CIS Control 14: Capacitación en Conciencia de Seguridad y Habilidades

El Control CIS 14 se refiere a implementar y operar un programa que mejora la conciencia y habilidades de ciberseguridad de los empleados. (Antes de la versión 8 de los Critical Security Controls, esta área estaba cubierta por el Control CIS 17.)
Este control es importante porque la falta de conciencia de seguridad entre las personas dentro de tu red puede llevar rápidamente a devastadoras data breaches, tiempo de inactividad, robo de identidad y otros problemas de seguridad. Por ejemplo, los hackers a menudo manipulan o engañan a los empleados para que abran contenido malicioso y revelen información protegida y luego aprovechan malas prácticas corporativas, como compartir contraseñas, para causar aún más daño.

Por qué la formación en ciberseguridad es esencial

Las investigaciones revelan lo siguiente sobre las causas de las violaciones de datos:

• Alrededor del 30% de los incidentes se deben a errores humanos, como enviar información sensible a la persona equivocada o dejar una computadora desbloqueada en un lugar que permite el acceso no autorizado a sistemas y datos.
• Otro 28% de las violaciones de datos se deben a ataques de phishing, en los que los trabajadores abren correos electrónicos con virus o registradores de teclas.
• Las password policies deficientes son responsables de aproximadamente el 26% de todas las violaciones de datos. Por ejemplo, el uso de contraseñas compartidas y permitir contraseñas simples aumentan significativamente el riesgo de una violación de datos.

Lamentablemente, menos del 25% de las organizaciones realizan vulnerability assessments de manera regular, el 43% admite que no están seguros de lo que sus empleados hacen con datos sensibles y otros recursos, y solo el 17% tiene un plan de respuesta ante incidentes. Para protegerse, su organización necesita poder:

• Realice pruebas de seguridad informática con regularidad
• Detecte brechas de datos en sus primeras etapas
• Responda rápidamente a incidentes de seguridad
• Determine el alcance y el impacto de una violación
• Tenga un plan para recuperar los datos, servicios y sistemas afectados

Cómo CIS Control 14 puede ayudar

El CIS Control 14 puede ayudarlo a fortalecer la ciberseguridad y la protección de datos en su organización, así como a pasar auditorías de cumplimiento. Se basa en los siguientes pasos:

14.1 Establecer y mantener un programa de concienciación sobre seguridad

Su programa de concienciación sobre seguridad debe garantizar que todos los miembros de su fuerza laboral comprendan y muestren los comportamientos correctos que ayudarán a mantener la seguridad de la organización. El programa de concienciación sobre seguridad debe ser atractivo y necesita repetirse regularmente para que siempre esté presente en la mente de los trabajadores. En algunos casos, la formación anual es suficiente, pero cuando los trabajadores son nuevos en los protocolos de seguridad, podrían ser necesarios recordatorios más frecuentes.

14.2 Capacitar a los miembros del equipo para reconocer ataques de ingeniería social

La siguiente mejor práctica es capacitar a toda su fuerza laboral para reconocer e identificar ataques de ingeniería social. Asegúrese de cubrir los diversos tipos de ataques, incluyendo estafas telefónicas, llamadas de suplantación y estafas de phishing.

14.3 Capacitar a los miembros del personal en las mejores prácticas de autenticación

La autenticación segura bloquea los ataques en sus sistemas y datos. Los miembros de la fuerza laboral deben comprender la razón por la cual la autenticación segura es importante y el riesgo asociado con intentar eludir los procesos corporativos. Los tipos comunes de autenticación incluyen:

• Autenticación basada en contraseñas
• Autenticación multifactor
• Autenticación basada en certificados

14.4 Capacitar al personal en las mejores prácticas para el manejo de datos

Los trabajadores también necesitan formación sobre la gestión adecuada de datos sensibles, incluyendo cómo identificar, almacenar, archivar, transferir y destruir información sensible. Por ejemplo, la formación básica puede incluir cómo bloquear sus pantallas al alejarse de un ordenador y borrar datos sensibles de una pizarra virtual entre reuniones.

14.5 Capacitar a los miembros de la fuerza laboral sobre las causas de la exposición no intencionada de datos

Las causas de la exposición no intencionada de datos incluyen la pérdida de dispositivos móviles, enviar correos electrónicos a la persona equivocada y almacenar datos en lugares donde los usuarios autorizados pueden verlos. Asegúrese de que sus trabajadores entiendan sus opciones de publicación y la importancia de ejercer cuidado al usar el correo electrónico y los dispositivos móviles.

14.6 Capacitar a los miembros del personal en el reconocimiento y reporte de incidentes de seguridad

Su fuerza laboral debe ser capaz de identificar los indicadores comunes de incidentes y saber cómo reportarlos. ¿A quién llaman si sospechan que han recibido un correo electrónico de phishing o han perdido su teléfono celular corporativo? Para simplificar el proceso, considere designar a una persona como el primer punto de contacto para todos los incidentes.

14.7 Capacite a los usuarios sobre cómo identificar y reportar si a sus activos empresariales les faltan actualizaciones de seguridad

Su fuerza laboral debe ser capaz de probar sus sistemas e informar sobre actualizaciones de software que estén desactualizadas, así como problemas con herramientas y procesos automatizados. También deben saber cuándo contactar al personal de TI antes de aceptar o rechazar una actualización para estar seguros de que es necesaria y funcionará con el software actual en el sistema.

14.8 Capacitar a la fuerza laboral sobre los peligros de conectarse y transmitir datos empresariales a través de redes inseguras

Todos deben estar conscientes de los peligros de conectarse a redes inseguras. Los trabajadores remotos deberían recibir capacitación adicional para asegurar que sus redes domésticas estén configuradas de manera segura.

14.9 Realizar capacitación específica de seguridad y habilidades según el rol

Adaptar su conciencia de seguridad y formación de habilidades basada en los roles de los usuarios puede hacerla más efectiva y atractiva. Por ejemplo, considere implementar una formación avanzada en conciencia de ingeniería social para roles de alto perfil que probablemente sean objetivos de ataques de spear phishing o de ballenas.

Resumen

Establecer una conciencia de seguridad y formación de habilidades como se detalla en CIS Control 14 puede ayudar a su organización a fortalecer la ciberseguridad. De hecho, proporcionar una formación efectiva y regular puede ayudarle a prevenir violaciones de datos devastadoras, robo de propiedad intelectual, pérdida de datos, daño físico, interrupciones del sistema y sanciones de cumplimiento.