Ya no es un secreto que el eslabón más débil de la cadena de seguridad es el usuario final. Aquí, cobra gran importancia el tener un plan de concientización maduro, por ello, para medir el nivel de madurez, de tu programa de concientización, puedes apoyarte del Modelo de Madurez de Concientización en Seguridad de SANS.
El artículo es muy bueno, por lo que solo traduciré parte de este y al final, dejaré el vínculo a la información original. Espero lo disfruten.
Al igual que las computadoras, las personas almacenan, procesan y transfieren información. Sin embargo, se ha hecho muy poco para asegurar este sistema operativo "humano". Como resultado, las personas, en lugar de la tecnología, son ahora el principal vector de ataque.
La capacitación en concientización sobre seguridad es una de las formas más efectivas de abordar este problema. Esta hoja de ruta está diseñada para ayudar a su organización a construir, mantener y medir un programa de alto impacto sobre concientización en seguridad para reducir el riesgo al cambiar el comportamiento de las personas y también cumple con sus requisitos legales, de cumplimiento y auditoría.
Para usar esta hoja de ruta, primero, identifique el nivel de madurez de su programa de conciencia de seguridad y dónde desea llevarlo. Luego siga los pasos detallados para llegar allí.
(1) El programa no existe.
Los empleados no tienen ni idea de que son un objetivo, no conocen ni entienden las políticas de seguridad de la organización y son fácilmente víctimas de ataques o de sus propios errores.
(2) Centrado en el cumplimiento.
Programa diseñado principalmente para cumplir con requisitos específicos de cumplimiento o auditoría. La formación se limita a una base anual o ad hoc. Los empleados no están seguros de las políticas de la organización, de su papel en la protección de los activos de información de su organización y de cómo prevenir, identificar o notificar un incidente de seguridad.
(3) Promover la concienciación y el cambio de comportamiento.
El programa identifica los temas de formación que tienen mayor impacto en el apoyo a la misión de la organización y se centra en esos temas clave. El programa va más allá de la formación anual e incluye un refuerzo continuo a lo largo del año. Los contenidos se comunican de forma atractiva y positiva para fomentar el cambio de comportamiento en el trabajo, en casa y en los viajes. Como resultado, los empleados, los contratistas y el personal comprenden y siguen las políticas de la organización y reconocen, previenen y notifican activamente los incidentes.
(4) Mantenimiento a largo plazo.
El programa cuenta con procesos y recursos para un ciclo de vida a largo plazo, incluyendo (como mínimo) una revisión y actualización anual tanto del contenido de la formación como de los métodos de comunicación. Como resultado, el programa va más allá de cambiar los comportamientos y empieza a cambiar la cultura de la organización.
(5) Marco de métricas.
El programa cuenta con un sólido marco de medición para seguir los progresos y medir el impacto. Como resultado, el programa mejora continuamente y es capaz de demostrar la rentabilidad de la inversión.
Puedes obtener mayor información en el siguiente link: https://www.sans.org/blog/security-awareness-roadmap-updated-version/
