Formación

¿Te imaginas cuáles serían las implicaciones si la información personal y financiera de cada empleado de tu empresa se filtrara a un intruso?

Cada vez más empresas son víctimas de ataques de phishing. Pero el phishing no es la única estrategia que utilizan estos ciberdelincuentes.

Tu empresa (y casi todas las demás empresas del mundo) también podría ser vulnerable al malware, ransomware, spam, piratería e ingeniería social.

Los empleados son el mayor activo de una empresa, pero también su mayor riesgo de seguridad.

Si observamos las brechas de seguridad en los últimos cinco a siete años, está bastante claro que las personas, ya sea por introducción accidental o intencional de malware, representan el punto de fallo más importante en términos de vulnerabilidades de seguridad.

Las organizaciones deben parchear a las personas: de forma similar a la actualización de hardware o sistemas operativos, debe actualizar constantemente a los empleados con las últimas vulnerabilidades de seguridad y capacitarlos sobre cómo reconocerlos y evitarlos.

Aquí tienes algunos consejos sobre cómo hacer que la capacitación en ciberseguridad sea más efectiva y proteger tu negocio.

¿Qué es la formación en ciberseguridad?

La capacitación sobre conciencia de seguridad es un proceso formal para educar a los empleados sobre la seguridad informática.

Un buen programa de concienciación sobre seguridad debe educar a los empleados sobre las políticas y procedimientos corporativos para trabajar con tecnología de la información ( TI ).

Los empleados deben recibir información sobre a quién contactar si descubren una amenaza a la seguridad y se les enseña esa información como un activo corporativo valioso.

La capacitación regular es particularmente necesaria en organizaciones con altas tasas de rotación y aquellas que dependen en gran medida del personal contratado o temporal.

Confirmar qué tan bien está funcionando el programa de concientización puede ser difícil. La métrica más común busca una tendencia a la baja en el número de incidentes a lo largo del tiempo.

¿Por qué realizar formación en ciberseguridad para empleados?

El argumento para educar a los empleados sobre ciberseguridad es simple: si los empleados no saben cómo reconocer una amenaza a la seguridad, ¿cómo se puede esperar que la eviten, denuncien o eliminen? No pueden.

Por ejemplo, la Encuesta sobre el estado de la seguridad de TI de 2019 encontró que la seguridad del correo electrónico y la capacitación de los empleados se enumeraron como los principales problemas que enfrentan los profesionales de seguridad de TI.

Sin embargo, más del 30% de los empleados encuestados ni siquiera sabían qué era el phishing o el malware. Probablemente por eso estafas como el Business Email Compromise (BEC) provocan enormes pérdidas de más de 3 mil millones de dólares.

¿Estas compañías no tienen firewalls y software de seguridad? Lo hacen, pero no es suficiente.

Los empleados, no la tecnología, son los puntos de entrada más comunes para los phishers. Y cuando se trata de empresas, bueno, digamos que hay muchos ‘phishing’ en el mar.

Ahora, esto no significa que los empleados estén conspirando para provocar la caída de la empresa. Pero como humanos, los empleados cometen errores, confían en identidades falsas, tentados por el clickbait y son vulnerables a otras tácticas furtivas utilizadas por los delincuentes para obtener acceso a la información de la compañía.

A menos que, por supuesto, sus empleados hayan participado en programas de capacitación en seguridad cibernética.

Sus empleados necesitan capacitación en ciberseguridad en línea para protegerse y proteger a la empresa contra los ciberataques.

Al informar a los empleados sobre las amenazas de seguridad, cómo podrían presentarse y qué procedimientos seguir cuando se identifica una amenaza, estás fortaleciendo los eslabones más vulnerables de la cadena.

Temas de conciencia de seguridad

Ahora que sabes lo importante que es concienciar a tus empleados en materia de ciberseguridad, debes conocer cómo realizar esa capacitación.

Estos son los temas más importantes que debe incluir la capacitación de sus empleados sobre conciencia de seguridad.

Diferentes formas de amenazas de ciberseguridad

Para que los empleados puedan detectar y prevenir infracciones de seguridad, necesitarán una educación básica sobre las diferentes formas en que las amenazas de ciberseguridad pueden presentarse. En su mayor parte, esto incluye spam, phishing, malware y ransomware e ingeniería social.

Para comenzar, proporciona vídeos de capacitación en ciberseguridad para ayudar a los empleados a identificar el contenido de spam que podría estar ocultando software malicioso. Es importante explicar que el spam no solo se encuentra en los correos electrónicos, sino también en los mensajes e invitaciones de las redes sociales. Por ejemplo, una ‘invitación a conectarse’ de LinkedIn puede llevar un virus.

Luego, ofrezce capacitación sobre phishing para empleados nuevos y antiguos. Proporciona ejemplos de estafas de phishing reales que ayuden a los empleados a comprender cómo se vería un correo electrónico falsificado, de quién podría provenir y qué tipo de información podría solicitar. Por lo general, estos correos electrónicos solicitan nombres de usuario, contraseñas, información personal o información financiera que permite a los delincuentes acceder a los programas de la empresa o robar dinero.

La capacitación también debe incluir consejos de ciberseguridad para los empleados que podrían ser engañados para descargar malware o ransomware. El malware es cualquier virus u otro software que ataca y daña la funcionalidad de un dispositivo. El ransomware aprovecha el sitio web de una empresa u otras plataformas para extorsionar a un tercero. Ambas son amenazas importantes para cualquier empresa.

Finalmente, la ingeniería social debería ser un tema obligatorio en la capacitación de concientización de seguridad en línea para los empleados. Si bien la palabra ‘ingeniería’ puede desanimarte, este tema de capacitación es realmente bastante simple. Los ingenieros sociales se disfrazan con identidades en línea falsas pero confiables, y luego engañan a sus empleados para que entreguen información que no deberían.

La importancia de la seguridad de la contraseña

Hoy en día, las personas necesitan contraseñas para desbloquear sus dispositivos, para iniciar sesión en sus cuentas y para cada aplicación relacionada con el trabajo.

Es mucho recordar, por lo que muchas personas establecen contraseñas genéricas que se desenredan fácilmente. Esta es la razón por la cual la capacitación en línea de concienciación sobre ciberseguridad debería ayudar a los empleados a comprender la importancia de las contraseñas.

Explícales que las contraseñas son la primera línea de protección para mantener segura la información confidencial y los hackers a raya. Luego, muestra a los empleados cómo establecer contraseñas seguras que incorporen una combinación de letras, números y símbolos.

Políticas de correo electrónico, Internet y redes sociales

El correo electrónico y los hábitos de navegación de los empleados pueden dejar a una empresa totalmente abierta al software malicioso, que ataca las aplicaciones de la empresa y las cuentas sociales, roba información y posiblemente incluso dinero.

Por lo tanto, es crucial que la capacitación en ciberseguridad para los empleados de su empresa incluya políticas y pautas para usar el correo electrónico, Internet y las redes sociales.

Incluye políticas sobre los tipos de enlaces en los que se puede hacer clic y los que no. Por ejemplo, no se debe hacer clic en enlaces:

  • sospechosos de personas u organizaciones desconocidas,
  • contenidos en correos electrónicos inesperados y
  • que su programa antivirus ha marcado como no confiables.

Describe las reglas para la navegación en Internet y el uso de las redes sociales en los dispositivos de la compañía y para usar las direcciones de correo electrónico de la compañía.

La protección de los datos de la empresa

Cada compañía tiene sus propias políticas sobre la protección de datos, pero no asumas que todos los empleados conocen estas políticas o que las entienden.

La capacitación en seguridad de la información para los nuevos empleados debe explicar las obligaciones legales y reglamentarias de la protección de datos. Luego, ofrece cursos de actualización regulares para que todos los empleados estén actualizados sobre las reglas y políticas sobre protección de datos, incluso cuando cambien.

Cómo identificar y reportar amenazas de seguridad cibernética

Los empleados son tus ojos y oídos en el suelo. Todos los dispositivos que usan, el correo electrónico que reciben y el programa que abren pueden contener pistas sobre un virus al acecho, una estafa de phishing o un hack de contraseña. Pero, para realmente movilizar a tus empleados como una fuerza contra los ataques, necesitarán capacitación en concientización de seguridad cibernética.

Primero, usa esta capacitación para ayudar a los empleados a darse cuenta de errores inexplicables, contenido de spam y advertencias legítimas de antivirus. Luego, infórmales sobre el proceso que deben seguir para informar estas banderas rojas, así como a las personas adecuadas para hablar sobre las sospechas de un ataque cibernético.

Mejores prácticas para la capacitación en ciberseguridad

El propósito de la capacitación en seguridad cibernética para los empleados es siempre alterar sus hábitos y comportamientos, y crear un sentido de responsabilidad compartida, para que la empresa esté a salvo de los ataques.

No es difícil ver que un volcado de conocimiento único sobre los temas descritos anteriormente no es suficiente para lograr esto. En su lugar, deberás seguir estas mejores prácticas.

Hacer que la capacitación en ciberseguridad sea obligatoria para los nuevos empleados

La creación de conciencia sobre las necesidades de las amenazas de seguridad en línea para comenzar el primer día. Por lo tanto, la formación de ciberseguridad debe incluirse en su programa de incorporación y asegurarse de que cubre todos los temas más importantes.

Incorporar políticas y reglas sobre protección de datos y uso de Internet en el manual del empleado también puede ayudar.

Al comenzar en la etapa de incorporación, debes mostrar a los nuevos empleados que la compañía se preocupa tanto por la ciberseguridad como por las tareas y la estrategia del trabajo. Como resultado, comprenderán la importancia del comportamiento cuidadoso en línea desde su primera semana de trabajo.

Actualiza y repite el entrenamiento regularmente

Para la mayoría de las personas, agarrar su teléfono móvil es lo primero que hacen cuando se despiertan. ¿Por qué? Bueno, es un habito. Y, según la investigación, la repetición es un paso clave para formar un hábito bien arraigado.

Entonces, cuando se trata de capacitación en ciberseguridad en línea para empleados, asegúrate de ofrecerla con frecuencia y con muchas oportunidades para practicar comportamientos seguros en línea.

La capacitación continua también te permitirá incorporar cambios de política e información sobre las últimas estafas en su capacitación. Al igual que la tecnología, la ciberseguridad está en continua evolución, y mantenerse actualizado podría ser la diferencia entre mantener segura o no tu empresa.

Haz que tus empleados se crean héroes cibernéticos

Los empleados pueden ser el objetivo principal de los ataques cibernéticos, pero también son su primera línea de defensa. Y mantener su defensa fuerte beneficiará a toda la compañía, trabajando juntos como uno solo. Por lo tanto, deberás ganarte la aceptación de los empleados y hacer de la ciberseguridad un elemento central de la cultura de la empresa.

Para hacer esto, haz que los empleados se sientan como héroes cibernéticos. Usando un poderoso sistema de gestión de aprendizaje, incorpora trucos de gamificación que los hagan sentir emocionados, reconocidos y apreciados por sus logros de capacitación en seguridad.

Luego, cuando se empiecen a identificar más amenazas antes de que se conviertan en problemas, envía un correo electrónico de toda la empresa para informar a los empleados. Mostrarles cuánto ha ayudado su capacitación a la empresa seguramente fomentará un mayor aprendizaje en esta área.

Realiza evaluaciones

No tengas miedo de realizar evaluaciones de los empleados y los sistemas para descubrir cómo es de vulnerable tu organización para ser atacada. Esto te permitirá conocer los conocimientos y la  postura de los empleados en temas de ciberseguridad.

Comunica

Crea un plan sobre la mejor manera de comunicar información de seguridad cibernética a todos los empleados, para que todos los departamentos participen con las mejores prácticas de capacitación y aprendizaje.

Crea un plan formal

Los equipos de TI deben desarrollar un plan formal y documentado para la capacitación en seguridad cibernética que se revisa y actualiza a menudo con la información más reciente sobre vectores de ataque y otros riesgos.

Nombra defensores de la cultura de ciberseguridad

Los líderes tecnológicos deben designar un defensor de la cultura de seguridad cibernética en cada departamento de su organización. Estos defensores pueden actuar como una extensión del CISO y mantener a los empleados capacitados y motivados.

Ofrece capacitación continua

La capacitación en ciberseguridad debe continuar durante todo el año, en todos los niveles de la organización, específica para el trabajo de cada empleado. Debe haber capacitación asociada con los tipos de ataques que puedes recibir, por ejemplo, ataques a tu correo electrónico o ataques que están orientados al tipo de trabajo que realizas.

Cómo crear un programa de capacitación en ciberseguridad para empleados

La creación de un programa de capacitación en seguridad cibernética para los empleados debe ser cuidadosamente pensado y planificado. Debe abordar las preocupaciones de seguridad actuales y hacer que los empleados estén alertas y cautelosos para que puedan detectar amenazas y prevenir incidentes de seguridad.

Para ello, debes seguir estos pasos.

Definir el alcance preliminar del programa

Debes decidir sobre el alcance de los programas de capacitación en ciberseguridad. El alcance de la capacitación se basará en el número de empleados, su nivel de conciencia de ciberseguridad, presupuesto disponible y plazos.

También puedes diseñar tu programa de capacitación en ciberseguridad para que consista en dos o más niveles. Los niveles que puedes agregar incluyen:

  • Nivel preliminar (o básico): el programa básico de ciberseguridad es para empleados que usan sistemas de TI a diario pero que tienen conocimientos o experiencia limitados. Esto puede incluir a sus representantes de ventas, ejecutivos de recursos humanos, operadores y ejecutivos de marketing. El alcance de su capacitación abarcaría principalmente prácticas básicas de seguridad cibernética, como la rotación de contraseñas y parches regulares.
  • Nivel gerencial: La capacitación en seguridad a nivel gerencial está diseñada para ayudar a los ejecutivos que lideran equipos a abordar las preguntas y preocupaciones de los empleados. Los gerentes también deberían poder trabajar con su equipo de TI para abordar cualquier problema, y ​​también podrían servir en sus paneles de liderazgo de seguridad de TI.
  • Capacitación para el personal de TI: su personal de TI necesita una inmersión profunda en la capacitación en ciberseguridad. Deben aprender técnicas de detección y mitigación de amenazas. También deben recibir capacitación sobre cómo utilizar herramientas de seguridad, como las pruebas de penetración; mapeo de red y soluciones de monitoreo ; y escáneres de vulnerabilidad.

Involucra a las partes interesadas clave y forma un equipo central

Obtener el apoyo y la aprobación del equipo de liderazgo es importante para el éxito de los programas de capacitación en seguridad cibernética. También valida su necesidad e importancia.

Obtener el apoyo de varios líderes de unidades de negocios para la capacitación en seguridad cibernética hará que sea más fácil obtener la aprobación de los presupuestos, así como asignar tiempo y recursos a los empleados. También puedes crear un equipo central para apoyar tus iniciativas de capacitación en seguridad cibernética.

El equipo central debe incluir representantes de todas sus líneas de negocio: recursos humanos, TI, operaciones, ventas y marketing. Incluye los aportes de los miembros del equipo central sobre qué áreas necesitan un mayor enfoque en el plan de capacitación en seguridad cibernética, teniendo en cuenta sus necesidades e intereses comerciales.

Planifica un programa viable con objetivos definibles y medibles

Una vez que definas qué aspectos deseas cubrir en tus programas de capacitación en seguridad cibernética, deberás preparar los materiales, decidir el marco de tiempo y corregir las métricas de capacitación que deseas supervisar para tener éxito.

Para preparar un recurso de capacitación eficaz, es posible que primero desees identificar los desafíos (amenazas) de seguridad que enfrenta tu organización. También debes identificar las amenazas comunes de ingeniería social que enfrentan tus empleados y abordarlas en los materiales de capacitación.

Puedes preparar los materiales de capacitación en diferentes formatos, incluidos vídeos, presentaciones, consejos diarios, cuestionarios, pósters y podcasts. El objetivo debe ser mantener los materiales de capacitación informativos y atractivos. También deberían ser fácilmente accesibles.

Debes reunir expertos y profesionales de seguridad de tu organización para reunir los materiales de capacitación. Además, puedes utilizar proveedores de capacitación de seguridad de terceros para realizar clases o talleres. Asegúrate de enseñar a tus empleados mecanismos básicos de detección de amenazas y fraude para reducir la tasa de incidentes de seguridad.

Junto con sus materiales de capacitación, también necesitas identificar soluciones de seguridad utilizadas dentro de tu organización que puedan ayudar a los empleados a mejorar su higiene de seguridad.

Otras cosas que debes considerar incluyen el coste de los recursos de capacitación, el tiempo interno del personal requerido para la preparación de materiales y el compromiso del personal. Para llevar a cabo las sesiones, busca asistencia de equipos individuales y de recursos humanos para organizar las sesiones.

Implementa, mide y optimiza

Tus materiales y programas de capacitación en seguridad cibernética deben ser consistentes y deben alinearse con tus objetivos definidos, y asegurarte de implementar los programas de capacitación en seguridad cibernética de manera gradual.

Puedes comenzar con lo básico y luego pasar a temas avanzados a medida que los empleados buscan más información de seguridad. Asegúrate de implementar la capacitación de una manera atractiva, en lugar de aburrida.

Puedes realizar concursos de carteles, recompensar a los empleados que muestran una buena higiene de seguridad, designar campeones de seguridad y organizar hackatones o ejercicios de equipo rojo y azul. También puedes enviar boletines informativos mensuales o trimestrales de seguridad cibernética que cubran tendencias y desarrollos del mercado, así como enviar sugerencias diarias o semanales por correo electrónico.

Mide el éxito de tu capacitación en seguridad cibernética mediante el uso de métricas, como el porcentaje de incidentes de seguridad menores reportados, las tasas simuladas de clics de correo electrónico de phishing y el comportamiento general de los empleados hacia aspectos de seguridad como la administración de contraseñas, la privacidad de los datos y la protección de la identidad.

Busca comentarios de los empleados y de otras partes interesadas clave del negocio para optimizar el programa de capacitación. También debes actualizar los materiales de capacitación al menos una vez al año para hacer un balance del cambiante mundo de la ciberseguridad.