Ciberejercicios – Simulacro de ciberataque
Los ciberejercicios son actividades orientadas a conocer y mejorar el nivel de concienciación de los usuarios de una organización en materia de seguridad de la información, a través de metodologías prácticas. Una de estas metodologías es el simulacro de ciberataques, a través de pruebas y técnicas muy similares a las que utiliza un atacante real, pero en un ambiente controlado. El objetivo de estos «ataques dirigidos» es exponer a los usuarios de la organización a una amenaza de ciberseguridad controlada y evaluar el actuar de los mismos.
Desde el MITIC ofrecemos el servicio de simulacro de ciberataques, el cual consta de las siguientes fases:
e plantea un ataque dirigido a través del envío de un correo electrónico que contiene un enlace que simula un phishing. El escenario deberá adaptarse de acuerdo a cada organización y su contexto, de modo a parecer legítimo y/o atractivo para el usuario. Se trata de un escenario controlado, en el que la apertura del enlace no realizará ningún daño al sistema o información de la «víctima», sino la redirigirá a la página web del CERT-PY donde se le indicará qué fue lo que pasó, explicando el riesgo que supone lo que hizo y se le dará unas advertencias y consejos de seguridad.
Al finalizar el periodo de simulación de ataque, se elaborará un reporte general de acuerdo a las acciones observadas: cuántos usuarios han abierto los correos sospechosos, cuántos han abierto los enlaces, cuántos han introducido datos, qué grupos laborales son los más afectados, etc.
Luego de la fase de simulación de ataque y la evaluación de los resultados de la misma, el CERT-PY ofrecerá una charla de concienciación dirigida a los usuarios de la organización, en la que se expondrán los riesgos de seguridad a los que estamos expuestos a diario, así como las medidas de seguridad que podemos adoptar en el día a día para reducir esos riesgos.
La organización, con el apoyo del CERT-PY, llevará a cabo una amplia campaña de concienciación para toda la organización, de modo a difundir y reforzar las buenas prácticas de ciberseguridad que todo usuario debe llevar a cabo. Esta campaña buscará que cada usuario sea consciente de su rol en la seguridad de la información, sintiéndose partícipe del resguardo de la misma, así como se buscará que aprenda y adopte ciertas medidas básicas de seguridad en el uso diario de la tecnología y del Internet.
El servicio se encuentra disponible para todas las organizaciones y entidades del Estado, sin ningún costo, y puede ser solicitado a través del siguiente enlace: https://servicios.mitic.gov.py/
Para más información sobre el servicio, puede leer el siguiente documento: Descripción – ciberejercicio [pdf]