Communication">
MECCI
MECCI
MECCI
V.1.0
F5.ITERACIÓN
Realiza cada año el proceso desde cero, actualízate a nuevas
El MECCI muestra las 5 fases que
formas de ataque y defensa, asume compromisos.
debe atravesar una persona antes
de convertirse en un usuario 1.0. F4.SEGURIDAD OFENSIVA
> Diagnóstico, crear consciencia, Listos para la guerra. Phishing, smishing, vishing, clonación,
entrenamiento, seguridad Wireless attack y baiting.
ofensiva e Iteración.
F3.ENTRENAMIENTO
Conocimiento avanzado, prácticas, seguimiento,
cumplimiento y certificación.
F2.CREAR CONSCIENCIA
Charlas, talleres, webinars, campañas.
F1.DIAGNÓSTICO
Evalúe y aumente el nivel de cultura en
ciberseguridad, identifique el nivel de riesgo, tome
decisiones en las áreas críticas.
¿CÓMO HACERLO?
F3. ENTRENAMIENTO Capacite a los usuarios en al menos estos 12 temas:
OBJETIVOS • Tipos de Usuario: describe al usuario 1.0, 2.0 y 3.0.
Identificar nuestro enemigo. • Hackers: describe a los chicos buenos, regulares y malos del escenario.
• Contraseñas Seguras: cómo se deben construir y administrar las
Reconocer escenarios de ataque. contraseñas.
• Malware: tipologías y consecuencias de una infección.
Conocer las buenas prácticas. • Escenarios de ataques: cuáles son las técnicas que utilizan los hackers.
• Móviles: protección para móviles, redes sociales, redes inalámbricas.
• Phishing: tipologías (spear, rock, mass, CEO Fraud, vishing).
• Políticas empresariales: Lo que debe saberse para entornos corporativos.
• Leyes: Consecuencias de violar la ley.
Son campañas enviadas por correo que utilizan los piratas informáticos como anzuelo para que el usuario
entregue información o infecte su equipo. Las campañas son dirigidas a usuarios específicos que se les hace
un seguimiento previo encontrando aspectos relacionados a sus gustos, forma de pensar, información que
comparten, entre otras, desarrollando una campaña maliciosa “imposible” de evadir.
FASES
• BAITING: Es una trampa que utilizan • Diseñe una pieza de malware que permita
los ciberdelincuentes arrojando conectarse a una ubicación remota y reportar la
dispositivos como USB’s, discos dirección IP pública del atacante y datos del equipo.
duros extraíbles entre otras, con También debe poder mostrar un mensaje de alerta
archivos infectados. La curiosidad en el navegador.
finalmente vence al usuario y en el • Infecte el dispositivo con la pieza de “malware”
inofensivo.
peor de los casos ejecuta los
• Ubique el dispositivo en puntos estratégicos que los
archivos en equipos corporativos,
usuarios puedan ver.
dándole acceso al atacante. • Verifique quién ejecutó el malware y desde dónde.
• Realice Informes.
INTRODUCCIÓN
Una vez finalizado todo el proceso, es necesario volver a empezar; como mínimo cada año. El colaborador debe
enfrentarse de nuevo a un diagnóstico general, y seguir avanzando gradualmente con nuevas charlas en
ciberseguridad, talleres, entrenamiento y así en un ciclo que no tiene fin. Los ciberdelincuentes siempre
encontrarán nuevas formas de delinquir.
Es importante que el área de TI desarrolle la documentación básica para el SGSI y comparta esta información vía
email con los colaboradores.
Es importante que en este nivel, el usuario asuma unos compromisos ya que puede comprender a cabalidad que es
responsabilidad de todos proteger los datos de la organización.