Aprenda cómo reforzar las defensas cibernéticas de su empresa mediante la formación de los empleados sobre políticas y procedimientos de ciberseguridad, gestión de contraseñas y suplantación de identidad (phishing.
Cuando se trata de ciberseguridad, parece que los humanos somos el eslabón débil de la cadena; esa opinión, lamentablemente, está respaldada por estudio tras estudio. Por ejemplo, Shred-it, una conocida empresa de seguridad de la información, revela en su informe sobre el estado de la industria, que..:
- Casi la mitad de los ejecutivos de las suites y propietarios de pequeñas empresas participantes informaron que el error humano o la pérdida accidental precipitaron la violación de datos de la empresa.
- Uno de cada cuatro ejecutivos de C-suite y uno de cada cinco propietarios de pequeñas empresas, que participaron en la encuesta, informaron que un error humano o una pérdida accidental por parte de un proveedor externo provocó que su organización sufriera una violación de datos.
En un comunicado de prensa sobre el informe, Monu Kalsi, vicepresidente de Shred-it, dice: «Los resultados del estudio muestran claramente que los hábitos aparentemente pequeños[de los empleados] pueden suponer un gran riesgo para la seguridad y se suman a los grandes riesgos financieros, de reputación y legales».
VER: Política de sensibilización y formación en materia de seguridad (Tech Pro Research)
La mayoría de las soluciones propuestas sugieren que los trabajadores necesitan formación, lo que parece correcto, pero ¿qué significa esto en el entorno de trabajo digital actual, en el que mantenerse al día con las tácticas de los cibercriminales no es nada sencillo? Kalsi sugiere:
De vuelta a lo básico: Formación en ciberseguridad para los empleados
Artículo de la revista Business Matters Tres consejos de ciberseguridad para ayudar a formar a sus empleados profundizan en lo que Kalsi está haciendo referencia cuando se trata de formación de empleados. Los autores quieren que la dirección de la empresa dé un paso más en la formación, que el material de formación sea comprensible y que los empleados comprendan lo que se les pide.
Políticas y procedimientos de ciberseguridad
No es la ciencia de los cohetes: si los empleados no son conscientes de sus obligaciones con respecto a las políticas y procedimientos pertinentes, es de esperar que se produzcan eventos de ciberseguridad. «La cuestión fundamental aquí es que las políticas y los procedimientos nunca se enseñan, muestran o proporcionan activamente en el contexto», sugieren los autores.
VER: Política de seguridad de la información (Tech Pro Research)
Para empeorar las cosas, las directrices de la empresa suelen ser complejas, confusas o tan genéricas que a los empleados les resulta difícil aplicarlas a sus circunstancias específicas.
La solución de los autores implica lo siguiente:
- Los responsables deben revisar las políticas y procedimientos de ciberseguridad de la empresa, asegurándose de que sean comprensibles, aplicables y actualizados.
- Es necesario explicar en detalle cómo se utiliza el equipo digital personal o de propiedad de la empresa; de lo contrario, será difícil proteger la infraestructura digital de la empresa.
- Pregúntele a cualquier profesor, «decir» es lo último que funciona cuando se trata de explicar una materia compleja: lo que sí funciona es mostrar a los empleados lo que hay que hacer.
Administración de contraseñas
Los expertos en seguridad han estado tratando de deshacerse de las contraseñas durante mucho tiempo, sin embargo, las contraseñas todavía se utilizan y están protegiendo los activos vitales de hardware y software. Sabiendo eso, los empleadores y los empleados deben llegar a un acuerdo sobre lo que es una situación viable y segura.
VER: Política de gestión de contraseñas (Tech Pro Research)
Los autores del artículo sugieren que la dirección de la empresa debería implementar herramientas avanzadas de gestión de contraseñas y recompensar a los empleados que sigan la política de la empresa. Al mismo tiempo, los empleados deben aceptar la responsabilidad, desde la suite C hasta las filas.
«En cada etapa deben sentarse con los empleados y explicarles las ventajas empresariales de la seguridad integral de contraseñas y de una manera que los empleados entiendan», explican los autores del artículo de Business Matters. «Proporcionar ejemplos del mundo real como el robo de identidad y el robo de datos, por ejemplo, puede ayudar a que los empleados se incorporen a la empresa.»
Educar a los usuarios sobre la suplantación de identidad (phishing)
El fraude existe desde hace mucho tiempo, y los estafadores se están volviendo expertos en el phishing de versiones digitales. Dado que se dirige directamente a los seres humanos, la tecnología de ciberseguridad es, en su mayor parte, ineficaz. «El reto consiste en educar a los empleados sobre la suplantación de identidad para que puedan identificar un ataque de suplantación de identidad, especialmente si están utilizando un dispositivo de punto final como un teléfono móvil o un portátil, y seguir adelante con la presentación de informes», señalan los autores de Business Matters. El artículo continúa sugiriendo que el personal de seguridad de una empresa debe «mostrar/explicar» cómo podría ser un ataque de phishing y cubrir lo siguiente.
Dirección de correo electrónico: Es posible detectar automáticamente direcciones de correo electrónico fraudulentas «conocidas», pero los empleados deben sospechar de direcciones de correo electrónico desconocidas o inusuales.
Saludos en el correo electrónico: Los correos electrónicos de phishing suelen utilizar saludos genéricos: sospeche de los correos electrónicos con saludos no personales y le piden datos confidenciales de la empresa o información de identificación personal (IIP.
Gramática y estilo: Un delato muerto serían los correos electrónicos con errores ortográficos o gramaticales: utilice un método fuera de banda para comprobar la legitimidad.
Destino del enlace: Los expertos en phishing recomiendan precaución cuando hay enlaces activos en un correo electrónico (URL falsificada): compruebe la precisión del destino antes de hacer clic en el enlace.
Acción inmediata: Las decisiones tomadas apresuradamente generalmente terminan siendo lamentadas; los ciberdelincuentes confían en ello, así que no les des esa ventaja.
Imágenes y logotipos: No base la autenticidad en logotipos o imágenes; es muy fácil insertar contenido visual en correos electrónicos de phishing, sitios web maliciosos y documentos electrónicos falsificados.
VER: Phishing y spearphishing: Una hoja de trucos para profesionales de negocios (ConsejoTecnologico.com)
Reflexión final
Mostrar en lugar de contar y conseguir la participación de los empleados son formas baratas, lógicas y eficientes para que los propietarios de negocios aumenten la ciberseguridad de su empresa. El artículo termina con una nota positiva: «La formación regular en ciberseguridad y la revisión de las políticas y procedimientos ayudarán a construir una cultura de ciberseguridad dentro de una empresa».
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves