Como medir el impacto de un Programa de Concientización de ciberseguridad

Nuestro objetivo al crear un programa de concientización sobre la seguridad es integrar la seguridad en la cultura organizacional existente de nuestros socios. Impactar la cultura es un proceso a largo plazo que puede llevar años y requiere apoyo ejecutivo. Si tiene la tarea de administrar un programa de concientización sobre seguridad es su trabajo medir y mostrar al liderazgo que su programa está teniendo un impacto; sin embargo es difícil medir el impacto de un programa de concientización sobre seguridad. Esto se debe en parte al desafío de asignar métricas al comportamiento humano. Si no se detectan incidentes, ¿cómo se mide algo que no está sucediendo? ¿Cómo se mide el riesgo de una amenaza que se adapta constantemente?

IDENTIFICACIÓN DE MÉTRICAS CLAVE

Los socios normalmente preguntarán: “¿Qué métricas debemos medir?” Si bien la intención es correcta esta es la pregunta incorrecta. Es esencial comenzar este proceso identificando primero los riesgos clave en su organización y luego identificando los comportamientos humanos y sus métricas asociadas que gestionan esos riesgos.

Como ejemplo supondremos que la filtración de datos es un riesgo crítico para una organización. El primer paso es identificar la probabilidad y el impacto de este riesgo y tomar en consideración los controles técnicos y comerciales existentes. Es posible que su equipo de TI ya haya implementado controles de prevención de pérdida de datos (DLP) para mitigar el riesgo de exfiltración de datos pero ¿cubren estos controles todas las vías de exfiltración? La solución DLP puede evitar que se envíe por correo electrónico un documento confidencial pero, ¿evitará que un empleado deje inadvertidamente una copia impresa en su escritorio a la vista del público? ¿Evitará que un empleado tire una copia impresa sin triturarla? ¿Evitará que un empleado divulgue información confidencial por teléfono en un ataque de ingeniería social? ¿Evitará que se pierda un dispositivo sin cifrar que contenga información confidencial?

La medición del comportamiento humano y los controles asociados en el ejemplo anterior podría lograrse con métricas clave como:

  • Escritorio limpio: número de empleados que eliminan todos los materiales sensibles al salir de su estación de trabajo
  • Dumpster Diving Results: número de documentos confidenciales encontrados en la basura
  • Evaluaciones Vishing: número de empleados que pueden identificar un ataque de ingeniería social por teléfono
  • Dispositivos perdidos o robados: número de dispositivos que se informaron como perdidos o robados
  • Endpoints cifrados: número de dispositivos portátiles que están cifrados

Muchas organizaciones solo realizarán evaluaciones de phishing para identificar la cantidad de personas que hacen clic en un enlace malicioso o abren un archivo adjunto y si bien estas son métricas importantes, es esencial ir más allá de las evaluaciones de phishing al medir un programa de concientización sobre seguridad.

REÚNA APOYO PARA GENERAR IDEAS SOBRE RIESGOS, INICIATIVAS Y MÉTRICAS

Incorporar la seguridad en la cultura organizacional es un proceso difícil que no puede ser realizado únicamente por el equipo de Seguridad de la Información. Reúna apoyo estableciendo una junta asesora de personal en todos los departamentos y niveles de la organización. Asegúrese de que todos los miembros designados sean voluntarios motivados y que la junta comprenda la importancia de establecer una cultura segura. Pregúntele a la junta cuáles son los riesgos que más preocupan a su departamento y discuta las iniciativas, métricas y métodos actuales de concientización sobre seguridad para mejorar el programa general de concientización sobre seguridad.

REPORTE DE MÉTRICAS AL LIDERAZGO EJECUTIVO

El liderazgo habla de métricas por lo que es crucial comunicar el valor que brinda el programa de concientización sobre seguridad al informar las métricas más útiles. Su programa puede estar rastreando numerosas métricas pero centrarse en varias le dará al liderazgo la mayor información y valor. Puede ser beneficioso documentar qué métricas se recopilan brindar un contexto de por qué y cómo se recopilan y preguntar a su liderazgo qué métricas son importantes para ellos y cómo puede hacerlas más útiles.

El valor de las métricas proviene de la tendencia de las métricas a lo largo del tiempo en lugar de instantáneas individuales de un solo punto en el tiempo. Debido a esto se recomienda recopilar métricas durante varios meses antes de presentarlas a su equipo de liderazgo.

Recuerde el programa de concientización sobre seguridad fracasará sin el apoyo del liderazgo ejecutivo.