La RNP fue llamada para una misión especial dentro del Ministerio de Defensa (MD) en 2022: promover una campaña de concientización en seguridad de la información para los empleados de la carpeta que realmente generase compromiso y mayor atención en relación a los riesgos a los que están expuestos, no sólo en la rutina de trabajo, sino también en los diversos momentos de uso de la tecnología en su vida privada.

En cuanto a la RNP, misión dada es misión cumplida, el equipo de DAGSOL responsable de la cooperación, junto con los expertos en Seguridad de la información, orquestaron la ejecución de la iniciativa y el resultado fue tan positivo que los insumos obtenidos por la campaña ya forman parte de una especie de plan de acción para mitigar los riesgos observados en relación con los procesos internos de la MD.

La gamificación como telón de fondo

Desde el principio, el Ministerio destacó la necesidad de contratar una plataforma que trabajara con gamificación para potenciar el compromiso de los participantes. Tras muchas investigaciones por parte de la RNP, la solución de Hacker Rangers resultó ser la que cumplía todos los requisitos preestablecidos, lo que se comprobó con una Prueba de Concepto (POC las siglas en inglés) celebrada en mayo.

En agosto, entre los días 8 y 12, se celebró una semana de pruebas en el Núcleo de Seguridad de la Información (NUSIC), que sirvió para validar los contenidos puestos a disposición y ajustar algunas indicaciones para la campaña más amplia del mismo mes.

“La campaña de concientización sobre seguridad de la información y privacidad, realizada en colaboración con la RNP, ha sido un éxito. La elección de la modalidad de gamificación, con el uso de la plataforma Hacker Rangers, innovó la forma de trasmitir conocimiento a los servicios y empleados del Ministerio de Defensa. La plataforma nos ha permitido difundir la cultura de la SI y la privacidad entre los usuarios a través de una competición lúdica y divertida, además de proporcionar a los concursantes interacción y colaboración con el área de Seguridad de TI de la organización. Por medio de las ciberactitudes, se informaba de los riesgos, se identificaban y era posible aumentar la seguridad aplicada a nuestra red”, afirmó el coordinador de NUSIC/MD, Daniel de Souza.

Cinco semanas de contenidos y compromiso

Del día 22/8 al 23/9, los empleados del Departamento de Tecnología de la Información y la Comunicación (DETIC), desde becarios hasta servidores con muchos años de antigüedad, pasando por trabajadores subcontratados, participaron en el concurso impregnado de mucho contenido educativo sobre seguridad de la información. Durante este periodo, se impartieron 25 cursos, se realizaron 25 cuestionarios, se lanzaron seis phishings (para poner a prueba la atención de los participantes, con pérdida de puntos para los que cayeran) y se propusieron 4 desafíos.

Además de la disputa en sí, Hacker Rangers ofrece un espacio llamado Ciberactitudes, como si fuera un canal de contacto directo con la plataforma para que los participantes informen de acciones que pueden hacer ganar puntos, por ejemplo: informe de riesgos, ayuda a los compañeros y feedbacks.

Este canal fue precisamente la cereza del postre de la campaña. Con el compromiso en la cima, los empleados compartieron varias informaciones relacionadas con los riesgos, algunos de los cuales no se habían mapeado antes, como, por ejemplo, con el acceso físico al predio del Ministerio, que se comparte con otro organismo y, por tanto, presenta vulnerabilidades y la necesidad de actualizar la Política de Seguridad de la Información utilizada internamente.

“La parte más interesante es que la campaña superó los límites del ambiente corporativo y tocó la puerta de la casa de la gente. Y eso fue fantástico, porque una campaña de seguridad de la información que se limita al profesional, en el quehacer diario corporativo, probablemente no va a interesar al usuario y, de hecho, no va a concienciar. No hay como hacer que él tenga una actitud dentro de la institución y otra diferente fuera de ella. Entonces, trajimos algunos temas como seguridad del WhatsApp, redes sociales en general, tarjeta virtual, que llegase en efecto para el usuario final y fuimos recibiendo algunos elogios muy buenos. Esas cosas muestran que conseguimos transmitir la información que queríamos y dar esa alegría al corazón ver que no fue solo una campaña de concienciación más, ya que contó con una participación verdadera”, cuenta la analista de Seguridad de la Información de la RNP Caroline Santos, responsable por planificar y seguir toda la campaña.

Vea los números de la campaña y testimonios de participantes