Measuring Security Awareness Success: For Your CISO — and Your Organization

Medir la eficacia de su programa de concienciación sobre seguridad, para su CISO y para su organización

Si algo he aprendido sobre la formación para concienciar en materia de seguridad, es que el valor de un programa se evalúa a través de una medida eficaz. Desafortunadamente, la concienciación en seguridad no tiene el peso a nivel presupuestario que tienen los controles técnicos. Por tanto, es fundamental evaluar correctamente los indicadores y comunicarlos a su jefe de seguridad de la información (CISO) y otras partes interesadas para:

Las preocupaciones de la dirección difieren en función del diseño de su programa. Si su programa está principalmente orientado al cumplimiento normativo, la empresa puede quedarse en un indicador como una casilla de verificación del tipo “Formación completada”. En está orientado principalmente a la concienciación y a evaluación de comportamientos, la empresa puede prestar más atención a la participación y a otros indicadores como la tasa de clics y la tasa de denuncias durante las simulaciones. Las empresas que optan por programas de formación avanzados, pueden llegar todavía más lejos. Me explico.

Medir de lo importante de su iniciativa de concienciación en seguridad

Como se indica en la Market Guide for Security Awareness 2020 de Gartner, conviene “utilizar otros indicadores de la seguridad de la información además de la tasa de clics durante las pruebas de phishing para evaluar el éxito de un programa”. No podríamos estar más de acuerdo con esa afirmación. Muchos de los clientes con los que estamos en contacto se centran básicamente en la tasa de clics de las simulaciones de phishing como principal indicador de la concienciación en seguridad. Si bien es un buen punto de partida, tiene muchos puntos débiles.

Very Attacked People

Figura 1. Los VAP (Very Attacked People™, o personas muy atacadas) son los usuarios de su organización que reciben el mayor volumen de ataques y los tipos de ataques más peligrosos detectados por Proofpoint Targeted Attack Protection. Incluir a estos usuarios en actividades formativas más frecuentes y dirigidas puede contribuir a reducir aún más el riesgo y hacer progresar su programa.

Para empezar, la tasa de clics varía enormemente según tasa media de fallos de la plantilla utilizada y de la audiencia elegida. A medida que avanza el programa, más importa considerar plantillas más dirigidas para audiencias distintas como los VAP. Por lo tanto, aunque varíe la tasa de clics, no permitirá concluir que los empleados adoptan buenos comportamientos, sino que solamente evitan los malos.

Nuestro informe State of the Phish de 2021 muestra el "factor de resiliencia" promedio

Tasa media de fallos, tasa de denuncias y factor de resiliencia por sector

Figura 2. Nuestro informe State of the Phish de 2021 muestra el “factor de resiliencia”, es decir tasa de denuncias dividida por la tasa de clics. Lo ideal es que las organizaciones aspiren a un factor de resiliencia de 14.

Cuando utiliza un indicador como la tasa de denuncias con un complemento (add-in) de phishing de correo electrónico, puede mostrar los usuarios que no solo evitan un ataque, sino que adoptan los comportamientos adecuados y contribuyen a la seguridad de la empresa.

Como regla general, recomendamos tener una tasa de denuncias del 70 % o superior en las simulaciones de phishing y una tasa de clics inferior al 5 %. Esto significa un factor de resiliencia de 14 en el caso de los clientes con mejor rendimiento.

Cálculo de la calificación de precisión de los mensajes denunciados
La clasificación de precisión de mensajes denunciados se basa en su rendimiento durante los últimos 90 días en comparación con la precisión media de mensajes denunciados de todos los clientes en los últimos 90 días.

Nuestro nuevo panel de CISO le mostrará las distintas áreas del su programa y el percentil que le corresponde en comparación con otros clientes.

Comparación de la precisión de mensajes denunciados
Precisión de su organización 43%
Precisión del cliente con el peor rendimiento 0%
Precisión del cliente con el mejor rendimiento 100%

Figura 3. Nuestro nuevo panel de CISO le mostrará las distintas áreas del su programa y el percentil que le corresponde en comparación con otros clientes. Esta información le ofrece contexto y le permite centrarse en las áreas de mejora.

Profundizando todavía más, resulta esencial y esclarecedor comprender el verdadero impacto de su programa de concienciación en la seguridad. Por ejemplo, cuando los usuarios denuncian mensajes, ¿son mensajes inofensivos o maliciosos?

Utilizamos la pila de detección de amenazas de Proofpoint para calificar los mensajes de correo electrónico denunciados por los usuarios. De esta forma podemos evaluar el volumen de mensajes maliciosos que denuncian los usuarios y compararlo con el de otros clientes.

Métricas de cumplimiento y simulación

Figura 4. El impacto de la concienciación en seguridad va más allá de los indicadores de cumplimiento y de las simulaciones, y pueden contribuir a mejorar la seguridad global de las empresas mediante la reducción de la tasa de clics real, el aumento de la denuncia de los mensajes maliciosos y la reducción de los incidentes de seguridad de origen humano.

Además, si puede recopilar información sobre otros impactos de seguridad centrados en las personas, como:

  • Ataques de phishing con éxito
  • Credenciales comprometidas
  • Compromiso de credenciales
  • Incidentes de origen interno
  • Reparaciones de equipos por causa del malware o del ransomware

…estará en disposición de demostrar que esos indicadores clave han disminuido y que su programa de concienciación sirve para algo. Además, mejorará la inversión futura y demostrará cómo su programa está cambiado los comportamientos y creando cultura de seguridad.

Conocimiento de la vulnerabilidad de los usuarios

Sección de vulnerabilidad del usuario del panel CISO

Figura 5. Nuestra sección Vulnerabilidad de los usuarios del panel de CISO le mostrará los usuarios y participantes con bajo rendimiento. Si los usuarios son identificados como VAP por Proofpoint Targeted Attack Protection, esos datos se integran también para conocer mejor el nivel de vulnerabilidad.

En ocasiones, puede resultar complicado conseguir la aceptación para ampliar el programa de concienciación. A las partes interesadas les preocupa que los usuarios pasen demasiado tiempo en formación, o que se cansen de los ejercicios de concienciación sobre seguridad.

Una de las estrategias que hemos observado que utilizan los clientes consiste en centrar con mayor regularidad los esfuerzos de formación en los usuarios vulnerables. De esa forma, los interesados reconocen que un complemento formativo está justificado para esos usuarios y que no todos los empleados requieren el mismo nivel de formación. Es una manera estratégica de conseguir que las partes interesadas acepten la ampliación de su programa.

Comunicar eficazmente con su CISO y los principales interesados

Durante nuestro evento anual de concienciación en seguridad, Wisdom 2021, muchos intervinientes plantearon el problema del utilizar excesivamente el miedo, la incertidumbre y la duda. Estos argumentos no llegarán muy lejos frente a los responsables de seguridad.

Entonces, ¿cómo comunica la eficacia de su programa de concienciación en materia de seguridad a su CISO y a otras partes interesadas? Puede abordar la cuestión desde dos puntos de vista: el factor cuantitativo y el factor cualitativo.

Cuando hablamos de calificaciones de cantidad, el conocimiento del rendimiento general y de su posición con respecto a otras empresas son importantes en términos de contexto. Siempre que sea posible, céntrese en los indicadores positivos en lugar de exclusivamente en la tasa de clics. Por ejemplo:

  • Los usuarios denunciaron más simulaciones de phishing.
  • Los conocimientos en materia de concienciación sobre seguridad han aumentado.
  • Los usuarios mejoraron a la hora de denunciar mensajes maliciosos.
  • La participación de los usuarios en actividades de concienciación en seguridad ha aumentado.

Nuestro nuevo panel de CISO le permite hacer todo esto fácilmente, con calificaciones de rendimiento y participación que le muestran cuál es su percentil en cada área, así como la evolución de cada calificación. La calificación general le permite conocer su situación en un abrir y cerrar de ojos, y los iconos tipo semáforo le permiten centrarse en las áreas de mejora.

The Security Program Score Summary

Figura 6. La sección Resumen de calificaciones del programa de seguridad le ayuda a informar rápidamente a su CISO sobre el rendimiento del programa.

Aunque el factor cuantitativo es importante, no lo es menos el cualitativo. Por ejemplo:

  • ¿Consiguió algún usuario neutralizar un ataque de phishing real sofisticado?
  • ¿Valoraron positivamente los usuarios su programa de concienciación? (Considere crear un alias de correo electrónico o enviar una breve encuesta de satisfacción).
  • ¿Ha compartido algún miembro del equipo directivo o un empleado conocido de su organización algo sobre concienciación en seguridad con el personal?

Estas historias, combinadas con los datos cuantitativos ayudan a demostrar que la concienciación sobre seguridad es mucho más que una actividad de cumplimiento impuesta, que modifica los comportamientos de los usuarios y que contribuye a la evolución activa de la cultura de la empresa en la medida en que los usuarios comprenden mejor los riesgos y participan en la protección de la empresa.

¿Desea obtener más información sobre cómo elaborar un programa de concienciación en materia de seguridad eficaz y medir su eficacia? Vea nuestro webinar bajo demanda o lea nuestro libro electrónico sobre concienciación en seguridad para conocer las mejores prácticas para elaborar y mantener una cultura de seguridad en el seno de su organización.