Configuraciones permitidas

• El uso de los navegadores

• Dispositivos externos en el trabajo…

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
34
• Técnicas para contener incidentes

• De defensa

• La fuga de información Salida no controlada de información de la empresa

• Equilibrar la importancia de la información y los medios para protegerla

• Es esencial clasificar la información

• Seguir los procedimientos para proteger la información sensible

• Y tener presente los acuerdos de confidencialidad firmados.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
35
• Técnicas para contener incidentes

• De defensa

• La ingeniería social

• Sospechar de los mensajes no solicitados

• Y los que puedan suplantar a clientes, bancos o responsables de sistemas.

• Nunca dar contraseñas a nadie

• Ni difundir datos personales y confidenciales.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
36
 Concienciación en ciberseguridad

Contenidos:

• 2.1 Actividades de concienciación en la

empresa: (Empleados, equipo directivo, equipos
técnicos (desarrolladores, administradores de
sistemas), actividades de concienciación a
clientes.
• 2.2 Phishing ético

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
37
Phishing ético

• Fases del phishing ético

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
38
• Phishing ético

• Permite conocer la respuesta de los empleados

• Frente a correos electrónicos de suplantación de identidad.

• Consiste en monitorizar la respuesta de los usuarios A los correos de suplantación

• Para adiestrarlos en la detección de estos mensajes

• Y aumentar el conocimiento de los riesgos

• Al hacer clic en los enlaces y adjuntos que incluyen.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
39
• Phishing ético

• Los correos electrónicos de suplantación de identidad y de phishing

• Son un arma de acceso de los ciberdelincuentes

• Se basa en la confianza de las personas al creer que todos los correos son verídicos.

• El phishing ético Aumenta la concienciación del empleado

• Y la repetición de las pruebas

• Cambia el comportamiento de los usuarios ante los correos electrónicos.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
40
• Phishing ético

• Fases del phishing ético

• Obtención de correos

• La dirección proporciona al auditor La lista de correos objetivo de la empresa.

• Envío de correos

• El equipo auditor diseña y envía correos de suplantación de identidad a los objetivos.

• Procesamiento información La información es procesada para tomar decisiones.

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
41
 Concienciación en ciberseguridad

Contenidos:

• 2.1 Actividades de concienciación en la

empresa: (Empleados, equipo directivo, equipos
técnicos (desarrolladores, administradores de
sistemas), actividades de concienciación a
clientes.
• 2.2 Phishing ético

Curso de formación del profesorado de Formación Profesional:

Conceptos de Ciberseguridad
42
¡Gracias!
Curso de formación del profesorado de Formación Profesional:
Conceptos de Ciberseguridad