Proiektuaren azalpena
Zalantzarik gabe, enpresetan hedatutako babeserako neurri teknikoen eraginkortasuna handitu ahala, erasotzaile batek arrakasta izateko dituen aukerak proportzio berean murrizten dira. Horregatik, mehatxuen gaur egungo panorama pertsonen erabilerara bideratua dago sistema baten konpromisoa lortzeko bitarteko gisa.
Agertoki horretan, giza naturarekin lotutako berezko kalteberatasunek garrantzi handiagoa hartzen dute, eta, beraz, ezagutza eta entrenamendu egokiak eskaini behar dira halakoak ustiatzen saiatzen diren mehatxuen aurka behar bezala erreakzionatu ahal izateko.
Zibersegurtasunaren arloan erabiltzaileak prestatzea eta kontzientziatzea jarduera iraunkortzat hartu beharko litzateke, hauek barnean hartuko dituen prestakuntza-programa bat garatuz:
Profil zehatzei zuzendutako prestakuntza espezifikoa. Barnean hartzen ditu, besteak beste, Goi-zuzendaritzarako prestakuntza-saio espezifikoak nahiz erakundearen zibersegurtasunaren arloan erantzukizun desberdinak dituzten profiletarako alderdi arauemaile, tekniko edo legal egokiagoak garatzen dituzten ikastaroak.
Kontzientziazio orokorreko prestakuntzak zibersegurtasunaren arloan, erakundeko enplegatuei begira.
Erakundeko erabiltzaileak aldiro-aldiro alertan mantenduko dituzten abisuak, aholkuak, informazio-pilulak... zibersegurtasunaren alderdi zehatzei edo gaurkotasun-albisteei dagokienez.
Erabiltzaileen gaitasun-maila ebaluatzeko eta neurtzeko, oso gomendagarria da ariketa praktikoak egitea pertsonei zuzendutako erasoak simulatuz, horrelakoetan prestakuntza-planaren garapenarekin lortutako helburuei buruzko ondorioak eta hobekuntza-alderdiak lortzen baitira. Era horretako ariketak garatzeko erabiltzen diren gizarteingeniaritzako teknikek ez dute arlo teknologikora mugatu behar (phishing, identitatea ordeztea...): mundu fisikoan oinarritutako beste teknika-mota batzuk ere praktikan jarri behar dituzte (instalazioetarako intrusio fisikoa, gizarteingeniaritza, identitatea ordeztea telefonoz nahiz presentzialki, etab.).
Helburuak
Proiektu honek helburu hauek lortu nahi ditu:
Erakundearen segurtasun globalari laguntzea, langileak zibersegurtasunaren arloan eta, zehazki, industria zibersegurtasunaren arloan prestatuz eta trebatuz.
Bitartekoak eskaintzea erabiltzaileek beren lanpostuaren araberako zibersegurtasun-ezagutzak izan ditzaten, gainerako erakundearentzat izan ditzakeen arriskuez jabetu ahal izateko.
Erabiltzaileak alertan eta “tentsioan” etengabe edukitzea nazioartean nahiz ingurune hurbileneko antzeko enpresetan gerta daitezkeen mehatxuen eta gorabeheren egoerari dagokionez.
Onurak
Proiektuaren azalpena
Hauek izango lirateke proiektua martxan jartzeak ekarriko lituzkeen onurak:
Enpresako langileen gaitasunak eta trebetasunak garatzea haien lan-inguruneari aplikatutako zibersegurtasunarekin zerikusia duten ezagutzak eta trebetasunak eskuratzeko, erakundearen babeserako geruza gehigarri gisa balio dezaten.
Langileak etengabe alertan edukitzea enpresan segurtasun-gorabeherak saihesteko.
Segurtasun fisikoarekin lotutako prozesuetan gertatzen den bezala (esate baterako, sute-simulakroak), kontrolatuta esperimentatzea langileek mehatxu simulatu baten aurka dituzten erreakzioak.
Segurtasun-gorabeherak jakinarazteko bitartekoek behar bezala funtzionatzen dutela egiaztatzea.
Proiektuaren exekuzioa hobetzen duen zibersegurtasunaren dimentsioak
Estimatutako exekuzio-denbora
Horrelako proiektuak exekutatzeko aurreikusitako denborak orientazio gisa bakarrik adierazten dira.
Enpresa eskatzaileen baliabideen dedikazio-eskakizunak
Jardunbide egokiak proiektua exekutatzean
Horrelako proiektuak behar bezala gauzatzeko, alderdi hauek hartu behar dira kontuan:
- Prestakuntza pertsonalizatua: prestakuntza bat benetan eraginkorra izan dadin, enpresaren espezifikotasunen arabera diseinatu behar da, bertako langileak prestakuntzan zehar ikusgai dauden erabilera-kasuetan eta adibideetan batez ere islatu ahal izan daitezen.
- Harridura-faktorea: gizarte-ingeniaritzako testak kudeatzen dituzten langileei bakarrik komunikatu behar zaie, harridura-faktorea baliatu ahal izateko langileen erreakzioak ebaluatzeko. Halaber, horretan sartzen dira, bereziki, Goi Zuzendaritzako kideak; horiekin, izan ere, ekintza horiek areagotu beharko lirateke.
- Emaitzen anonimizazioa: prestakuntza-plana garatzean eskuratutako ezagutzei buruz egin daitezkeen testen edo ebaluazioen emaitzak ez dira jendaurrean ikusgai jarri behar pertsona jakin batzuk seinalatuz. Ondorioek orokorrak izan behar dute, baita horiek aztertu ondoren identifikatzen diren indartze- edo hobekuntza-jarduerek ere.
Lotutako zerbitzuak
- Prestakuntza eta gaitasun espezifikoko zerbitzuak.
Lotutako beste proiektu batzuk
- Intrusio-testak egitea gizarte-ingeniaritzako teknikak erabiliz.
Zibersegurtasun industrialeko laguntzen programako proiektu diruz lagungarriaren arloa
- Industria-enpresako plantilla zibersegurtasunaren arloan kontzientziatzeko ekimenak.
Zerbitzuen edo produktuen enpresa hornitzailearen profila
Mota honetako proiektuetan sartutako zerbitzuak emateko gaitasuna duten enpresak, “Euskadiko Zibersegurtasunaren Liburu Zuria”n erregistratuta daudenak, kategorizazio honetan sartuta daudenak dira:
Gaitasuna | Konponbidearen kategoria | Produktu- / zerbitzu-multzoa |
BABESTEA | Kontzientziazioa eta prestakuntza | Prestakuntza-saioak Cyber Ranges |
---|---|---|
Mantentzea | Intrusio-testa / Red Teaming |