La pandemia de Covid-19 ha planteado muchos desafíos de seguridad. Las empresas de todo el mundo se han adaptado al trabajo desde casa y al distanciamiento social, al mismo tiempo que se enfrentan a las nuevas amenazas planteadas por los ciberdelincuentes que explotan el miedo y la curiosidad.
Incluso cuando las empresas se han enfrentado a estos desafíos, las amenazas cibernéticas tradicionales han prevalecido más que nunca, lo que crea un panorama de amenazas cada vez más desafiante. La mitigación del error humano y la formación en concienciación sobre ciberseguridad deben ser clave para la ciberseguridad empresarial en 2021 y, en esta guía, veremos las mejores formas de hacerlo.
Indice
¿Qué es la formación en conciencia de seguridad?
La capacitación en conciencia de seguridad es la forma más eficaz de proteger a las empresas y a sus empleados de los ataques de phishing de ingeniería social.
Pero, ¿Qué es la formación en conciencia de seguridad?
Se define la capacitación en concientización sobre seguridad como un programa educativo que enseña a los empleados sobre seguridad y phishing mientras crea las mejores prácticas y buenos hábitos.
Una de las mayores debilidades de cualquier sistema de ciberseguridad es el factor humano. No importa si tu organización está usando contraseñas sofisticadas, múltiples firewalls, programas anti-malware, etc. El factor humano siempre será un problema para mantener a tu empresa a salvo.
Al final del día, los empleados son los más vulnerables y necesitan las herramientas adecuadas. Si un empleado no ha recibido una formación eficaz sobre la concienciación sobre la seguridad cibernética, es muy probable que comprometa a la empresa a través de simples errores, negligencia o incluso apatía.
Los ciberdelincuentes lo saben. Saben que el hardware es increíblemente difícil de conseguir, pero apuntar a una persona o grupo les da la mejor oportunidad de atacar. El uso de métodos como los correos electrónicos de phishing aprovecha las vulnerabilidades humanas. Cuando se usa con éxito, algo tan simple como un correo electrónico de phishing puede poner en peligro a toda una organización y su red.
Esas son malas noticias.
La formación en concienciación sobre ciberseguridad pretende resolver esto centrándose directamente en el factor humano.
El objetivo es dejar al empleado no asustado, sino consciente. Sin miedo, pero un poco paranoico con los correos electrónicos.
El surgimiento de la seguridad psicológica
A medida que el panorama de las amenazas cibernéticas continúa creciendo, proteger nuestros sistemas de información se vuelve cada vez más difícil. A menudo, esto se debe a que el enfoque, la atención y, en última instancia, la culpa están en los lugares equivocados. Hemos comenzado a ver una necesidad de empresas más allá de la seguridad de la información, y la razón de esto está ahí en el nombre.
Proteger la información de una empresa simplemente concentrándose en la información en sí aún te deja vulnerable, ya que más del 90% de las infracciones involucran ingeniería social. Por loco que parezca, tenemos que proteger nuestras mentes, nuestras intuiciones, nuestra dependencia y nuestra confianza. Introduce la idea de la formación en conciencia de seguridad psicológica.
La seguridad psicológica es la práctica de proteger a los humanos de ser manipulados y explotados por la tecnología. Desde anuncios hiperdirigidos hasta ataques de phishing, la tecnología y los datos se utilizan para influir en nosotros todos los días. Esta es la razón por la que el phishing tiene tanto éxito. Hemos aprendido a confiar y depender de la tecnología que usamos, las marcas que compramos y las personas que conocemos.
Agrega el hecho de un entorno profesional con jefes, plazos y aumentos, y el riesgo de manipulación se dispara.
¿Te enamorarás de un correo electrónico de phishing de Starbucks? Quizás. ¿Descargarás una hoja de cálculo misteriosa de tu «jefe» llamada «ChristmasBonuses2020.xlsx»? Definitivamente.
Ésta es la razón por la que el entrenamiento regular es tan importante. Para protegernos contra el phishing, debemos capacitar a los empleados para que reconozcan el riesgo y creen un reconocimiento de patrones a lo largo del tiempo.
Beneficios de la capacitación en conciencia de seguridad
Iniciativas como la capacitación en concientización sobre seguridad cibernética obligan a una empresa a examinar sus procedimientos, políticas y personal. Las ineficiencias y oportunidades a menudo salen a la luz como resultado de esto, lo que puede no tener nada que ver con la seguridad, pero aun así puede beneficiar a una empresa.
- La capacitación en conciencia de seguridad puede ayudar a reducir errores o ayudar a reconocer los trucos y tendencias de los «malos».
- La capacitación en concienciación sobre ciberseguridad para empleados puede fortalecer y mejorar la postura de seguridad de tu empresa.
- Cuando sus empleados están educados y capacitados, son más compatibles.
- La capacitación puede mantener limpia la reputación de tu cliente y libre de contratiempos.
- La educación y la formación pueden reforzar la confianza e incluso ayudar a la moral de tus clientes
- Puedes ahorrar dinero, tiempo y datos confidenciales para tu cliente al recibir capacitación.
- Tu cliente puede dormir por la noche sabiendo que se estás entrenando activamente para afrontar las últimas amenazas a través de la formación.
Construyendo una cultura de conciencia de seguridad
Un programa de formación de concienciación sobre seguridad puede actuar como un ejercicio de colaboración y creación de equipos. Debido a que la naturaleza del objetivo generalmente no es resolver un problema donde sea común señalar con el dedo, se presta a mejorar las relaciones entre los empleados. Un enemigo común (amenazas cibernéticas) a menudo une a un grupo.
Cuando las empresas se dan cuenta de la importancia de la capacitación en concienciación sobre seguridad y adoptan un programa, aumentan la productividad, impulsan la creatividad y, en última instancia, son mucho más seguras.
Evolución de los ataques dirigidos a humanos
Phishing y malware
Entre las principales amenazas cibernéticas, el malware sigue siendo un peligro importante. El brote de WannaCry de 2017 que costó a las empresas de todo el mundo hasta $ 4 mil millones aún se encuentra en la memoria reciente, y a diario se descubren otras nuevas cepas de malware. El phishing también ha experimentado un resurgimiento en los últimos años, con muchas nuevas estafas que se han inventado para aprovecharse de empresas desprevenidas.
Trabajar desde casa
El personal que trabaja desde casa está fuera de la supervisión directa de los equipos de soporte de TI y, a menudo, tiene dificultades para hacer frente a las amenazas cibernéticas y proteger adecuadamente la información de la empresa. No actualizar el software y los sistemas operativos, enviar datos a través de redes inseguras y aumentar la dependencia del correo electrónico y la mensajería en línea ha hecho que los empleados sean mucho más susceptibles a amenazas que van desde malware hasta phishing.
Error humano
Si bien las soluciones técnicas como los filtros de correo no deseado y los sistemas de administración de dispositivos móviles son importantes para proteger a los usuarios finales, con la cantidad de amenazas y la multitud de sistemas y comunicaciones a través de los cuales el personal realiza su trabajo, el único factor de riesgo unificador que debe abordarse para mejorar fundamentalmente la seguridad es el papel del error humano.
Casi todas las infracciones cibernéticas exitosas comparten una variable en común: el error humano. El error humano puede manifestarse de muchas formas: desde no instalar las actualizaciones de seguridad de software a tiempo hasta tener contraseñas débiles y ceder información confidencial a correos electrónicos de phishing.
A pesar de que el software moderno de detección de amenazas y anti-malware se ha vuelto más sofisticado, los ciberdelincuentes saben que la eficacia de las medidas técnicas de seguridad solo llega hasta donde las personas las utilizan correctamente. Si un ciberdelincuente logra adivinar la contraseña de un portal de empresa en línea, o utiliza la ingeniería social para que un empleado realice un pago a una cuenta bancaria controlada por el ciberdelincuente, no hay nada que las soluciones técnicas puedan hacer para detener esa intrusión.
Dado que el error humano juega un papel tan importante en las infracciones cibernéticas, abordarlo es clave para reducir las posibilidades de que tu empresa sea atacada con éxito. También te permite proteger tu empresa de una gama de amenazas mucho más amplia que la que podría ofrecer cualquier solución técnica. La mitigación del error humano debe ser clave para la seguridad cibernética empresarial.
¿Cuándo ocurre el error humano?
Deben estar presentes dos factores para que se manifieste el error humano:
- Oportunidad
- Decisión
Oportunidad significa que existe una situación en la que un humano puede cometer un error: por ejemplo, permitir que los usuarios finales manejen las actualizaciones de software en lugar de forzar las actualizaciones de seguridad con la administración de parches. La decisión es la acción del individuo: en este caso, la falta de acción en la instalación de actualizaciones de seguridad cuando están disponibles.
Un esfuerzo de mitigación integral incluye tanto la reducción de la posibilidad de error como la mejora de las decisiones tomadas por los usuarios finales. Actuar en ambas áreas es fundamental para garantizar que se aborde a fondo el error humano.
En el caso de la aplicación de parches, por ejemplo, una medida técnica como la introducción de la gestión de parches puede reducir la posibilidad de error humano al mínimo en la mayoría de los casos, pero sigue siendo esencial tener en cuenta las situaciones en las que las soluciones técnicas tienen un lapso temporal, o si se introduce una situación nueva, como una política BYOD, en la que los usuarios pueden utilizar sus propios dispositivos sin gestión de parches.
En otros casos, como con los correos electrónicos de phishing, las medidas técnicas como los filtros de correo no deseado y el software de detección de infracciones tienen un efecto muy limitado para reducir la posibilidad de error cuando se enfrenta a un ataque dirigido. Aquí, la única forma eficaz de mitigar el error humano es enseñar a los usuarios finales cómo hacer mejores juicios.
¿Cómo se puede reducir el error humano?
Para que los usuarios finales tomen el juicio correcto en una situación de seguridad, deben estar presentes cuatro factores diferentes.
Comprensión
El primero de ellos es bastante sencillo: el usuario debe reconocer que se encuentra en una situación en la que la seguridad está potencialmente en juego. Sin reconocer la situación como tal, es posible que el usuario ni siquiera se dé cuenta de que está tomando una decisión debido a su inacción.
Empoderamiento
En segundo lugar, el usuario debe saber cuál es el curso de acción correcto. Esto no requiere necesariamente que el usuario comprenda completamente la amenaza, pero a menudo es tan simple como informar de la situación a una persona del departamento de TI o de seguridad que pueda investigarla.
Educación
En tercer lugar, el usuario debe saber por qué es importante la seguridad, para que comprenda la importancia de no ignorar los procedimientos de seguridad y sea consciente de las posibles implicaciones de una infracción. Si bien estos tres factores son todos esenciales para mejorar los resultados de seguridad, es en este punto crucial donde las empresas suelen fallar. Para poder tomar mejores decisiones en situaciones del mundo real, el cuarto factor también debe entrar en juego.
Eliminar la evitación del dolor
Problemas como la seguridad débil de las contraseñas y la imposibilidad de parchear el software persisten en organizaciones de todo el mundo, a pesar de que muchos usuarios de computadoras comprenden por qué estos problemas son críticos para la seguridad. La razón por la que no se toman medidas a pesar del conocimiento se debe a lo que llamamos evitación del dolor. Tener una contraseña única y segura requiere más tiempo para crear y más esfuerzo para recordar que una contraseña corta, débil o reutilizada.
A pesar de que un usuario lo sabe mejor, este ‘dolor’ causado por la creación de una contraseña segura suele ser lo suficientemente fuerte como para hacer que el usuario vaya en contra de su mejor criterio. Esto se ve agravado por el hecho de que, a pesar de que muchos usuarios toman las medidas correctas en circunstancias óptimas, las situaciones de trabajo urgente y ajetreado, así como el estrés, pueden hacer que las medidas de seguridad se sientan aún más «dolorosas» para los usuarios.
Impulsar el cambio cultural
Es este último factor el que solo puede resolverse mediante el cambio cultural. Los usuarios finales deben sentir que el dolor causado por seguir las mejores prácticas de seguridad es menor que la satisfacción obtenida por no hacerlo.
Las medidas técnicas como los administradores de contraseñas son esenciales en esto, ya que facilitan mucho la actuación de forma segura: si los empleados no tienen que crear o recordar sus propias contraseñas, no tienen ninguna razón para no utilizar las seguras. Simultáneamente, el umbral para realizar la acción correcta debe reducirse mediante el cambio cultural. Esto significa poner la seguridad a la vanguardia de la toma de decisiones y garantizar que los usuarios nunca sientan que están «perdiendo el tiempo» tomando las precauciones de seguridad adecuadas.
La seguridad debe ser discutida entre los empleados, y las preguntas y los puntos que los usuarios finales plantean sobre los problemas de seguridad en sus propios roles deben ser atendidos y recompensados. Esto ayuda a los usuarios a sentir que la seguridad no es solo una ocurrencia tardía, sino algo en lo que siempre vale la pena dedicar tiempo.
La capacitación efectiva en concientización sobre seguridad aborda no uno, sino los cuatro factores. Esto significa identificar situaciones en las que los datos o los sistemas podrían verse comprometidos, comprender las mejores prácticas, conocer las posibles consecuencias de las infracciones y, finalmente, ayudar a impulsar un cambio cultural para crear un entorno en el que las consideraciones de seguridad siempre se tengan en cuenta en la toma de decisiones.
Cómo abordar la seguridad en el trabajo desde casa
Los empleados que no estaban acostumbrados a trabajar desde casa antes de la pandemia descubrieron rápidamente algunos de los problemas que causaría: tener que cuidar a los niños y las mascotas, lidiar con la mala conectividad a Internet y soportar todas las demás molestias que pueden ocurrir en hogar. En medio de todos estos nuevos cambios en el entorno de trabajo, la seguridad con demasiada frecuencia cayó al final de las listas de prioridades de los usuarios.
Los usuarios finales que trabajan desde casa están fuera de la supervisión del departamento de soporte de TI y pueden tener problemas con problemas simples relacionados con la tecnología. No es de extrañar que los ciberdelincuentes no hayan desperdiciado ni un segundo aprovechando las circunstancias de la pandemia para crear nuevas formas de estafas y delitos cibernéticos.
El equipo de soporte de TI no puede estar en el hogar de todos los usuarios finales, por lo que es esencial asegurarse de que, además de tener el equipo adecuado, los usuarios finales sean conscientes de sus responsabilidades individuales para mantener la seguridad. Los usuarios finales deben saber que son responsables de garantizar que solo accedan a la información y las redes de la empresa en dispositivos y redes que estén actualizados y sean seguros.
La formación en conciencia de seguridad es clave para garantizar que los usuarios finales sepan cómo mantener la seguridad. Es mejor dividir el entrenamiento en componentes pequeños y digeribles, ya que esto asegura que los usuarios no se sientan abrumados.
La capacitación también debe realizarse con regularidad, una vez al mes, como mínimo, para garantizar que se conserve el aprendizaje clave y que los usuarios no se olviden de la seguridad tan pronto como llegue el próximo proyecto de trabajo que sacuda la lista de prioridades.
Por último, es importante probar a los usuarios finales. Debe quedar claro que esto no es para juzgar o penalizar a los usuarios que luchan con su capacitación, sino para identificar brechas de seguridad clave en la fuerza laboral y abordarlas antes de que puedan ser explotadas por los ciberdelincuentes.
¿Cuál es el mejor formato para la formación de concienciación sobre seguridad?
La capacitación en conciencia de seguridad no es todo lo mismo. La forma en que se realiza, estructura y presenta la formación tendrá un efecto importante en su eficacia para mejorar realmente los resultados de seguridad en tu organización. En esta sección, veremos cuál es exactamente la mejor manera de realizar una capacitación en conciencia de seguridad para los usuarios finales.
Entrenamiento de la vieja escuela vs moderno
La capacitación en conciencia de seguridad solía significar hacer que los usuarios finales se sentaran a través de una sesión anual que constaba de horas de conferencias y presentaciones de diapositivas. La idea era que los usuarios recordaran algo de lo que vieron y escucharon. Sin embargo, ¿hasta dónde llegó para mejorar realmente los resultados de seguridad? No funcionó y todo el mundo lo odió.
Hay varias razones por las que este tipo de formación anual basada en conferencias no es eficaz. La primera de ellas es que en una sesión de capacitación anual, simplemente habrá demasiada información a la vez para que cualquier empleado la asimile y la recuerde. Incluso si los usuarios reciben material de aprendizaje para que lo lleven consigo o se les envían recordatorios ocasionales, es probable que la mayor parte del material de la sesión de capacitación entre por un oído y salga por el otro, olvidado en unos momentos.
Las conferencias y las presentaciones de diapositivas simplemente no son formatos atractivos para que los usuarios finales aprendan. No logran despertar el interés de los empleados de la misma manera que lo hacen los videos y el contenido interactivo, y con demasiada frecuencia están llenos de información innecesaria que no es relevante para todos los usuarios finales. Las diapositivas con texto pequeño seguramente harán que cualquier empleado se quede dormido a la mitad de la sesión.
La última y principal razón por la que el entrenamiento tradicional no es efectivo es que no hace uso del aprendizaje a través de la repetición. Si hay un año entre las sesiones de aprendizaje, los usuarios simplemente no recordarán lo que han aprendido, y la conciencia de los problemas de seguridad en general se desplomará en los días y semanas posteriores a la capacitación. La seguridad no puede ser algo único, sino que debe serlo todo el año para que sea eficaz.
La capacitación en concienciación sobre seguridad se ha desplazado cada vez más a soluciones de software como servicio en línea. La capacitación basada en la nube ofrece algunos beneficios inmediatos sobre los métodos tradicionales, pero no es necesariamente la respuesta definitiva a la conciencia de seguridad a menos que se brinde en ciertas áreas que son esenciales para mejorar genuinamente los resultados de seguridad.
¿Cómo hacer que la formación sea realmente eficaz?
Es posible contar con un programa de formación de concienciación sobre seguridad realmente eficaz, pero hay algunos criterios importantes que debes seguir para involucrar realmente a tus usuarios.
Dividir el material
Existe una cantidad limitada de información que una persona puede absorber a la vez. Esto es especialmente cierto cuando se trata de temas sobre los que la mayoría de los empleados no tienen muchos conocimientos previos. Para que la cantidad de material de aprendizaje no abrume a los usuarios finales, debe dividirse adecuadamente en segmentos, cada uno con su propio mensaje claro y simple que se presenta a los usuarios de una manera fácilmente digerible.
Ejecutar entrenamiento regular
Otro beneficio de desglosar el material de aprendizaje es que permite que el aprendizaje sea continuo, en lugar de hacerlo una sola vez. Dividir el aprendizaje en partes permite que estas secciones se envíen con regularidad durante todo el año, lo que ayuda a mantener la conciencia de seguridad constantemente en la mente de los usuarios finales. Como la repetición es clave para el aprendizaje, esto es crucial para garantizar que los usuarios recuerden realmente lo que se les ha enseñado.
Asegurarse de que el material sea relevante
Asegurarse de que el contenido de aprendizaje sea relevante para los usuarios finales es esencial para asegurarse de que sigan participando. Cuando a un usuario final se le presenta información que considera que no es relevante para él, rápidamente comenzará a perder interés y a prestar menos atención.
El material de aprendizaje no solo debe evitar la jerga y los términos técnicos, sino que también debe estar elaborado teniendo en cuenta situaciones de la vida real que el usuario final promedio encontraría en su vida laboral diaria. Por ejemplo, la mayoría de los empleados no necesitan conocer los detalles de las regulaciones o los ataques de malware, sino simplemente cómo comportarse de una manera que reduzca esos riesgos y cómo informar adecuadamente los riesgos que puedan encontrar.
Ofrecer consejos prácticos
Está muy bien enseñar a los empleados sobre los riesgos que existen y cómo pueden contrarrestarse, pero lo esencial es que los empleados abandonen la capacitación teniendo en cuenta los pasos reales que pueden poner en práctica de inmediato en sus actividades laborales diarias. Darles a los empleados la oportunidad de poner a prueba su capacitación de inmediato también ayuda a desarrollar la memoria, y se puede lograr utilizando herramientas como la simulación de phishing.
Usar video y contenido interactivo
No todo el contenido es igual. El contenido basado en texto se vuelve aburrido para los usuarios rápidamente y solo debe usarse cuando se complementa con contenido visual más atractivo. Los videos son excelentes para mantener entretenidos a los usuarios, siempre que sean de alta calidad y agradables de ver. El humor se puede utilizar con gran efecto para hacer que los videos de concienciación sobre seguridad sean más atractivos para los usuarios finales.
El contenido interactivo también es excelente para atraer a los usuarios. Muchas personas aprenden haciendo, respondiendo preguntas o participando en su aprendizaje, y el contenido interactivo también puede dar a los usuarios una sensación de logro al completar un curso.
Probar el progreso de los usuarios
Es esencial que después de las sesiones de capacitación, los usuarios sean evaluados sobre lo que han aprendido. Esto te ayuda a saber que los usuarios han aprendido puntos clave y se están alejando después de haber aprendido algo, pero también ayuda al proceso de aprendizaje de los usuarios a medida que recuerdan la información que acaban de aprender de su propia memoria.
Crear una cultura de seguridad
Sin embargo, la parte más esencial de la eficacia de un programa de formación de concienciación sobre la seguridad tiene tanto que ver con factores ajenos a la formación como con la formación misma. Para que la capacitación sea eficaz, debe ser parte de una cultura de seguridad en la que la seguridad siempre recibe la consideración que necesita y se alienta activamente a los usuarios a plantear inquietudes y hacer preguntas.
Un buen programa de concientización sobre seguridad contribuye a esto al presentar la seguridad como algo que es continuo y activo, en lugar de una sola vez y pasivo, pero es esencial que la organización apoye este esfuerzo también fuera de la capacitación.
Cómo integrar la seguridad en la cultura cotidiana del personal
La formación de concienciación sobre seguridad no será eficaz para mejorar los resultados de seguridad si no va acompañada de un cambio cultural. La capacitación integral enseñará a los usuarios finales cómo reconocer situaciones en las que la seguridad está en riesgo y cómo lidiar con ellas de manera adecuada, pero este conocimiento no se pondrá en práctica a menos que el usuario sienta que la seguridad se valora en su cultura.
Con el creciente número de amenazas presentes, así como la creciente complejidad de los servicios comerciales y el acceso a datos y sistemas desde dispositivos móviles, es imposible saber dónde podría aparecer la próxima amenaza o fuga accidental a tu negocio. Esta es la razón por la que la seguridad no debe consistir en garantizar que los usuarios finales elijan contraseñas seguras o sigan otros pasos específicos, sino en capacitarlos para que sean guardianes activos de tu negocio, tus sistemas, dispositivos y datos.
No pienses en la ciberseguridad como un problema de TI
La cultura tiene que ver con los valores. Para que los empleados se preocupen por la seguridad, es necesario destacarla como un valor en toda la empresa. Esto significa garantizar que la seguridad no sea vista como responsabilidad del equipo de seguridad o de TI, sino como una responsabilidad compartida por todos los empleados.
Incorpora la seguridad a los valores de tu empresa
El cambio cultural y los valores de la empresa tienen que venir de arriba. La alta dirección tiene un papel importante que desempeñar a la hora de enfatizar el papel de la seguridad en el negocio, pero es esencial que hagan crecer, en lugar de dictar, la nueva cultura. Esto significa alentar a los empleados a que tomen un papel activo pidiéndoles que planteen inquietudes relacionadas con sus propios roles e incitándoles a que hagan preguntas y se comprometan con los problemas de seguridad.
De esta manera, los usuarios sienten que están involucrados en el proceso de seguridad y comienzan a pensar activamente en las consideraciones de seguridad en sus propios roles. Es posible que un gerente o alguien en TI no esté completamente familiarizado con todos los procesos del flujo de trabajo de un empleado, por lo que es esencial que los propios usuarios comprendan que deben tomar medidas para garantizar la seguridad de los datos y los sistemas.
Incorporar a la alta dirección
La alta dirección también tiene un papel en el establecimiento de prioridades para el negocio. Cualquiera que trabaje para una aerolínea te dirá que la seguridad es siempre, sin excepción, la máxima prioridad. Todo lo demás viene en segundo lugar. Si bien en la mayoría de las otras empresas la seguridad no es un problema de vida o muerte, es importante recordar cuán dañina puede ser una infracción para una empresa.
Si los clientes ya no sienten que pueden confiarle a una organización su información personal o su negocio, podría ser el fin de la empresa. Debe quedar claro para todos los empleados que la seguridad siempre es lo primero, y que siempre es mejor preguntar y asegurarse que lamentar después.
Implementar privilegios mínimos
Para un entorno empresarial seguro, un principio arraigado de privilegio mínimo contribuirá en gran medida a proteger los activos, los datos y los sistemas empresariales. Si bien el principio de privilegio mínimo a menudo se considera una medida técnica, que limita a cada usuario solo a los privilegios que requiere para sus funciones específicas, también debe integrarse directamente en la cultura corporativa. Esto significa alentar a los usuarios a informar activamente cuando tengan acceso a más datos o sistemas de los que necesitan, lo que ayuda a limitar las posibilidades de infracciones.
Implementar recordatorios de las mejores prácticas
En términos de medidas físicas, elementos como carteles pueden ser útiles para construir una cultura de seguridad y también contienen recordatorios útiles sobre temas como la seguridad de las contraseñas. Sin embargo, es importante recordar que el simple hecho de pegar un póster en la pared no logrará nada por sí solo, pero deben usarse como inicio para la discusión o servir como complemento al material de capacitación con el que los usuarios ya están comprometidos.
Asegúrate de recompensar a los empleados
Por último, es importante asegurarse de que los empleados sientan que se valoran sus contribuciones a la seguridad. Cuando los empleados hacen preguntas, siempre se les debe dar tiempo y consideración, y debes asegurarte de que comprendan completamente la respuesta y por qué es importante para la seguridad. Cuando los usuarios plantean problemas de seguridad, siempre deben ser recompensados por prestar atención y trabajar para ayudar a mantener la seguridad de la empresa.
Temas esenciales de capacitación en concientización sobre seguridad
No es solo el formato de la capacitación en conciencia de seguridad lo que importa, sino también lo que incluye. La formación debe agotar todos los temas básicos, sin abrumar a los usuarios. Si bien cada organización y cada puesto de trabajo tendrá requisitos diferentes, hay algunas áreas esenciales que vale la pena asegurarse de que todos los usuarios finales las conozcan, aunque sea brevemente.
Estos temas incluyen:
- Uso seguro de Internet y correo electrónico
- Concienciación sobre el phishing
- Seguridad en casa
- Contraseñas y autenticación
- Trabajando de forma remota
- Media removible
- Seguridad física
- Seguridad de dispositivos móviles
- Wi-Fi público
- Seguridad en la nube
- Uso seguro de las redes sociales
- Ingeniería social
A medida que evolucionan las nuevas amenazas, continúa probando a tus usuarios finales todos los meses. Haz un seguimiento de los empleados con dificultades y hazles saber cómo se protegen contra el phishing y otras amenazas cibernéticas.
Por último, comparte consejos para la seguridad personal con tus empleados. Comparte consejos sobre wifi público, skimmers de tarjetas de crédito, su contraseña bancaria y más. Cuando los empleados comprenden que la seguridad afecta su vida personal, es mucho más probable que tomen esa información y la apliquen a sus vidas laborales.