This post is also available in: Português Español
Hablar de Security Awareness (conciencia de seguridad en inglés) es hablar de entrenamiento. Ya que, se trata de orientar a los empleados sobre cómo proteger los sistemas informáticos de una empresa, así como sus datos y otros activos, de las amenazas procedentes de Internet.
Para ello, las empresas deben recalcar a los empleados la importancia de mantener la seguridad en la empresa, proporcionándoles una visión general de las políticas y procedimientos corporativos que abordan cómo trabajar de forma segura, y a quién deben dirigirse si descubren una amenaza potencial.
Prevenir estos incidentes es clave porque un ciberataque exitoso puede dañar financieramente a una empresa, sin mencionar las pérdidas ocasionadas a la reputación de la marca en el mercado.
A esto hay que añadir el hecho de que el volumen de ataques a las organizaciones sigue creciendo. El informe 2021 de la multinacional Verizon sobre investigaciones de violaciones de datos, estudió más de 29.000 incidentes e informó un total de 5.258 violaciones de datos el año pasado, una cifra muy superior a las 3.950 violaciones confirmadas entre los 32.000 incidentes que se produjeron en 2020.
Además, el Internet Crime Complaint Center también señaló un aumento de los incidentes cibernéticos en su informe más reciente. Los ataques de phishing pasaron de 114.702 en 2019 a 241.342 en 2020, junto con 19.369 denuncias de compromiso del correo electrónico empresarial y de cuentas de correo electrónico registradas – con pérdidas estimadas en más de 1.800 millones de dólares.
Son cifras que llevan a pensar que no es probable que disminuya la cantidad de ciberataques a empresas. Además, varios expertos en ciberseguridad coinciden en general en que los seres humanos suelen ser la causa principal de la mayoría de los incidentes. Muchos citan un informe de IBM Security Services, llamado «Cyber Security Intelligence Index», que descubrió que el error humano era un factor crucial en el 95% de los incidentes de seguridad.
A pesar de ello, se puede revertir el panorama. Las empresas pueden ayudar a prevenir incidentes, o a disminuir el impacto de los ataques exitosos, educando a sus empleados sobre cómo identificar los riesgos de ciberseguridad, evitar posibles ataques y responder adecuadamente a un evento cibernético real.
¿Qué tratar en el Security Awareness?
Un programa eficaz de capacitación en ciberseguridad debe incluir a trabajadores con diversos grados de aptitud técnica y conocimientos de seguridad con estilos de aprendizaje distintos.
Por lo tanto, tienen que ser multifacéticos, con un conjunto de lecciones y oportunidades de aprendizaje para involucrar a todos en la empresa, independientemente de sus niveles de conocimiento. Además, la formación debe ofrecer material adaptado a las necesidades de la función de cada empleado e incluso material adaptado a terceros, como socios comerciales y contratistas, para garantizar que no pongan en peligro a la organización.
Los contenidos educativos deben abarcar desde el material escrito hasta el aprendizaje interactivo en línea, de modo que los trabajadores puedan acceder a la información en los formatos que mejor aprenden. El contenido debe incluir lecciones con diferentes grados de complejidad, con el objetivo de que el empleado acceda a la información más relevante según sus funciones.
La supervisión y la comunicación continuas deben hacer que los empleados conozcan las políticas de ciberseguridad de la empresa, proporcionando breves actualizaciones sobre cómo identificar y evitar los riesgos y las infracciones de seguridad, así cómo hacer frente a posibles problemas de seguridad y advertir de cualquier amenaza.
También puede invertir en pruebas mediante ataques simulados, como intentos de phishing, encuestas y otras evaluaciones, que comprueban el grado de cumplimiento de las políticas de ciberseguridad de la empresa por parte de la plantilla, e identifican a los trabajadores que no siguen las mejores prácticas de ciberseguridad.
Por lo tanto, ya hay consenso en que un buen security awareness en materia de seguridad suele abordar los siguientes puntos:
- Educación formal, como lecciones estructuradas y enseñanza obligatoria;
- Oportunidades de aprendizaje informativo, como correos electrónicos semanales con consejos, actualizaciones de políticas y noticias de ciberseguridad;
- Aplicación de pruebas, en la que los empleados tienen que trabajar a través de simulaciones y escenarios para poner a prueba su comprensión, así como reforzar su formación para hacer frente a los desafíos de seguridad cibernética del mundo real;
- Identifique y premiar a los trabajadores más capacitados para entender la ciberseguridad y que estén dispuestos a enseñar y promover las mejores prácticas de protección virtual entre sus colegas.
Cómo hacer un Security Awareness
El Director de Seguridad de la Información (CISO, por sus siglas en inglés) y el equipo de ciberseguridad de la empresa, u otros profesionales de la tecnología, deben ser los líderes en el diseño de un programa de formación de concienciación sobre la seguridad. También deben contar con el apoyo de otros miembros de la empresa para comprender los riesgos más importantes que debe abordar el programa propuesto.
Los responsables de los programas deben colaborar con el departamento de recursos humanos (RRHH), que suele dirigir la formación y el desarrollo en el lugar de trabajo, para garantizar que la empresa cuente con un programa completo y eficaz.
Los trabajadores que participen en el desarrollo de los cursos deben incorporar las amenazas específicas a las que se enfrenta su sector y su organización cuando desarrollen un programa de formación, ya que éstas pueden variar de un departamento a otro.
Por lo tanto, el programa debe ser amplio, comenzando con lecciones más sencillas y progresando hacia contenidos más avanzados. También debe incluir un proceso de evaluación que ayude a las empresas a identificar el nivel de concienciación sobre ciberseguridad de cada trabajador.
Además, los responsables de la organización deben tener en cuenta que las distintas funciones dentro de la empresa se enfrentan a diferentes riesgos y amenazas. Por citar sólo un ejemplo, es probable que un empleado de nivel inicial con acceso limitado a los datos sensibles y a los principales sistemas de TI se encuentre con menos situaciones de riesgo que un director senior que trabaje con información sensible o un empleado senior de TI autorizado a manejar las principales tecnologías que hacen posible el negocio.
Muchas empresas optan por externalizar la mayor parte o la totalidad de la formación. En cualquier caso, los líderes de la organización deben disponer de mecanismos para medir si la formación es eficaz tanto a nivel de la empresa como de los empleados.
Con cuánta frecuencia hacerlo
Especialistas en el área afirman que el Security Awareness debe ser continuo dentro de la empresa. De este modo, es posible crear una mentalidad de seguridad constante junto a los empleados, ayudándoles a permanecer vigilantes en todo momento. Esto ofrece a las empresas excelentes oportunidades para educar a los trabajadores sobre las nuevas políticas y procedimientos, así como para alertarlos sobre las nuevas amenazas a las que pueden enfrentarse.
En este contexto, las empresas deben establecer un cronograma para determinar qué entrenamiento debe darse a qué empleados, y con qué frecuencia debe darse el entrenamiento.
El entrenamiento de concientización de seguridad debe ocurrir cuando un empleado nuevo ingresa a la empresa, como parte de un proceso de integración. Muchos especialistas también defienden la existencia de que por lo menos se realice un proceso de certificación anual para los trabajadores, con una combinación de clases formales e informales disponibles durante todo el año.
Cuando las evaluaciones o las pruebas indiquen un fallo en las mejores prácticas, las empresas deberían considerar el entrenamiento obligatorio para todos, o al menos para los trabajadores con las puntuaciones más bajas. Así, muchas empresas optan por usar un sistema de gestión de aprendizaje que haga que el contenido de entrenamiento sea fácil y esté disponible para los trabajadores, para que estén más capacitados para combatir los crímenes virtuales.
This post is also available in: Português Español