Las personas son la mayor vulnerabilidad de seguridad de todas las organizaciones. He aquí algunos consejos de expertos sobre cómo hacer que la formación en ciberseguridad sea más eficaz y proteger su negocio.
Video: Cómo proteger a su empresa de la ciberdelincuenciaEn el Foro 2019 Midmarket CIO, Brian Hill, de Computer Forensic Services, explicó las mayores amenazas cibernéticas a las que se enfrenta la empresa y cómo los CIOs pueden mantener su organización segura.
Los empleados son el mayor activo de una empresa, pero también su mayor riesgo para la seguridad.
«Si nos fijamos en las violaciones de seguridad en los últimos cinco a siete años, está bastante claro que las personas, ya sea a través de la introducción accidental o intencional de malware, representan el punto más importante de fracaso en términos de vulnerabilidades de seguridad», dijo Eddie Schwartz, presidente del Consejo Asesor de Seguridad Cibernética de ISACA.
Más información sobre ciberseguridad
En el pasado, las compañías podían capacitar a sus empleados una vez al año sobre las mejores prácticas de seguridad, dijo Wesley Simpson, COO de (ISC)2. «La mayoría de las organizaciones implementan una capacitación anual y piensan que es una y ya está», dijo Simpson. «Eso no es suficiente.»
En cambio, Simpson dijo que las organizaciones deben hacer parches a las personas: de manera similar a la actualización de hardware o sistemas operativos, es necesario actualizar constantemente a los empleados con las últimas vulnerabilidades de seguridad y capacitarlos en cómo reconocerlas y evitarlas.
VER: Política de sensibilización y formación en materia de seguridad (Tech Pro Research)
«Su gente son sus activos, y usted necesita invertir en ellos continuamente», dijo Simpson. «Si no se repara a tu gente continuamente, siempre vas a tener vulnerabilidades.» Incluso en una compañía con cientos de empleados, vale la pena capacitarlos en lugar de asumir el riesgo de una brecha, agregó.
Sin embargo, es importante sentir empatía con sus empleados también, dijo el analista de Forrester Jeff Pollard. «La gente representa una gran superficie de ataque potencial para cada organización», dijo Pollard. «La razón por la que no me gusta pensar en las personas como una vulnerabilidad de seguridad es que fomenta una mentalidad de culpar a la víctima. Los equipos de seguridad existen para proteger la información, las personas y el negocio».
Cuando un usuario comete un error y hace clic en un correo electrónico que causa una infección, a menudo pensamos que esa fue la causa, señaló Pollard. Pero ese no es realmente el caso – la organización ya estaba bajo ataque cuando el atacante envió el correo electrónico, antes de que se abriera. También significa que todos los demás controles de seguridad en el camino de ese ataque fallaron, agregó.
Aquí hay 10 consejos para ayudar a todos los empleados a entender el riesgo cibernético y las mejores prácticas.
1. Realizar ejercicios de entrenamiento de «fuego vivo
El mejor entrenamiento hoy en día es el de «fuego vivo», en el que los usuarios se someten a un ataque simulado específico de su trabajo, dijo Schwartz.
«Tal vez se conviertan en víctimas de un ataque que en realidad está orquestado por un departamento de seguridad o un proveedor externo, y luego se les pide que entiendan las lecciones que han aprendido de ese ataque, y las implicaciones en el negocio, en sus vidas personales y en cómo podrían haberlas evitado», dijo Schwartz. «Y luego se les pide que compartan esa experiencia con su grupo de compañeros.»
ISC(2) realiza pruebas regulares de phishing, en las que el equipo de TI envía un correo electrónico de phishing falso a todos los empleados de la organización y mide cuántas personas hacen clic en él, dijo Simpson. Luego, pueden desglosar esos datos por departamentos y tipos de mensajes, para adaptar la capacitación a las áreas problemáticas. También permite a la empresa mostrar progresión.
2. Comprar desde el principio
El CISO necesita hacer que el resto de los C-suite sean conscientes de las ramificaciones de una violación potencial, dijo Simpson. «Típicamente, para tener un buen plan cibernético, hay que tener partidas en el presupuesto para las personas, el hardware o el software, año tras año», dijo. «Eso significa conseguir que el Director Financiero, el Director General y el Director Ejecutivo se unan a nosotros.»
VER: ConsejoTecnológico de Seguridad de la Información.com Academy)
3. Iniciar la concienciación cibernética durante el proceso de incorporación
«La primera vez que los empleados entran por la puerta, empiezan a construir la mentalidad a medida que todos los nuevos empleados pasan por el entrenamiento de seguridad desde el primer día», dijo Simpson. «De esa manera, desde el principio, se enteran de que el ciberespacio es importante y de que van a recibir formación continua».
4. Realizar evaluaciones
No tenga miedo de realizar evaluaciones tanto de los empleados como de los sistemas para averiguar cuán vulnerable es su organización a los ataques, dijo Simpson. «Hasta que no lo haga, no sabrá lo mala o buena que puede ser su postura de seguridad», agregó.
5. Comunicar
Crear un plan sobre la mejor manera de comunicar la información de ciberseguridad a todos los empleados, dijo Simpson, para conseguir que todos los departamentos se incorporen con la formación y el aprendizaje de las mejores prácticas. «Ayudará a derribar los silos: crea alineación, y la gente trabaja en ello junta», dijo Simpson.
6. Crear un plan formal
Los equipos de TI deben desarrollar un plan formal y documentado para la capacitación en ciberseguridad que se revise y actualice con frecuencia con la información más reciente sobre vectores de ataque y otros riesgos, dijo Simpson.
7. Designar defensores de la cultura de la ciberseguridad
Los líderes tecnológicos deben nombrar a un defensor de la cultura de la ciberseguridad en cada departamento de su organización, dijo Simpson. Estos defensores pueden actuar como una extensión del CISO y mantener a los empleados entrenados y motivados. «Esto es algo que a menudo se pasa por alto: utilizar los recursos que ya tiene en la empresa más allá del equipo de TI», añadió.
8. Ofrecer formación continua
La capacitación en ciberseguridad debe continuar durante todo el año, en todos los niveles de la organización, específica para el trabajo de cada empleado, dijo Schwartz. «Si usted es un usuario final, tiene que haber capacitación asociada con los tipos de ataques que podría recibir, por ejemplo, ataques a su correo electrónico o ataques orientados al tipo de trabajo que tiene», dijo Schwartz. «Si trabaja en TI, los ataques pueden ser de naturaleza más técnica en términos de los ataques que pueda estar viendo.
«Se trata realmente de comprender cómo sigue evolucionando el panorama de las amenazas en relación con estos ataques y de mantener actualizada la formación técnica en seguridad», dijo Schwartz.
VEA: Por qué los CEOs y cafeterías que viajan son los mayores riesgos para la seguridad de su empresa.
9. Destacar la importancia de la seguridad en el trabajo y en el hogar
Los líderes tecnológicos deben ayudar a los empleados a comprender la importancia de la ciberhigiene no sólo en el lugar de trabajo, sino también en el hogar, dijo Pollard. Enseñar a los usuarios sobre la privacidad, la seguridad y cómo las lecciones aprendidas en el trabajo pueden aplicarse en casa y en sus vidas personales para darles un»qué hay para mí» que puedan aplicar todo el tiempo, no sólo en el trabajo», añadió.
10. Recompensar a los empleados
Recompense a los usuarios que encuentren correos electrónicos maliciosos y comparta historias sobre cómo los usuarios ayudaron a frustrar los problemas de seguridad, dijo Pollard. Los líderes de TI también deben identificarse con los empleados que cometen errores, dijo Pollard: Muchos empleados envían o reciben cientos de correos electrónicos al día, por lo que pedirles que eviten uno de ellos puede ser difícil.
Aunque estos consejos de capacitación pueden ayudar, la educación no es una solución perfecta, dijo Schwartz. «Incluso en los escenarios educativos más avanzados y actuales, todavía hay un porcentaje de ataques que se superarán, e incluso en los programas educativos más esclarecedores y útiles, todavía hay una tasa de éxito que oscila entre el 4 y el 6 por ciento, incluso después de que se haya completado toda la capacitación», dijo. «Por lo tanto, el entrenamiento es sólo un aspecto de la defensa del medio ambiente de los ataques avanzados.»
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves