Aprendizaje y descubrimiento 6min de Leitura - 13 de julio de 2022

Concientización de seguridad digital: ¿Qué enseñar a los empleados exactamente?

Conscientização em segurança digital

This post is also available in: Português Español

La Concientización en la seguridad digital se trata esencialmente de su actitud hacia la seguridad, la privacidad y las amenazas cibernéticas en el trabajo y en el hogar. Por lo tanto, es una habilidad que se aprende y que se puede mejorar con el tiempo.

En cualquier empresa, crear conciencia sobre el tema es un proceso continuo que comienza con la capacitación de los empleados en los principios básicos de seguridad y las amenazas, y continúa con ejercicios prácticos sobre el asunto. El objetivo es crear un entorno en el que las personas se sientan capacitadas para ser participantes activos de su propia seguridad, dejando de lado el estigma de víctimas fáciles frente al ciberdelito sofisticado.

En este contexto, un programa de concientización sobre seguridad bien planificado comienza con una comprensión clara de las amenazas, las metas, los objetivos, el público y los recursos disponibles. La cultura organizacional también juega un papel importante en la determinación de lo que es razonable y realista para la empresa, teniendo en cuenta los perfiles y el grado de educación de los empleados.

A medida que leyes de protección de datos se vuelven cada vez más usadas, muchas empresas buscan capacitación en concientización sobre seguridad cibernética como un medio para garantizar que su personal tenga el nivel adecuado de comprensión de la protección de datos para cumplir con estas regulaciones.

Efectividad de la concientización sobre la seguridad digital

Ya está bastante claro que el entrenamiento en Concientización sobre ciberseguridad es muy eficaz. Después de todo, es una gran ayuda en la resiliencia y en la respuesta a los ataques. Solo comprenda que hay una gran diferencia entre cómo responde a una intrusión si solo una persona hace clic en un enlace de phishing versus 100 personas. En otras palabras, el menor de los males.

Y no se trata solo de hacer clic; también se trata de informar. Los empleados pueden ser la primera línea de defensa y el personal bien capacitado informará rápidamente una amenaza potencial. Cuanto antes detecte el peligro, mejor podrá afrontarlo. Después de todo, la seguridad digital va más allá de la tecnología y abarca personas y procesos.

Dicho esto, es importante establecer expectativas y objetivos claros mientras se mide continuamente la eficacia del programa, lo que incluye medir el compromiso y la satisfacción general del personal.

Frecuencia

Los debates sobre la frecuencia con la que entrenar son interminables. Motivo: no es una ciencia exacta, ya que depende de las condiciones de cada empresa.

Sin embargo, una buena salida es realizar pequeños entrenamientos de forma continua. De esta manera, es posible hacer que la información esté “fresca” en la mente de los empleados, sin sobrecargarlos con demasiados datos a la vez.

También hay espacio para entrenamientos más comprimidos, con intervalos más largos, al menos una vez al año, preferiblemente dentro de los primeros tres meses, para actualizar a los empleados sobre las últimas amenazas virtuales.

Junto con el contenido didáctico, es importante contar con mecanismos para evaluar el aprendizaje y la evolución del equipo. Existen plataformas que ayudan en todo el proceso de formación, desde establecer una cronología hasta evaluar el aprendizaje.

Implementar una cultura de seguridad en una empresa es una iniciativa que normalmente viene del equipo de tecnología, sin embargo, es importante involucrar a otros sectores como RRHH y Marketing, para apoyar el proceso. Después de todo, gran parte de la capacitación se trata de comunicación y compromiso. Estos equipos adicionales pueden ayudar con materiales adicionales que ayuden con la adherencia.

Qué abordar

  • 1. Phishing, Spear Phishing e Ingeniería Social
  • El phishing no solo aparece en los correos electrónicos, está en todas partes: mensajes de texto, SMS, anuncios, Google Maps, redes sociales, juegos, App Store e incluso en sitios web colaborativos. Por lo tanto, el phishing es un tema central en cualquier capacitación de concientización sobre seguridad. La mejor manera de evitar este tipo de estafas es saber Cuáles son estas estafas, cómo funcionan y cómo detenerlas. Recuerde: el phishing es muy astuto y sigue cambiando para volver con nuevos disfraces. Su objetivo es atacar sin ser notado.

  • 2. Autenticación de múltiples factores
  • Todo el mundo, literalmente, necesita saber acerca de la autenticación de múltiples factores (MFA). La razón es que esto puede, sin exagerar, salvar a una empresa de la quiebra. Si no ha habilitado MFA y su cuenta ha sido pirateada, los ciberdelincuentes pueden habilitarlo para evitar que intente restablecer su contraseña y recuperar su cuenta. Aun así, siempre hay quienes todavía no utilizan este recurso, y estas son las personas que más necesitan Concientización.

