Seguridad

Mejorar la concienciación y la formación en seguridad de los empleados

Capacitar regularmente a las personas para que usen contenido genérico no les ayudará ni a ellos ni a su organización a reducir el riesgo de amenazas a la seguridad, dice Egress.

Los empleados se paran con listas de verificación de seguridad y símbolos de escudo y candado detrás de ellos.Imagen: Julien Eichinger/Adobe Stock

La capacitación en seguridad a menudo se promociona como una de las mejores formas de combatir los ataques de phishing, el malware y otros riesgos de seguridad. La idea es que mientras sus empleados sepan cómo detectarlos, no serán víctimas de este tipo de amenazas. Sin embargo, el tipo de capacitación en seguridad que brinda a sus empleados puede tener un gran impacto en la eficacia de sus esfuerzos.

Un informe reciente del proveedor de seguridad de correo electrónico Egress señala los peligros de la capacitación genérica diseñada simplemente para satisfacer ciertas marcas de verificación y ofrece algunos consejos sobre cómo mejorar la concienciación y la capacitación en seguridad (SA&T). Para crear su informe Por qué marcar SA&T nunca cambiará el comportamiento de seguridad, Egress utilizó información obtenida de encuestas anteriores de líderes de seguridad de TI.

¿Con qué frecuencia la empresa capacita a los empleados sobre las mejores prácticas de seguridad?

En una encuesta, el 98 por ciento de los líderes de TI dijeron que tenían al menos algún tipo de capacitación en seguridad. Más de la mitad dijo que ofrecía varias veces al año, mientras que más de un tercio ofrecía mensualmente. Casi todos los encuestados dijeron que creen que la capacitación en seguridad puede generar cambios positivos a largo plazo para los empleados.

LEER  Controle sus documentos con Office 2003 Information Rights Management

VER: Contraseñas filtradas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Tecnopedia)

Sin embargo, el 84 por ciento de los ejecutivos de seguridad encuestados admitieron que habían sido víctimas de un ataque de phishing exitoso en los últimos 12 meses. Esta brecha se debe en gran parte al comportamiento humano. Los empleados han sido atrapados en correos electrónicos de phishing, perdieron datos debido a errores y violaron ciertas reglas, como enviar por correo electrónico información de trabajo a cuentas personales. El punto es que brindar capacitación genérica en seguridad no es efectivo para reducir los incidentes de seguridad.

Hacer que la formación en seguridad sea más eficaz

Para ayudarlo a aumentar el valor y el impacto de su capacitación en seguridad, Egress ofrece tres recomendaciones.

Medir resultados no actividades

Informes de seguridad de lectura obligada

Debe medir los resultados reales de la capacitación en seguridad, no solo tratar el compromiso de los empleados como una estadística.Considere los comportamientos de los empleados que espera cambiar a través de la capacitación, luego determine si realmente cambian

Dichos comportamientos incluyen clasificar correctamente los correos electrónicos confidenciales para el cifrado, seguir las advertencias de seguridad, no caer en los correos electrónicos de phishing y evitar errores humanos en general. Todo esto se puede medir para determinar si su entrenamiento realmente está teniendo un impacto positivo.

Formación personalizada para particulares

En lugar de brindar la misma capacitación genérica a todos los empleados, es mejor adaptar la capacitación a las personas en función del historial, las necesidades, los roles laborales y otros factores. Puede comenzar utilizando un cuestionario de seguridad para medir el nivel de riesgo de los diferentes empleados. Luego, considere el puesto de trabajo y el nivel de antigüedad del empleado para determinar la probabilidad de que sea blanco de un ataque cibernético.

A continuación, evalúe el riesgo de que los empleados causen accidental o intencionalmente un incidente de seguridad con datos privilegiados o sistemas sensibles. Además, observe el comportamiento anterior de los empleados para ver si y con qué frecuencia fueron atrapados en correos electrónicos de phishing, navegando por sitios web maliciosos, sin mantener la higiene adecuada de la contraseña y violando sus pautas de seguridad. A continuación, puede proporcionar la formación y la orientación de seguridad adecuadas en función de estos factores.

Combina tu formación en seguridad con momentos de enseñanza en directo

La capacitación en seguridad regular y formal ciertamente juega un papel importante. Sin embargo, considere respaldar esto con intervenciones en tiempo real o avisos cuando un empleado esté a punto de realizar una acción peligrosa, como responder a un correo electrónico de phishing. Con herramientas de seguridad inteligentes, puede mostrar pancartas en correos electrónicos sospechosos o maliciosos para alertar a los empleados sobre los riesgos.

En los correos electrónicos entrantes, los banners pueden advertir sobre la posibilidad de suplantación o usurpación de cuenta. En el correo electrónico saliente, un banner podría advertir a los usuarios si están a punto de enviar correo a la dirección incorrecta o adjuntar archivos incorrectos. Estos tipos de intervenciones no solo detienen las infracciones de seguridad antes de que sucedan, sino que también ayudan a las personas a comprender por qué se marcó una acción en particular.

Si su departamento de TI planea actualizar o establecer una nueva estrategia de capacitación y concientización sobre seguridad, los expertos de Tecnopedia Premium pueden ayudarlo a comenzar.

LEER  A medida que se avecina el RGPD, el 60 % de las empresas globales aún no etiquetan correctamente los datos confidenciales

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba