Plan de Concienciación en Seguridad dirigido al personal de la Administración de Justicia (más de 10.000 usuarios) integrado por 4 campañas: Refuerza tus contraseñas, La seguridad empieza por ti, Puesto de trabajo seguro, Protege tú portátil y tú móvil con total seguridad. El objetivo de este plan es doble: sensibilizar a los usuarios para que perciban la importancia de la seguridad, y capacitarles para que tengan la disposición y la aptitud para conseguir aplicar la seguridad a su entorno.
Plan de Concienciación en Seguridad
Antecedentes
El proceso de transformación digital en la Administración de Justicia ha implicado la desaparición del soporte papel en los órganos judiciales, no sólo para la entrada y salida de documentos, sino también para la tramitación procesal, almacenamiento e intercambio de información, de manera que los activos de información judicial se encuentran únicamente en formato digital. Para que este proceso se produzca de forma efectiva, se han abordado acciones en diferentes ámbitos (tecnológico, seguridad, organizativo, cultural) que permitan la adaptación a las nuevas realidades y exigencias, constituyendo la ciberseguridad uno de los principales ejes estratégicos. En aras de garantizar un entorno digital seguro y confiable, el Ministerio de Justicia crea la Oficina de Seguridad con el fin de ofrecer una visión 360º que integre la tecnología, la seguridad, el cumplimiento normativo, la prevención y la vigilancia, así como las actividades de formación y concienciación de los empleados. Para favorecer la implementación de una estrategia de concienciación, avanzando en la creación de una cultura de seguridad, la Oficina de Seguridad ha puesto en marcha el Servicio de concienciación en seguridad. Entre las actuaciones realizadas por el nuevo servicio se ha diseñado y desarrollado el plan de concienciación en seguridad para implicar a los usuarios y personal técnico sobre el correcto uso de los sistemas de información y su papel como garantes de la información que manejan. En el ámbito de la Administración de Justicia esto se hace imprescindible, debido a la sensibilidad de los datos que se tratan y la naturaleza de los documentos que se almacenan en los sistemas de información. Cabe destacar que La Oficina de Seguridad cuenta con la consultoría y asesoramiento especializado del primer referente de ciberseguridad en España mediante la firma del Convenio de colaboración con el CNI-CCN el 5 de junio de 2018. Entre las actuaciones incluidas en el marco de colaboración con el CCN, se encuentran las actividades relacionadas con la divulgación, capacitación y sensibilización en materia de seguridad al personal.
Retos
Desde el punto de vista de la seguridad de la información, los elementos más vulnerables de un sistema de información y de las comunicaciones son las personas que los desarrollan y utilizan. En este sentido, uno de los retos a los que ha dado respuesta la Oficina de Seguridad, en 2019, ha sido incrementar el nivel de concienciación en seguridad de la información desde la prevención e involucrando a los usuarios. Para ello, se ha hecho llegar al usuario de las aplicaciones y al personal técnico a cargo de los sistemas, aquellas nociones de seguridad de manera que se eviten riesgos procedentes de la falta de conocimientos en materia de ciberseguridad.Los objetivos que se persiguen son fomentar una cultura de ciberseguridad en la organización, garantizar la integridad y confidencialidad de la información y aumentar la confianza en los sistemas de información.
Fases
El Plan de Concienciación en Seguridad, de 8 semanas de duración, consiste en el lanzamiento de cuatro campañas de forma progresiva para garantizar que los usuarios asimilen los principios de ciberseguridad. Cada una de las campañas también tiene una permanencia determinada e incluyen varios materiales de difusión y capacitación que irán apareciendo a lo largo del calendario establecido: consejos prácticos y comunicados informativos por correo electrónico, mensajes en el puesto de usuario, soportes publicitarios (banner) en la plataforma de formación Aula en Línea, píldoras formativas, vídeos y exhibición de cartelería en la sedes.
Los usuarios reciben en su correo electrónico una serie de materiales informativos entre los que se encuentran consejos y comunicados con ejemplos reales que les ayudan a detectar posibles engaños en la red, así como recomendaciones para evitarlos. También se distribuyen carteles en las sedes y se difunden avisos al encender el ordenador con los principales aspectos a tener en cuenta para proteger nuestra información.
Para la ampliación de información se incluye el enlace de acceso al Portal de Seguridad, que incluye material audiovisual para afianzar el aprendizaje, permitiendo asimilar las recomendaciones sobre seguridad de forma ágil y entretenida. Como complemento, se ha puesto a disposición de los usuarios varias infografías y vídeos tutoriales del Centro Criptológico Nacional (CCN) relativos a buenas prácticas y claves para combatir la desinformación y proteger nuestra cuenta corporativa en redes sociales.
Campaña I “Refuerza tus contraseñas”:
Campaña de 3 semanas de duración (1 a 18 de octubre de 2019), que promueve la construcción de las barreras necesarias que permitan fortalecer la seguridad dentro del Ecosistema de Sistemas de Información que provee la de la Subdirección General de Nuevas Tecnologías de la Justicia. Para ello se mejoraron los mecanismos que controlan la robustez de las contraseñas usadas por los usuarios para el acceso a los sistemas y servicios informáticos que dan servicio a la Administración de Justicia. Asimismo, se ha implantado el doble factor de autenticación (MFA), capa adicional de seguridad para el usuario que le permite añadir una verificación adicional en el proceso de autenticación. Asimismo, se informó de la política y acciones para construir contraseñas seguras y las acciones que deben evitarse para una gestión adecuada dirigida a todos los colectivos implicados: Juez y Magistrados, Letrados de la Administración de Justicia, Cuerpo de Gestión, Tramitación y Auxilio, Fiscalía, Institutos de Medicina Legal, Toxicológico, Gerencias Territoriales y Registro Civil, personal de la Administración de Justicia en las Comunidades Autónomas con competencias transferidas en materia de Justicia que requieran acceso a los sistemas y aplicativos del Ministerio, así como a otros colectivos de profesionales y organismos que interactúen con los sistemas del Ministerio de Justicia.
Campaña II “La Seguridad empieza por ti”:
Campaña de 2 semanas de duración (21 a 31 de octubre de 2019), que tiene como misión concienciar a las personas de que la seguridad informática empieza por uno mismo. Pretende ofrecer al usuario las herramientas necesarias para combatir la desinformación y protegerse de los ciberataques más comunes que recibe a diario a través de redes sociales, correo electrónico, sitios web, llamadas y SMS. La acción gira en torno al eje de la ingeniería social al constituir ésta uno de los métodos más usados para obtener información confidencial y comprometer la seguridad de nuestra información.
Campaña III “Puesto de Trabajo Seguro”
Campaña de 1 semana de duración (18 a 22 de noviembre de 2019) que se crea para promover la construcción de las barreras necesarias que permitan fortalecer la seguridad dentro del ecosistema de la Subdirección General de Nuevas Tecnologías de la Justicia. Facilita las claves y recomendaciones sobre tres puntos:
• Escritorio de Trabajo (Bloqueo del PC y la importancia de tener una mesa despejada, sin documentos confidenciales).
• Navegación (Conocer direcciones de confianza, ficheros descargados, cerrar la sesión, limpiar el historial).
• Correo electrónico, (claves para la utilización del correo electrónico de manera responsable y cauta. Campaña IV “Protege tu portátil y tu móvil con total seguridad”
Campaña de 2 semanas de duración (9 a 20 de diciembre de 2019) con el objetivo de concienciar a los usuarios sobre la importancia de proteger la información y documentos en nuestros dispositivos. Y de esta forma conseguir reflexionar sobre dónde se guarda y la importancia de hacer copias de la misma con precaución y de forma responsable, además de fomentar la cultura de ciberseguridad en la organización, dando las claves y recomendaciones sobre tres puntos: Dispositivos, discos y USB; Custodiar los equipos; Bloqueo mediante pin/otro.
Nuevos Servicios
Desde la Oficina de Seguridad se ha puesto en marcha el Servicio de concienciación en seguridad, que ha favorecido la implementación de una estrategia de concienciación y el diseño del Plan de Concienciación con las siguientes características:
• Se ha puesto el foco en la cultura de prevención y protección combinando acciones de capacitación de los usuarios con ejercicios de ingeniería social y labores de sensibilización para ayudar tanto a personal de la administración de justicia como a los equipos técnicos de la SGNTJ.
• Las actuaciones se han dirigido a concienciar a más de 10.000 usuarios de la Administración de Justicia del territorio gestionado por el Ministerio de Justicia: Órganos Judiciales (Magistrados y Jueces, Letrados de la Administración de Justicia, Gestores, tramitadores y auxilios), Ministerio Fiscal (Fiscales), Personal de los Institutos de Medicina Legal, del Instituto Nacional de Toxicología y Ciencias Forenses, Registro Civil y Gerencias Territoriales.
• Además del enfoque principal en el entorno laboral, también se ha incidido en el entorno personal, ya que los avances tecnológicos de los últimos años implican que los nuevos dispositivos como teléfonos inteligentes y ordenadores, acceso a internet y el uso de redes sociales etc. son ya imprescindibles en nuestra vida personal, siendo preciso concienciar a los usuarios en comportamientos apropiados y conscientes de la seguridad e informar sobre las prácticas recomendadas a adoptar en la actividad diaria. • Se ha dirigido la atención en 4 temas de interés: uso de contraseñas, navegación segura (teletrabajo, uso de WIFI, uso seguro del correo electrónico, redes sociales), puesto de trabajo seguro, y gestión de portátiles, teléfonos móviles y soportes de información.
• Se han establecido los principios de ciberseguridad y los comportamientos a reforzar como recomendaciones para construir contraseñas seguras y las acciones que deben evitarse, cómo detectar posibles engaños en la red, campañas de phising, la importancia de tener una mesa despejada, cómo reconocer direcciones de confianza, combatir la desinformación, etc.
• Se ha diseñado una campaña específica para cada uno de los temas que promueven una cultura de Ciberseguridad en la organización y se ha dedicado un determinado periodo de tiempo para cada una de ellas, lanzándose de forma progresiva para afianzar la adquisición de los principios de ciberseguridad. • Se ha puesto a disposición de los usuarios un total de 33 materiales de múltiples recursos gráficos y elementos interactivos: consejos prácticos y comunicados informativos por correo electrónico, mensajes emergentes en el puesto de usuario, soportes publicitarios (banner) en la plataforma de formación Aula en Línea, píldoras formativas y exhibición de cartelería en las sedes.
Entre los beneficios conseguidos cabe destacar:
• Se ha conseguido un buen nivel de concienciación general en seguridad en los empleados que trabajan con y para la Justicia. No hay que olvidar que nuestros usuarios vienen básicamente de un entorno de trabajo basado en papel. Esta forma de trabajo ha cambiado sustancialmente en los últimos 3 años siendo necesario trabajar de forma constante con ellos, para hacerles conscientes de los riesgos tanto derivados de la tecnología en la oficina como los que puedan tener en su vida personal.
• Asimismo, se les ha involucrado de forma positiva y efectiva en todo el proceso de ciberseguridad para que sean conscientes de que la seguridad no es solo responsabilidad de los departamentos de tecnología, sino de todos y cada uno de los usuarios, para evitar riesgos, mejorar el manejo de la información y desarrollar buenas prácticas en su uso diario tanto en el entorno laboral como personal.
• Se incrementan los estándares de protección de la seguridad, custodia y configuración de los sistemas de información de la que es responsable la SGNTJ. Al respecto, destacar que el grado de riesgo y complejidad del tratamiento de los datos que se realiza tiene una particular importancia, tanto por el volumen de tratamiento de datos, y cuyo origen puede ser muy diverso (documentos de texto, grabaciones de audio, videos,…), como por tratarse, en la mayoría de casos, de datos sensibles y especialmente protegidos.
Conclusiones
Gracias a la ejecución del Plan de Concienciación en Seguridad se ha avanzado en la generación de una cultura de seguridad con respecto al uso responsable de la información y de la necesidad de cambiar hábitos inseguros, mejorando la eficiencia de la gestión de seguridad de la información.