Seguridad

Cómo hacer que tus empleados se preocupen por la ciberseguridad: 10 consejos

Los empleados son el mayor activo de una empresa, así como su mayor riesgo de seguridad.

«Si observamos las brechas de seguridad en los últimos cinco a siete años, está claro que las personas, ya sea a través de la introducción accidental o intencional de malware, representan el punto de falla más significativo en términos de brechas de seguridad», dijo Eddie Schwartz, presidente ISACAdel Comité Asesor de Ciberseguridad.

En el pasado, las empresas podían capacitar a los empleados sobre las mejores prácticas de seguridad una vez al año, dijo Wesley Simpson, director de operaciones de la empresa. (CSI)2«La mayoría de las organizaciones lanzan una capacitación anual y creen que ya está hecha», dijo Simpson. «Eso no es suficiente.»

En cambio, dijo Simpson, las organizaciones deben aplicar parches humanos: de manera similar a la actualización de hardware o sistemas operativos, debe mantener a los empleados actualizados sobre las últimas vulnerabilidades de seguridad y capacitarlos sobre cómo identificarlas y evitarlas.

Consulte: Política de capacitación y concienciación sobre seguridad (Tech Pro Research)

«Tus empleados son tus activos y necesitas invertir continuamente en ellos», dijo Simpson. «Si no está parcheando constantemente a su gente, siempre tendrá vulnerabilidades». Incluso en empresas con cientos de empleados, vale la pena capacitarlos en lugar de arriesgarse a una infracción, agregó.

Sin embargo, la empatía por los empleados también es importante, dice el analista de Forrester Jeff Pollard. «Las personas son una gran superficie de ataque potencial para todas las organizaciones», dijo Pollard. «La razón por la que no me gusta ver a las personas como infracciones de seguridad es que fomenta una mentalidad de culpar a las víctimas. Los equipos de seguridad existen para proteger la información, las personas y las empresas».

LEER  Synack: las agencias federales y los bancos realizaron la mayoría de las mejoras en ciberseguridad

Cuando un usuario comete un error y hace clic en un correo electrónico que conduce a una infección, generalmente asumimos que es por eso, dijo Pollard. Pero ese no es el caso: cuando el atacante envía el correo electrónico, la organización ya está siendo atacada y el correo electrónico no se ha abierto. También significa que todos los demás controles de seguridad en esa ruta de ataque han fallado, agregó.

Aquí hay 10 consejos para ayudar a todos los empleados a comprender los riesgos cibernéticos y las mejores prácticas.

1. Llevar a cabo un entrenamiento de «fuego real»

El mejor entrenamiento hoy en día, dijo Schwartz, es el entrenamiento de «fuego real», en el que los usuarios se someten a ataques simulados específicos para su trabajo.

«Tal vez fueron víctimas de un ataque que en realidad fue orquestado por los servicios de seguridad o un proveedor externo, y luego se les pidió que comprendieran las lecciones que aprendieron de este ataque y el impacto en los negocios y la vida personal y cómo lo previnieron». dijo Schwartz. «Luego se les pide que compartan esa experiencia con sus compañeros».

Simpson dijo que ISC(2) realiza pruebas de phishing periódicas, en las que el equipo de TI envía un correo electrónico de phishing falso a todos los empleados de la organización y mide cuántas personas hacen clic en él. Luego pueden desglosar estos datos por departamento y tipo de mensaje para adaptar la capacitación a las áreas problemáticas. También permite a las empresas demostrar el progreso.

2. Consigue la aceptación desde arriba

Los CISO deben educar a otros ejecutivos sobre las consecuencias de una posible infracción, dijo Simpson. «Por lo general, para tener un buen plan de red, debe agregar elementos año tras año a su presupuesto para personas, hardware o software», dijo. «Eso significa incorporar a los CFO, CIO y CEO».

Mirar: Paquete de capacitación en certificación de seguridad de la información (Colegio Técnico de la República)

3. Inicie la conciencia cibernética durante el proceso de incorporación

«La primera vez que un empleado entra por la puerta, comienza a desarrollar la mentalidad porque todos los nuevos empleados reciben capacitación en seguridad desde el primer día”, dijo Simpson. «De esa manera, escuchan desde el principio que la red es importante y Seré sostenido, entrenando.

4. Realice una evaluación

No tenga miedo de evaluar a sus empleados y sistemas para ver qué tan vulnerable es su organización a los ataques, dijo Simpson. «No sabrá qué tan mala o qué tan buena podría ser su situación de seguridad hasta que haga eso», agregó.

5. Comunicación

Desarrolle un plan sobre cómo comunicar mejor los mensajes de seguridad cibernética a todos los empleados, involucrando a todos los departamentos en la capacitación y el aprendizaje de las mejores prácticas, dijo Simpson. «Va a ayudar a romper los silos: crea consistencia y las personas trabajan juntas», dijo Simpson.

istock 648412962

6. Desarrollar un plan formal

Los equipos de TI deben tener un programa de capacitación en seguridad cibernética formal y documentado que se revise y actualice con frecuencia con la información más reciente sobre los vectores de ataque y otros riesgos, dijo Simpson.

7. Designar un defensor de la cultura de ciberseguridad

Simpson dijo que los líderes tecnológicos deberían designar un defensor de la cultura de ciberseguridad en cada departamento de su organización. Estos defensores pueden actuar como una extensión del CISO y mantener a los empleados capacitados y motivados. «Es un punto que a menudo se pasa por alto: aprovechar los recursos fuera del equipo de TI que ya tiene en la empresa», agregó.

8. Proporcionar formación continua

Schwartz dijo que la capacitación en seguridad cibernética debe continuar durante todo el año, en todos los niveles de la organización y para el trabajo de cada empleado. «Si es un usuario final, debe recibir capacitación sobre los tipos de ataques que puede recibir, por ejemplo, ataques a su correo electrónico o ataques al tipo de trabajo que realiza», dijo Schwartz. «Si está en la industria de TI, en términos de los ataques que probablemente verá, esos ataques pueden ser de naturaleza más técnica.

«Este es realmente un caso de comprender cómo el panorama de amenazas continúa evolucionando en relación con estos ataques y mantener actualizado el entrenamiento técnico en seguridad», dijo Schwartz.

Ver también: Por qué los directores ejecutivos que viajan y las cafeterías son los mayores riesgos de seguridad de su empresa

9. Enfatice la importancia de la seguridad en el trabajo y el hogar

Pollard dijo que los líderes tecnológicos deberían ayudar a los empleados a comprender la importancia de la higiene cibernética, no solo en el lugar de trabajo sino también en el hogar. Agregó: «Educar a los usuarios sobre privacidad, seguridad y cómo las lecciones aprendidas en el trabajo se pueden aplicar al hogar y la vida personal, para que sepan ‘lo que es bueno para mí’ que puedan aplicar todo el tiempo, no solo en el trabajo».

10. Recompense a los empleados

Recompense a los usuarios que detecten correos electrónicos maliciosos y compartan historias de cómo los usuarios ayudaron a abordar los problemas de seguridad, dijo Pollard. Los líderes de TI también deben ser comprensivos con los empleados que cometen errores: muchos empleados envían o reciben cientos de correos electrónicos al día, por lo que pedirles que eviten uno puede ser difícil, dijo Pollard.

Si bien estos consejos de capacitación pueden ayudar, la educación no es una solución perfecta, dijo Schwartz. «Incluso en los escenarios educativos más avanzados y de última generación, un cierto porcentaje de ataques pasará, e incluso en los programas educativos más esclarecedores y útiles, la tasa de éxito sigue estando entre el 4 y el 6 %, incluso después de todo. se ha completado el entrenamiento», dijo. «Entonces, el entrenamiento es solo un aspecto de proteger el medio ambiente de ataques avanzados».

LEER  Reducción de la superficie de ataque de IoT: 6 mejores prácticas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba