Ciberseguridad para empleados

Al abordar las amenazas de seguridad cibernética, las amenazas internas han llegado a la vanguardia. Las amenazas internas son una de las principales causas de infracciones.

Sin embargo, la amenaza interna no significa que la persona interna tenga intenciones maliciosas. La mayor parte del tiempo la amenaza supone que el usuario comete un error involuntariamente, como acceder a un correo electrónico de phishing, lo que a su vez conduce a una violación.

El 64% de las amenazas internas son causadas por un comportamiento descuidado o un error humano. Las amenazas internas van más allá de caer en ataques de phishing. Los sistemas, servidores y entornos en la nube mal configurados son una de las dos formas más comunes en que los informantes inadvertidos dejan a las organizaciones abiertas a ataques.

No puedes eliminar el error humano, sin embargo, al proporcionar pautas claras de seguridad cibernética y capacitación regular de los empleados, se puede reducir la frecuencia y la gravedad de los incidentes.

El primer paso para reducir el papel del error humano en los incidentes de seguridad cibernética es establecer una política de ciberseguridad y proporcionar educación a los empleados para enseñarles qué hacer y qué no hacer de la seguridad cibernética.

Aquí te explicamos las mejores prácticas en materia de ciberseguridad que debes enseñar a tus empleados. Y haremos una mención especial a la ciberseguridad en casos de teletrabajo, tan de moda en estos días.

Medidas de ciberseguridad para empleados

A menudo, la capacitación solo se completa cuando ocurren eventos de seguridad. Esto no es lo suficientemente frecuente. La capacitación en seguridad cibernética de los empleados ofrece muchos beneficios.

A través de capacitación regular en ciberseguridad, los empleados pueden identificar y reaccionar ante las amenazas. El tiempo de reacción es importante: cuanto más rápido se identifica y mitiga una amenaza, menos daño puede hacer.

Los empleados sentirán un mayor nivel de conciencia sobre las medidas de seguridad. Tendrán más confianza en la gestión de su seguridad porque conocen los protocolos de seguridad de la compañía.

Esto mejorará la forma en que los empleados se relacionan con sus sistemas informáticos. En lugar de evitar las tareas intensivas en informática, se sentirán seguros y capaces.

Estas son las principales medidas de ciberseguridad para empleados.

Destacar la importancia de la ciberseguridad

Comienza explicando por qué la seguridad cibernética es importante y cuáles son los riesgos potenciales.

Los datos robados de clientes o empleados pueden afectar gravemente a las personas involucradas, así como poner en peligro a la empresa. Es esencial que los empleados puedan encontrar rápidamente dónde informar un incidente de seguridad.

No confíes en un usuario para recordar en qué sitio interno buscará la información de contacto; asegúrate de que esté en una ubicación intuitiva.

Enseña una gestión eficaz de contraseñas

Las contraseñas pueden hacer o deshacer el sistema de seguridad cibernética de una empresa.

Incluye pautas sobre los requisitos de contraseña. Enfatiza a los empleados que no deben usar las mismas contraseñas en diferentes sitios.

Si se espera que los empleados recuerden varias contraseñas, proporciona las herramientas necesarias para que sea más sencillo. Un administrador de contraseñas tiene un valor significativo. La autenticación multifactor disminuye el impacto de una contraseña comprometida; incluso si es la contraseña maestra para el administrador de contraseñas.

Enseña a los empleados cómo identificar el phishing y otras estafas

Educa a los empleados sobre varios tipos de correos electrónicos de phishing y estafas, y cómo detectar algo sospechoso.

Si los empleados reciben un correo electrónico que se ve fuera de lo común, incluso si parece un correo electrónico interno enviado por otro empleado, primero deben consultar con el remitente antes de abrir archivos adjuntos o hacer clic en los enlaces. Es mejor verificar con el remitente por teléfono o en persona.

Cuando se secuestran las cuentas de correo electrónico, el atacante responderá a una consulta sobre la validez de la información contenida en el correo electrónico. Siempre que sea posible, ve al sitio web de la compañía en lugar de hacer clic en un enlace en un correo electrónico.

Por ejemplo, si un correo electrónico de LinkedIn tiene un enlace, escribe www.linkedin.com e inicia sesión en tu cuenta para ver el mensaje.

Aplicar actualizaciones y parches

Los sistemas operativos modernos, los programas antimalware, los navegadores web y otras aplicaciones se actualizan regularmente, pero no todos los programas lo hacen.

Cuando los empleados instalan software no aprobado, el departamento de TI puede desconocer las aplicaciones vulnerables no parcheadas en sus activos.

Verificar que los sistemas operativos y las aplicaciones estén en los niveles de parche y versión actuales es responsabilidad del departamento de TI.

El hecho de no garantizar el estado de los puntos finales y los servidores cae en el ámbito de las amenazas internas no intencionales planteadas por la configuración incorrecta del sistema, etc. Se debe realizar un escaneo regular de vulnerabilidades y una auditoría del sistema.

Proteger la información personal

Los atacantes suelen buscar datos confidenciales, como datos de tarjetas de crédito, nombres de clientes, direcciones de correo electrónico y números de seguridad social.

Al enviar esta información fuera de la organización, es importante que los empleados comprendan que no pueden simplemente enviar la información por correo electrónico. Se debe utilizar un sistema seguro de transferencia de archivos que encripte la información y solo permita que el destinatario autorizado acceda a ella.

Bloquear ordenadores y dispositivos

Cuando los empleados dejan sus escritorios, deben bloquear sus pantallas o cerrar sesión para evitar cualquier acceso no autorizado. Los empleados son responsables de bloquear sus ordenadores. Sin embargo, el departamento de TI debe configurar los tiempos de espera de inactividad como a prueba de fallos.

Los ordenadores portátiles también deben estar bloqueados físicamente cuando no están en uso.

Medios portátiles seguros

Los teléfonos móviles perdidos o robados representan una amenaza significativa para el propietario y sus contactos.

El uso de bloqueos de pantalla para estos dispositivos es esencial. El almacenamiento, como las tarjetas MicroSD externas y los discos duros en los ordenadores portátiles, debe estar encriptado.

Al incorporar medios portátiles como unidades USB y DVD, es importante escanear estos dispositivos en busca de malware antes de acceder a recursos como ordenadores de trabajo y la red.

Informe de dispositivos perdidos o robados

Informa a los empleados que los dispositivos robados pueden ser un punto de entrada para que los atacantes obtengan acceso a datos confidenciales y que los empleados deben informar de inmediato los dispositivos perdidos o robados.

A menudo, el departamento de TI puede borrar dispositivos de forma remota, por lo que el descubrimiento temprano puede marcar la diferencia.

Adoptar un papel activo

Explica que los empleados deben usar el sentido común y tener un papel activo en la seguridad. Si ven actividad sospechosa, deben informarla a su administrador de TI.

Si los empleados se dan cuenta de un error, incluso después de que haya sucedido, informarlo a TI significa que aún se pueden tomar medidas para mitigar el daño.

La seguridad cibernética es un asunto que concierne a todos en la empresa, y cada empleado debe desempeñar un papel activo para contribuir a la seguridad de la empresa. Si un empleado teme perder su trabajo por informar un error, es poco probable que lo haga. Asegúrate de que los empleados puedan sentirse cómodos informando incidentes.

Aplicar configuración de privacidad

Informa a los empleados que es muy recomendable aplicar la configuración de privacidad máxima en sus cuentas de redes sociales como Facebook y Twitter.

Pídeles que se aseguren de que solo sus contactos puedan ver su información personal, como la fecha de nacimiento, la ubicación, etc. Limitar la cantidad de información personal disponible en línea reducirá la efectividad de los ataques de spearphishing.

Estate especialmente atento a cualquier cosa, un poco sospechosa, proveniente de un contacto de LinkedIn. La cuenta de un contacto de LinkedIn comprometido puede permitir algunos de los ataques de ingeniería social más sofisticados.

La nueva orientación de contratación debe incluir documentación e instrucciones de la política de seguridad cibernética.

Ofrece capacitación periódica en seguridad cibernética para garantizar que los empleados comprendan y recuerden las políticas de seguridad. Una forma divertida de asegurarse de que los empleados entiendan la política es tener un cuestionario que pruebe sus acciones en situaciones de ejemplo.

Además de informar y capacitar a los empleados, las compañías deben asegurarse de que exista un sistema para monitorizar y administrar ordenadores y dispositivos, que el escaneo múltiple antimalware se use para garantizar la seguridad de los servidores, archivos adjuntos de correo electrónico, tráfico web y medios portátiles, y que los empleados pueden transferir archivos confidenciales de forma segura.

Descargas de software autorizadas

Los empleados a menudo descargan e instalan software destinado a facilitar su trabajo, como un visor de PDF que es liviano y más fácil de usar que un visor de PDF interno.

Si bien esto les resuelve un problema de inmediato, puede abrir una empresa a un riesgo considerable. Las aplicaciones de terceros son una de las fuentes más comunes de violación e interrupción de datos. Se debe indicar a los empleados que solo usen los paquetes de software autorizados.

Gestión de documentos

Los documentos de hoy pueden incluir una gran cantidad de información de identificación personal, datos confidenciales y propiedad intelectual.

Los empleados deben entender cómo administrar sus documentos, incluido cómo compartirlos de manera segura. Deben poder identificar los problemas que pueden indicar que algo está mal: si los documentos se cargan lentamente, se pierden o si personas no autorizadas fuera de la organización acceden a ellos, se debe considerar que podría haber un problema.

Políticas de dispositivos móviles

Más empleados que nunca están utilizando sus dispositivos personales para el trabajo, lo que puede ser beneficioso. Mejora la eficiencia de una empresa a pasos agigantados.

Desafortunadamente, también puede presentar algunos riesgos de seguridad, ya que un empleador nunca puede saber lo seguros que son los dispositivos personales de un empleado.

A través de rigurosas políticas de administración de dispositivos móviles, se hace más fácil asegurar los dispositivos de un empleado.

Beneficios de la capacitación en ciberseguridad

En definitiva, la capacitación periódica en ciberseguridad tiene el siguiente impacto en los negocios:

  • Lograr un mejor tiempo de actividad. Las infracciones y las interrupciones de datos pueden hacer que tu negocio caiga en horas. Una sola interrupción de violación de datos puede costarle a la compañía millones de dólares en ingresos perdidos, dependiendo de qué lo confiable que sea la compañía en su red para continuar procesando transacciones e información. Cuantos menos eventos relacionados con datos, más tiempo de actividad puede lograr la empresa.
  • Reducir costes y gastos generales. Cada violación de datos, por pequeña que sea, es costosa. Podrás reducir los costes de TI y los gastos generales al proteger tus datos. Enseñar a tus empleados la seguridad adecuada también reducirá la cantidad de tiempo que tu equipo de TI necesita dedicar a tareas como eliminar adware o malware de los sistemas o restablecer contraseñas perdidas u olvidadas.
  • Controlar y proteger los datos de la organización. Los datos de una organización lo son todo hoy, pero pueden estar en cientos o miles de dispositivos. Con el Internet de las cosas y la administración de dispositivos móviles, las organizaciones deben ser aún más protectoras de los datos de los que están a cargo. Una combinación de capacitación y tecnología para los empleados es una forma poderosa de controlar y proteger los datos.
  • Adherirse a las políticas internas. Las políticas internas mantienen a la organización a salvo de los principales eventos de seguridad. También evita que las operaciones se muevan lentamente. Las políticas internas consistentes priorizarán tanto la eficiencia como la seguridad.
  • Cumplir con todas las leyes y regulaciones relevantes. Muchas industrias enfrentan leyes y regulaciones de privacidad de datos. Una violación puede conducir a multas por valor de millones de dólares. La capacitación en seguridad ayuda con las leyes y reglamentos, así como con la seguridad.
  • Contener amenazas. Cuando surgen amenazas, deben abordarse de inmediato. Una organización que puede proteger y contener amenazas de inmediato es una organización que no sufrirá una cantidad excesiva de daños antes de mitigar la amenaza.

La implementación de la capacitación en ciberseguridad es un paso hacia la construcción de una cultura de seguridad mejor y sostenible.

Esto es más que solo recordarles a tus empleados que cambien regularmente sus contraseñas. Incorporar una cultura de seguridad significa ayudar a tus empleados a comprender y adoptar su papel para mantener segura a la organización.

Cómo hacer que tu equipo se preocupe por la ciberseguridad

La ciberseguridad es importante. Pero tu equipo probablemente se centrará en hacer su trabajo. A menudo, la seguridad de TI puede parecer una barrera para sus trabajos, y es posible que no comprendan adecuadamente la importancia de la ciberseguridad para el negocio.

La capacitación no solo les dice cómo proteger sus sistemas. Les dice por qué deberían hacerlo.

Entonces, ¿cómo puedes comenzar?

Tanto el nuevo personal como los que han estado en la empresa durante algún tiempo deben pasar por una capacitación estandarizada en ciberseguridad. Con esto, la capacitación de terceros es ideal.

Cuando el entrenamiento se realiza internamente, puede haber brechas que quedan porque no hay nadie que las note. Además, los procesos comerciales y la cultura de seguridad pueden derivar con el tiempo porque no hay refuerzo externo.

La capacitación debe actualizarse periódicamente, que es algo que el personal interno a menudo no tiene la oportunidad de hacer. Un tercero que se especializa en capacitación en ciberseguridad puede ayudar.

Finalmente, la capacitación de empleados gamificante ayuda a transmitir el mensaje. Al recompensar a los empleados y departamentos capacitados en ciberseguridad que no tienen eventos de seguridad importantes, puede demostrar que la empresa realmente valora la seguridad mejorada y que valora a los empleados que están haciendo todo lo posible.

Ciberseguridad en el teletrabajo

Casi todas las compañías de ciberseguridad han estado advirtiendo regularmente a los empleados sobre ataques sofisticados de phishing que aprovechan la información del COVID-19 para que las víctimas hagan clic en archivos maliciosos.

Pueden realizarse estafas de distintas formas, pero los trabajadores deben tener especial cuidado con los correos electrónicos referidos a modificaciones en las políticas del lugar de trabajo, emails que proporcionan consejos de salud y mensajes que parecen ser de los Centros para el Control y la Prevención de Enfermedades.

Hoy, más empresas que nunca ofrecen la opción de trabajar desde casa, o incluso la exigen en un esfuerzo por garantizar la continuidad del negocio y mantener saludable a su fuerza laboral.

Los gerentes y líderes de todo tipo de empresas están viendo los beneficios de permitir el trabajo remoto para sus empresas:

  • un grupo más grande de talento para los roles en la contratación,
  • menor tiempo de viaje para los empleados,
  • más autonomía para los trabajadores e incluso
  • mayor productividad.

Sin embargo, también están pensando en los desafíos y riesgos que conlleva permitir que sus empleados trabajen desde casa.

El origen fundamental de las violaciones de datos ha sido tradicionalmente la negligencia de los empleados. Con los procedimientos de trabajo desde el hogar establecidos, las organizaciones podrían enfrentar un aumento en los ataques que podrían conducir a violaciones de datos.

Es esencial que tanto los trabajadores como las empresas adopten las precauciones adecuadas para reducir este riesgo y monitorizar, actual y atacar cualquier signo de intrusión dentro de las redes corporativas y el compromiso de los puntos finales de los empleados.

Vamos a analizar los riesgos del trabajo remoto y explicaremos qué puedes hacer para garantizar que tus empleados tengan la debida diligencia en la realización de su trabajo desde casa.

¿Cuáles son los riesgos del teletrabajo?

Al solicitar a los empleados que trabajen desde casa, algunas empresas pueden enfrentarse a riesgos operativos, como no tener capacidad para soportar una gran cantidad de conexiones VPN simultáneas a su infraestructura y servicios.

Esto puede originar una molestia para los empleados que precisan acceso a recursos internos y además, puede suponer un trabajo adicional sobre los equipos de TI si no están correctamente preparados.

Si bien esto no es un riesgo de seguridad per se, puede interrumpir el trabajo y causar un estrés innecesario para un departamento de TI que ya está sobrecargado de trabajo tratando de solucionar el problema sobre la marcha.

También existe el riesgo de no implementar correctamente las políticas de acceso, autorización y autenticación, lo que puede provocar que los empleados accedan a recursos que no deberían.

Para reducir el riesgo de acceso remoto no autorizado a la infraestructura, los equipos de seguridad y TI deben indicar claramente qué servicios, clientes y aplicaciones VPN son compatibles con la organización. Si se intenta acceder a la infraestructura interna con sistemas no autorizados, se considerará un riesgo de seguridad de la red y deberá bloquearse inmediatamente.

Algunas empresas tienen una política de TI estricta para administrar e aplicar actualizaciones de software y seguridad en los puntos finales, por lo que deben crear procedimientos de implementación gradual de esas actualizaciones.

Entregarlos todos a la vez a los empleados conectados a VPN podría crear congestión de ancho de banda y afectar el tráfico entrante y saliente.

Por último, es también importante, establecer el cifrado de disco para todos los puntos finales. Esto reduce el riesgo de acceder a datos confidenciales o comprometerlos mediante el robo del dispositivo.

Pautas de ciberseguridad para el trabajo remoto

Con el fin de obtener lo mejor de permitir que los empleados trabajen de forma remota y de reducir los riesgos mencionados, veamos qué se puede hacer para mitigar esos riesgos:

1. Protección de seguridad web

Las organizaciones deberían considerar la implementación de soluciones de seguridad que ofrezcan una fuerte protección de seguridad web en los puntos finales de los empleados y tecnologías capaces de evitar la explotación de vulnerabilidades de la red.

Las estafas de phishing y la creación fraudulenta de sitios web se han disparado en un intento de capitalizar la curiosidad y negligencia de los empleados.

Es por eso que las organizaciones necesitan fuertes tecnologías de defensa contra ataques de red y phishing que puedan detectar y bloquear con precisión tales amenazas para que no se aprovechen de los empleados que trabajan desde casa.

2. Política de trabajo desde casa

Tener una política definida de «Trabajo Remoto» o «Teletrabajo» es imprescindible si tu empresa planea permitir que el personal trabaje desde ubicaciones fuera de la oficina.

Esto puede ayudar a reducir los riesgos inherentes de trabajar de forma remota mediante el establecimiento de un conjunto de procedimientos que los empleados deben seguir para trabajar desde casa.

Esta política debe incluir políticas de seguridad de la información adicionales para describir las responsabilidades de todos los empleados.

Algunos ejemplos de procedimientos que deben incluirse en la política de trabajo remoto incluyen:

  • Proceso para aprobar trabajadores remotos
  • Responsabilidades definidas para empleados
  • Descripción de qué deben hacer los usuarios para asegurar sus espacios de trabajo remotos
  • Descripción de los pasos de endurecimiento de la estación de trabajo o del dispositivo
  • Uso del cifrado para todos los datos almacenados y en tránsito
  • Uso obligatorio de una VPN para trabajadores remotos
  • Descripción del procedimiento para informar un incidente en caso de que ocurra

Si bien tener una política ayudará a reducir los riesgos, la política también debe mantenerse actualizada y debe contar con la participación del equipo de Tecnología de la Información o de un experto en seguridad de la información cuando se crea o actualiza.

Cualquier política relacionada con la tecnología de la información o la privacidad de los datos también debe involucrar a alguien que comprenda el tema.

Nuevamente, las políticas de seguridad de la información NO son documentos estáticos. A medida que cambian las amenazas y surgen nuevas tecnologías, las políticas deben actualizarse.

3. Ofrecer las herramientas adecuadas

Tener una política implementada permitirá a los empleados saber qué necesitan hacer y cómo hacerlo, pero proporcionarles las herramientas adecuadas también reducirá los riesgos de trabajar de forma remota.

Según la empresa y el papel de sus empleados, estas herramientas pueden variar. Los siguientes son ejemplos de algunas herramientas que se han visto referenciadas en las políticas de trabajo remoto:

  • VPN asegurará que el tráfico de red esté encriptado, incluso en una red pública como en una cafetería. Esto también se recomienda en una oficina casera si la red doméstica se comparte con otros (familiares, amigos, invitados).
  • El cifrado incorporado de Apple (FileVault) y Microsoft (Bitlocker) garantiza que sea mucho más difícil extraer los datos del dispositivo si se pierde el disco duro o te lo roban.
  • Los administradores de contraseñas ayudarán a los usuarios a almacenar sus contraseñas y a generar seguras. Ayudan a reducir el riesgo de que los empleados usen la misma contraseña para todos los servicios.
  • Los firewalls integrados de Apple y Microsoft se pueden habilitar en cualquiera de tus dispositivos. Esto es excelente para evitar solicitudes entrantes o salientes que podrían ser maliciosas.

4. Capacitación y mejores prácticas

Tener una política y apoyarla con las herramientas adecuadas es importante, pero educar y capacitar a los empleados sobre las mejores prácticas ayudará a explicar y describir por qué necesitan seguir la política y usar las herramientas.

Muchas compañías ofrecen alguna forma de capacitación en concientización sobre seguridad. Sin embargo, esta capacitación generalmente se realiza solo una vez al año y puede quedar obsoleta rápidamente.

Considera realizar sesiones de capacitación mensuales o trimestrales para mantener a tus empleados informados y educados sobre las amenazas y sus responsabilidades cuando se trata del programa de seguridad de la información de la empresa y trabajar de forma remota.

Los empleados que trabajan desde su hogar deben recibir consejos básicos de seguridad:

  • tener cuidado con los correos electrónicos de phishing,
  • evitar el uso de Wi-Fi público,
  • garantizar que los enrutadores de Wi-Fi en el hogar estén lo suficientemente seguros y
  • verificar la seguridad de los dispositivos que utilizan para obtener trabajo hecho.

Se debe recordar a los empleados que eviten hacer clic en los enlaces de correos electrónicos de personas que no conocen, y la instalación de aplicaciones de terceros debe limitarse a las tiendas de aplicaciones de buena fe, incluso en dispositivos personales.

Junto con la orientación básica de seguridad, los empleados necesitan saber con quién comunicarse en caso de que detecten una amenaza de seguridad.

El trabajo remoto puede ser una gran ventaja para tu empresa y tus empleados, pero existen riesgos.

Para garantizar la seguridad de tu empresa, tus datos y los de tus empleados, debes establecer una base sólida. Debes incluir protección de seguridad web, una política de trabajo desde el hogar (complementada por políticas de seguridad de información adicionales), herramientas para proteger a sus empleados y capacitación para asegurar que entiendan sus responsabilidades.