  • 3. Contraseña segura
  • Parece mentira, pero “123456” sigue siendo una de las contraseñas más comunes. Una de las razones es que muchas personas prefieren la comodidad a la seguridad. Mostrarles cómo crear contraseñas seguras que también sean fáciles de recordar o administrar sigue siendo un tema central de la conciencia de seguridad.

  • 4. Ransomware
  • No existe una solución definitiva para el ransomware. Sin embargo, se puede reducir significativamente el riesgo enseñando al equipo a identificar un posible ataque de esta naturaleza. En caso de ser atacado por ransomware, es igualmente importante estar preparado y tener un plan sobre cómo proceder, asegurándose de que los empleados sepan cómo identificar el ataque lo antes posible y no dejen espacios para que aumente su daño.

  • 5. Shadow IT
  • Shadow IT es un término que se refiere a la forma en que los empleados usan la tecnología sin la aprobación del equipo de tecnología y la gerencia. Shadow en inglés significa “sombra”, es decir, cuando los empleados utilizan recursos no autorizados.

    Sin embargo, existen muchos complementos, widgets y otras herramientas auxiliares que nos espían sin que nos demos cuenta. Por ejemplo, un corrector gramatical: para corregir la ortografía, necesitan saber todo lo que escribimos para poder actuar correctamente. Algunas de estas herramientas son como registradores de teclas, que envían todo lo que escribes a la nube. Su equipo puede estar enviando datos muy confidenciales a un tercero, lo que no solo es un riesgo de seguridad sino también un riesgo de cumplimiento, algo que el RGPD tiene en cuenta.

  • 6. Wi-Fi público
  • WiFi público básicamente significa compartir el mismo Wi-fi con extraños. Después de todo, es más fácil para otra persona obtener su información personal si tiene acceso a la misma red que usted. Este ha sido un tema popular durante muchos años. Hoy en día, con tanta gente trabajando desde casa, trabajando en cafés y viajando, es aún más relevante, y no puede faltar en la capacitación de concientización sobre seguridad.

  • 7. Fraude Eletrônico
  • Cualquiera que sea engañado para transferir dinero a una cuenta bancaria falsa puede estar seguro de que el banco no podrá ayudar en absoluto. Después de todo, fue la persona quien realizó la acción de transferir el dinero; no fue un ciberdelincuente quien pirateó la cuenta y tomó lo que pudo de allí. Fraudes como este están afectando a todos, no solo a las grandes empresas. Cada año, se pierden miles de millones en este tipo de estafa. Desafortunadamente, constantemente surgen nuevas formas de engañar a las personas a través de medios virtuales, por lo que, naturalmente, es un tema que debe permanecer en el curso.

  • 8. Seguridad móvil
  • ¿Puedes confiar ciegamente en la App Store de Apple el 100% del tiempo? ¿O en Google Play? Desafortunadamente, las aplicaciones maliciosas también se encuentran en estas tiendas de aplicaciones. Por lo tanto, saber qué hacer antes y después de descargar una aplicación puede convertirse en un hábito.

    Los ciberdelincuentes también envían mensajes de texto fraudulentos (también conocidos como smishing) porque es muy efectivo. Estas estafas son muy astutas y actúan a escondidas: los estafadores de Internet hacen todo lo posible para lanzar el phishing. Después de todo, este es su «trabajo», y muy rara vez se toman vacaciones.

  • 9. Dispositivos Externos y Seguridad Física
  • ¿Qué impide que un ciberdelincuente trabaje temporalmente como empleado de un hotel y use un dispositivo USB para instalar malware en su computadora portátil? Es algo que está lejos de una escena de película y, sin embargo, está basado en la realidad. Sea como sea, es fundamental que haya un tema sobre el cuidado de los equipos móviles, especialmente para los vendedores e instaladores, ya que sus funciones implican trabajar en el campo en muchos lugares. Pueden contraer un virus externamente y traerlo dentro de la empresa tan pronto como regresen a la sede, o incluso cuando envíen algo por correo electrónico a los empleados en la sede.

  • 10. Administradores

A menudo, al instalar algo, las personas simplemente aceptan los valores predeterminados y hacen clic en el botón «siguiente» o «ok» sin leer completamente el contenido. Algunos de los peores ataques resultan del uso de configuraciones predeterminadas, como el nombre de usuario y la contraseña «admin». Esto sucede por falta de conocimiento o descuido en la comunicación entre el desarrollador de la aplicación, el administrador de TI y el equipo de seguridad. ¿Quién es responsable de proteger el servidor o la aplicación? La ciberseguridad debe ser responsabilidad de todos, y de eso se trata la conciencia de seguridad.

This post is also available in: Português Español