Cómo educar en seguridad informática, su importancia, sus consecuencias..?

...

Estoy de acuerdo con la mayoría de las opiniones y es la realidad el hecho de generar unas políticas de seguridad no es tan complicado, incluso en nuestra entidad realizamos este proceso como parte de una investigación de mi postgrado en SEGURIDAD INFORMÁTICA: se realizo el inventario de activos, su valoración, así como también el análisis de las vulnerabilidades y amenazas, el impacto, la frecuencia y el análisis del riesgo y se fijo un documento con las Políticas; pero el gran reto surge en lograr que los funcionarios adopten y pongan en práctica dichas políticas; y como lo hemos mencionado la dificultad empieza desde el compromiso de la Alta dirección, porque en realidad ellos son nuestro respaldo para su cumplimiento y así como también para la inversión que se debe realizar en cuanto a infraestructura tecnológica en el tema de Seguridad.

En resumen les cuento que la experiencia ha sido un tanto complicada pero ya llevamos varios meses y se ha dado cumplimiento de la gran mayoría de las políticas, ha sido necesario las capacitaciones que son fundamentales para lograr concientizar a los funcionarios, los cuales representan una amenaza mayor en cuanto a las malas prácticas en seguridad informática

Hola, que tal...

Estamos en común acuerdo de que el factor humano es el mayor riesgo de seguridad que podrá existir y mas aun cuando este no es capacitado o concienciado al respecto de lo que significa la seguridad de la información y como se puede afectar tanto la entidad como la misma persona con su acción, ya sea voluntaria o involuntaria.

No basta con contar con un software antimalware robusto y actualizado, hay que hacer seguimiento a las acciones de los usuarios, monitoreando y generando informes de acciones sospechosas, y con la ayuda de los directivos, jefes o encargados de cada oficina o dependencia crear campañas y estrategias de comunicación y concienciación sobre la importancia de este tema.

Por ejemplo, en la entidad para la que yo trabajo, logre contactar al Centro Cibernetico de la Policia Nacional para que diera una charla a un grupo pequeño de funcionarios, lo cual fue muy de gusto para ellos, y hubo tanto entusiasmo que en los días siguientes mi linea se saturaba de llamadas pidiendo validación de temas "Sospechosos", cosa que no es mala para nada, sin embargo es objetivo decir que hay que aclararles a las personas que reciben este tipo de charlas que no hay que ser paranoicos con los eventos que se observen, todo hace parte de un análisis e investigación de lo sucedido.

Buenas Tardes,

Al respecto, pienso que: aplicar políticas de seguridad en la empresa/institución y que estas se cumplan dependen mucho de:

- Compromiso de la Ata Dirección / Gerencia

- La cultura organizacional e interiorización de las políticas

- Hacer participes activos a "todos" en la organización de la seguridad de la información.

En mi caso particular, en la Entidad en al cual trabajo, se han implementado políticas de seguridad de la información y se han interiorizado con todos los funcionarios, y estamos en el proceso de implementación del Sistema de Gestión de la Seguridad de la Información, mucho de lo que ya se tenía se esta incorporando al sistema y lo que no lo estamos documentando y generando los procesos de apropiación respectivos, la realidad de este proceso es que nos permite revisar lo que se venia haciendo, documentar lo que se manejada por experiencia y comunicar este proceso afianzándolo en la cultura organizacional.

Por otra parte, la concientización de usuarios (funcionarios y contratista) como digo dependen del Compromiso de la Alta Dirección en el tema y la divulgación y socialización de las mismas, lo que genera la verificación de las políticas, por quien ejecuta el rol de monitoreo

Mecanismos deberíamos implementar para contrarrestar el Ransomware (Secuestro de Información) en nuestras organizaciones.

Este tipo de Malware es un software malicioso usado para secuestrar un equipo o ciertos archivos que se almacenan en estos, con el fin de solicitar luego un pago para el rescate a cambio de su recuperación.

Entre algunos mecanismos para tener en cuenta y evitar que este tipo de malware estan:

• Realizar periódicamente copias de seguridad de sus datos

• Instalar las revisiones y actualizaciones del software utilizado tanto de Aplicaciones como de Sistema Operativo, navegador y cualquier complemento de barra de herramientas.

• Usar paquetes de seguridad confiables

• No interactuar con el correo electrónico de spam

• Evitar las descargas y los sitios web sospechosos

Entre algunas de las herramientas específicas de protección (Anti-Ransom) se pueden encontrar las siguientes:

• Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)

• HitmanPro

• BDAntiRansomware de BitDefender

• CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)

• Cryptostalker

• AntiRansom de SecurityByDefault.com

• PROTEIN – PROTEct your INformation (Powershell Anti-Ransomware)

• AppLocker de Microsoft

...