Saltar a contenido

ANEXO M: Protocolo de Entrenamiento y Simulación

(Ingeniería del Factor Humano y "Human Firewall")

1. El Fracaso de la "Charla Anual"

La capacitación tradicional basada en cumplimiento (firmar una lista de asistencia una vez al año) tiene un impacto estadístico nulo en la reducción del riesgo de Phishing o Ransomware. La neurociencia indica que el usuario promedio olvida la teoría de seguridad en aproximadamente 7 días si no hay refuerzo práctico.

Para el Vigilante Estratégico, el objetivo no es la "concientización" (que el usuario sepa), sino la modificación de conducta (que el usuario actúe defensivamente).

2. Estrategia de "Parcheo Cognitivo"

Trataremos al personal como un sistema operativo que requiere actualizaciones críticas constantes para corregir vulnerabilidades de juicio.

Nivel de Entrenamiento Frecuencia Metodología KPI de Éxito
Nivel 1: Inducción Al ingreso (Onboarding) Firma de Política de Uso Aceptable y curso de conceptos básicos. 100% de cobertura contractual.
Nivel 2: Refuerzo Mensual (Micro-learning) Cápsulas de 3 minutos sobre amenazas actuales (ej. "Estafas por WhatsApp"). Tasa de finalización > 90%.
Nivel 3: Simulación Trimestral (Sorpresa) Envío de campañas de Phishing simulado controlado. Click Rate < 4%.

3. Simulacros como Evidencia de Cumplimiento (Tabletop Exercises)

Bajo la nueva potestad fiscalizadora de la ANCI, los simulacros de crisis ya no son un ejercicio de "mejora continua", sino una evidencia obligatoria de diligencia.

El Pentesting técnico ya no basta. La Agencia puede exigir demostrar que la Alta Dirección sabe qué hacer.

El Nuevo Estándar de Simulación

Para que un simulacro sea válido ante una auditoría regulatoria, debe cumplir tres requisitos: 1. Participación Ejecutiva: Debe estar presente el Comité de Crisis real (Gerente General, Legal, Comms), no solo técnicos de TI. 2. Escenario de Ruptura: No simular un virus simple. Simular una parálisis total (Ransomware) o una filtración masiva de datos (Data Breach). 3. Acta de Lecciones Aprendidas: Documento formal firmado por los asistentes con las brechas detectadas y el plan de remediación. Sin acta, el simulacro no existió legalmente.

4. Simulaciones de Phishing (El Verdadero Test)

La única métrica real de la "Capa 8" (Usuario) es su comportamiento reflejo frente a un ataque simulado.

Protocolo de Respuesta

  1. El Clic: Si un usuario hace clic en el enlace simulado, es redirigido inmediatamente a una pantalla de "Ups!" y una cápsula de entrenamiento de 2 minutos (Just-in-Time Training).
  2. No-Castigo Inicial: El fallo en simulación es una oportunidad de aprendizaje, no de sanción. Castigar el error provoca que el usuario oculte incidentes reales.
  3. Reincidentes Crónicos: Usuarios que fallan 3 simulaciones consecutivas representan una vulnerabilidad crítica de personas.
    • Acción: Requieren intervención directa de su jefatura.
    • Mitigación: Se evalúa retirar permisos de administración local o acceso a datos sensibles hasta que certifiquen competencia.

5. Métricas de Desempeño Humano

Para el reporte al Directorio, abandonamos las métricas de vanidad ("Hicimos 4 charlas") y usamos métricas de riesgo conductual:

  1. Phishing Prone Percentage (PPP): Porcentaje de empleados propensos a caer.
    • Benchmark Industria: ~20%
    • Objetivo Vigilante: <5%
  2. Report Rate (Tasa de Reporte): Porcentaje de empleados que no solo no cayeron, sino que usaron el botón de "Reportar Phishing".
    • Interpretación: Un Report Rate alto indica una cultura de Vigilancia Activa. El usuario actúa como un sensor distribuido del CSIRT.
  3. Tiempo de Detección Humana: Tiempo promedio que pasa desde que llega el correo malicioso hasta que el primer humano lo reporta.

6. Plan de "Embajadores de Seguridad" (Champions)

En lugar de que TI sea el "policía" lejano, se recluta a un miembro no-técnico de cada área crítica (Finanzas, RRHH, Ventas) para ser el "Embajador".

  • Perfil: No necesariamente el más técnico, sino el más comunicativo/líder informal.
  • Rol: Son el primer punto de contacto para dudas de sus compañeros ("¿Te llegó este correo raro?").
  • Beneficio: Ayudan a "tropicalizar" el mensaje de seguridad al lenguaje y realidad de su propia área.

Regla de Oro: Un usuario que pregunta "¿es esto un virus?" al CSIRT no debe ser regañado por molestar, debe ser felicitado por verificar. La barrera psicológica para reportar debe ser cero.