...
🧠 El blog está dedicado al tema de VPN y seguridad, privacidad de datos en Internet. Hablamos de tendencias actuales y noticias relacionadas con la protección.

Concientización sobre ciberseguridad para empleados: consejos y mejores prácticas

23

La mayor tragedia del avance científico y tecnológico es que avanza a un ritmo mucho más rápido que la sabiduría colectiva de la sociedad. Esto es lo que esencialmente decía Isaac Asimov hace unas décadas al comentar la relación entre ciencia y sociedad.

Avance rápido hasta hoy, Internet se ha convertido en un componente esencial de casi todos los aspectos de la vida moderna, desde la esfera personal hasta la profesional. A pesar de nuestra creciente dependencia de Internet, es sorprendente que la conciencia de ciberseguridad siga siendo ignorada en gran medida.

A nivel personal, se puede excusar a una persona por no comprender las buenas prácticas de ciberseguridad. Pero a nivel corporativo, la negligencia de las empresas y la negativa a promover la conciencia de ciberseguridad entre los empleados es, por decir lo menos, asombroso.

Según un informe publicado por Chubb, solo el 31% de los empleados encuestados informaron haber recibido educación y capacitación en seguridad cibernética en toda la empresa.

A medida que la pandemia de covid-19 aumenta la necesidad de conectividad en línea para la mayoría de las empresas, el mayor riesgo de violaciones de seguridad es demasiado alto para tomarlo a la ligera. Por lo tanto, este es un momento crítico para las empresas. Si se sigue minimizando la importancia de la formación y la concienciación sobre ciberseguridad, las empresas serán las más afectadas por los ataques digitales. En una economía inestable, esto podría tener consecuencias devastadoras.

Mi objetivo al escribir este artículo fue desempeñar un pequeño papel en la promoción de un sentido de urgencia sobre la necesidad de que las empresas inviertan en la capacitación en ciberseguridad de sus empleados. En lugar de construir argumentos a favor de mi tesis, como es mi estilo habitual cuando escribo artículos sobre estos temas, decidí invitar a profesionales de la seguridad y compartir sus puntos de vista sobre este problema apremiante pero a menudo ignorado de nuestro tiempo.

Lo que sigue son las citas de varios son los pensamientos de varios profesionales de la industria con los que estoy en deuda por compartir sus ideas con nosotros.

Por qué es importante la formación en ciberseguridad (según expertos)

Nancy Sabino, directora ejecutiva y cofundadora de SabinoCompTech

Los empleados van a ser la primera línea de defensa en la lucha contra la amenaza de ciberseguridad. Si no están al tanto de cuáles son las amenazas, cómo detectarlas y qué hacer al respecto, se convierten en un riesgo en lugar de una fuente de prevención. Cuando evalúa el riesgo en su organización, tener empleados que estén bien informados y conscientes de lo que están buscando y cómo responder rápidamente si algo sucediera movería el dial significativamente para reducir su riesgo. Establecer la prevención siempre es mejor en lugar de ocuparse de la remediación, que puede resultar extremadamente costosa y consumir mucho tiempo.

Personalmente, aprovecho la capacitación continua que brinda mi empresa para continuar perfeccionando mis habilidades y mantenerme al día con las nuevas tendencias a medida que aparecen. También ofrecemos esto a todos nuestros clientes para que también puedan ayudarnos a ser proactivos. Absolutamente ha valido la pena porque la conciencia por sí sola ha reducido la cantidad de clics que ocurren en los correos electrónicos, así como la cantidad de datos ingresados ​​​​en los correos electrónicos de phishing, etc.

John Svazic – Fundador y Consultor Principal en EliteSec

Nos guste o no, los empleados siguen siendo el vector n.º 1 que persiguen las partes malintencionadas cuando quieren acceder a su empresa. A través de los correos electrónicos habituales de phishing a "vishing" (phishing de voz), se aprovecharán de la buena naturaleza de un empleado para obtener acceso a los datos, las finanzas o los secretos comerciales de una organización.

He recibido y dado formación en ciberseguridad durante muchos años, y puedo decir que es indispensable si se hace correctamente. No les dé a sus usuarios finales un video de 30 minutos o un módulo de capacitación basado en computadora: bríndeles ejemplos de lo que puede suceder si se enamoran de uno de estos correos electrónicos. ¿Cuál es el efecto aguas abajo? ¿Qué le puede pasar al individuo? Esto es mucho más útil que simplemente decirles a los empleados: "No hagan clic en enlaces ni descarguen archivos adjuntos de correos electrónicos sospechosos".

Steven Weisman – Experto en ciberseguridad y profesor de la Universidad de Bentley

Las empresas son tan seguras como sus empleados practican la menor cantidad de prácticas de ciberseguridad. Los ciberataques como el ransomware, las filtraciones de datos y el robo de propiedad intelectual importante, así como el compromiso del correo electrónico empresarial, pueden tener efectos devastadores para las empresas. Soy experto en ciberseguridad y profesor en la Universidad de Bentley, donde enseño delitos de cuello blanco. También escribo el blog Scamicide donde cada día brindo información actualizada sobre los últimos desarrollos en ciberseguridad.

En Bentley, la seguridad cibernética es una prioridad y se enfatiza continuamente la capacitación, en particular para reconocer los correos electrónicos de phishing selectivo y practicar conceptos básicos importantes de seguridad cibernética, como no hacer clic en los enlaces a menos que se haya confirmado que son legítimos. Cuando dicha capacitación se realiza sin juzgar y de una manera útil, es muy eficaz.

Andy Sauer, experto en ciberseguridad en Steel Root

La conciencia de la ciberseguridad es importante para los empleados en un entorno organizacional porque COVID-19 ha cambiado el panorama por completo, haciendo que la ciberseguridad sea una amenaza comercial mucho mayor que nunca. Esto se debe al aumento significativo de personas que están teletrabajando; lo que conduce a los siguientes factores:

  • Cambios de comportamiento: trabajando fuera del sitio, los empleados tienden a estar más relajados y es más probable que bajen la guardia, tal vez incluso respondiendo correos electrónicos diseñados para proporcionar acceso a los datos a los piratas informáticos. Además, con el aumento de los niveles de estrés, el personal podría estar más inclinado a ser reactivo y menos estratégico en sus acciones.
  • Cambios situacionales: al trabajar en ubicaciones dispares, las instrucciones de seguridad y las reglas de acceso pueden pasar desapercibidas. Esto puede resultar en una supervisión menos estricta de las transacciones y otros flujos de trabajo clave.
  • Cambios tecnológicos: De repente, las empresas se ven obligadas a extender sus cortafuegos más allá de los límites físicos de su oficina. Se accede a los sistemas de la empresa desde una amplia gama de dispositivos, incluso dispositivos personales. Estos cambios pueden generar compromisos, expansión de datos y otros desafíos.

Chris Silbaugh, vicepresidente de desarrollo empresarial de CyberKnights

Participé en la capacitación en seguridad cibernética, además de brindar la capacitación, y la parte más importante de atraer a la audiencia es ayudarlos a comprender los impactos negativos, como la pérdida o el robo de información personal, la información relacionada con el negocio y las sanciones legales. que resultan en una pérdida financiera. Ayude a las personas a comprender primero las consecuencias para que se tomen el tiempo de aprender cómo evitar que ocurran tales consecuencias.

Steven M. Solomon – Vicepresidente de SecurIT360

La conciencia de ciberseguridad reduce el riesgo de un incidente de seguridad de alto impacto que puede dañar el negocio. En mi experiencia, brindar educación sobre seguridad y capacitación en concientización es una actividad valiosa que muchos líderes empresariales consideran que evita costos. Recuerda formalmente a los empleados que existen políticas y procedimientos de seguridad importantes que se deben tener en cuenta al realizar el trabajo y define las consecuencias de no seguir una buena higiene cibernética. Con la prevalencia de amenazas y los altos costos de los incidentes de seguridad, los empleados deben estar atentos en sus actividades diarias.

Cindy Murphy, presidenta de análisis forense digital en Tetra Defense

Los programas de concientización y las iniciativas de capacitación en seguridad de los empleados son de vital importancia para proteger los datos confidenciales que poseen las organizaciones. Soy un defensor de brindar capacitación en seguridad cibernética para que los empleados estén preparados para reconocer actividades maliciosas. Por ejemplo, los estafadores siguen utilizando predominantemente el correo electrónico para engañar a sus víctimas. Lo que es nuevo en esta era es la mensajería fraudulenta dentro de los correos electrónicos: el CDC solicita donaciones en Bitcoin. Sus documentos de desgravación fiscal por el COVID-19 están disponibles en este sitio web (falso). Un médico de la Organización Mundial de la Salud tiene "consejos sobre medicamentos" si hace clic aquí. Esto es ingeniería social en su peor momento y, desafortunadamente, es más probable que funcione en estos tiempos inciertos.

La gente no se ha vuelto más crédula en los últimos tres meses y medio; se han acostumbrado a los grandes cambios en pequeños mensajes. Cuando el próximo titular de noticias podría ser una cuestión de seguridad o enfermedad, es mucho más fácil creer en la información que aparece en su bandeja de entrada.

Mark Soto – CEO de Cybericus

Una de las principales razones por las que la conciencia de ciberseguridad es importante para los empleados se debe al hecho de que la gran mayoría de las filtraciones de datos (varía entre el 60 % y el 80 % según la fuente) se deben a errores internos de los empleados y casi (30 % a 40 % mismo motivo anterior) de violaciones de datos se debe a empleados internos malintencionados. Sus empleados deben conocer los conceptos básicos de ciberseguridad, los peligros cibernéticos fuera de la empresa y dentro de ella. Por lo general, trabajamos con empresas una vez que han sido atacadas, pero definitivamente consideraríamos que la capacitación en ciberseguridad vale la pena.

Puede gastar millones de dólares en el mejor software de ciberseguridad altamente avanzado para su empresa, pero si sus empleados no tienen los conocimientos suficientes sobre las mejores prácticas, simplemente está desperdiciando su dinero. El software no puede hacer mucho para prevenir ataques debido a errores humanos y si su empleado no sabe por qué no debe conectar memorias USB aleatorias en su computadora o no hacer clic en enlaces de correo electrónico aleatorios de direcciones de correo electrónico dudosas, entonces usted está destinado a ser pirateado sin importar qué tipo de software o tecnología esté utilizando.

Marty Puranik – Presidente y CEO de Atlantic.net

Una tendencia importante que estamos viendo ahora y que en realidad no existía hace años es la capacitación en seguridad cibernética de los empleados. Esto debería ser parte de la cultura de su empresa, y cuanto más extendido esté en su empresa, más personas lo aceptarán. Intente incluir a su CIO o gerente de TI durante el proceso de incorporación para que los nuevos empleados comprendan realmente la importancia de la seguridad en su nuevo lugar de trabajo. Para los empleados de mucho tiempo, asegúrese de que su mensaje se transmita a través de sus líderes de equipo. Trate de mantenerse alejado de los correos electrónicos largos y los memorandos que muchos empleados leerán por encima de las primeras oraciones antes de eliminarlos.

En su lugar, intente crear algunos videos, o tal vez cuelgue algunas infografías en las áreas principales de la oficina, como la sala de descanso, cerca de la fuente de agua e incluso en el baño. Incluso si sus empleados no están tan interesados ​​en la seguridad, la lectura repetida de frases y acciones en forma visual les ayudará a recordar dichos mensajes cuando ocurra algo fuera de lo común en línea.

Nick Santora – CEO de Curricula

Según varios informes, ha habido un aumento del 500 % en los ataques cibernéticos desde el brote de coronavirus. Los piratas informáticos y los malos actores se están aprovechando de este desafortunado momento por el que todos estamos pasando. Hemos visto tantos ataques de phishing dirigidos a empleados que ahora forman parte de una fuerza laboral remota masiva, y la falta de capacitación en seguridad cibernética es evidente.

La estrategia de seguridad cibernética más efectiva #1 es capacitar a sus empleados en todos los niveles de la empresa sobre qué buscar en un correo electrónico sospechoso, una posible estafa de phishing o incluso un ataque de ransomware.

Dr. Al Marcella – CISAM, CISA, Presidente de Business Automation Consultants

Solíamos decir que "el conocimiento es poder", sin embargo, en nuestro mundo globalmente conectado, siempre activo, 24 horas al día, 7 días a la semana, dependiente de la información, los datos son una mercancía: los datos tienen valor. Ya no es el conocimiento el que engendra poder, sino que, hoy, “la información es poder". Un empleado que no actúa de manera responsable para proteger y asegurar los activos de información de la organización, invariablemente pone a la organización en riesgo… financieramente, competitivamente, legalmente.

Llevo más de 35 años impartiendo formación en ciberseguridad. La capacitación que hace que un empleado se detenga y piense antes de hacer clic en un correo electrónico externo, proporcionar información a una persona que llama, abrir un enlace web, escanear un código QRC o tomar cualquier acción que pueda ponerlos a ellos o a su organización en riesgo, es positiva, receptiva., capacitación oportuna y proactiva.

La ciberseguridad no es solo para el personal técnico/de TI

He notado que muchas veces, las discusiones sobre capacitación en seguridad cibernética tienden a asumir que solo el personal técnico debe estar bien versado en las mejores prácticas de seguridad. Pero esto ignora el hecho de que incluso si las personas responsables de diseñar las redes de una empresa hacen un trabajo minucioso para minimizar los riesgos, todo lo que se necesita es que una persona en una empresa haga clic en el enlace incorrecto para deshacer todo eso.

Es necesario acabar con esta idea y hacer de la concienciación sobre ciberseguridad un programa integral. Esto es lo que algunos expertos tienen que decir sobre este tema:

Dr. Tom Keenan – Profesor de la Universidad de Calgary
¡Incluso los recepcionistas necesitan capacitación y concienciación sobre seguridad cibernética!

Nunca olvidaré el "Desafío de ingeniería social" en DEF CON hace unos años, donde el objetivo era extraer información de los concesionarios de automóviles, supuestamente porque iban a aparecer como un falso "Concesionario del mes".

Los recepcionistas entregaron cosas como "¿qué versión de Windows ejecuta su empresa?", "¿Cuál es el nombre y el correo electrónico de su director financiero?" e ​​incluso "¿Qué día se recolecta su basura?", Todo útil para piratas informáticos y ladrones de identidad. .

Entonces, cuando voy a una empresa para hacer una capacitación de concientización sobre seguridad cibernética, generalmente tengo una agradable conversación con la recepcionista y luego puedo contarle al CIO y al CEO todo tipo de cosas interesantes sobre su empresa. ¡Funciona todo el tiempo!

Gabe Turner – Experto en ciberseguridad en Security.org

Considero que la capacitación debe estar enfocada a cualquier tipo de empleado que utilice dispositivos electrónicos para fines relacionados con la empresa, especialmente si utiliza Internet. Si bien el personal de TI obviamente será contratado si hay filtraciones de datos, la capacitación de los propios empleados es una medida preventiva frente a una medida reactiva, lo que reduce la posibilidad de que la empresa tenga una brecha de datos en primer lugar.

Ilia Sotnikov, vicepresidente de gestión de productos de Netwrix

Las sesiones de capacitación periódicas para todos los equipos, desde el personal de TI hasta los empleados que no son de TI, ayudarán a su personal a comprender mejor cómo deben reaccionar ante las actividades de los piratas informáticos. Por ejemplo, si incluye información sobre phishing y las estafas más recientes, existe la posibilidad de que los trabajadores no hagan clic en enlaces sospechosos en los correos electrónicos y envíen estos mensajes al equipo de TI.

Además, estas sesiones de capacitación ayudarán a los empleados de todos los niveles y de todos los departamentos a comprender que son personalmente responsables de la postura de seguridad de la organización, lo que puede ayudarlos a estar más atentos. Es posible que esto no elimine por completo el riesgo de violaciones de datos, pero sin duda tendrá una mejor cultura en el lugar de trabajo y sus datos y sistemas estarán más protegidos.

Darren Deslatte – Líder de Operaciones de Vulnerabilidad en Entrust Solutions

El programa de capacitación en seguridad cibernética de su empresa debe abarcar absolutamente a todos los empleados. Casi el 90 % de los ciberataques se deben a errores humanos o negligencia. Una de las mejores maneras de vencer esas probabilidades es asegurarse de que todos en su organización comprendan su responsabilidad de mantener la seguridad cibernética de su empresa, desde el director ejecutivo hasta el contratista remoto.

Temas clave que deben incluirse en un programa de capacitación en ciberseguridad

Para que un plan de ciberseguridad sea efectivo, el programa de capacitación debe diseñarse adecuadamente para incluir temas que contribuyan efectivamente a la concienciación de los empleados sin que se sientan abrumados. Este es el consenso general de los expertos que dieron su punto de vista sobre este tema:

Chris Silbaugh, vicepresidente de desarrollo empresarial de CyberKnights

Hay una variedad de temas de ciberseguridad en los que los empleados deben recibir capacitación y, en última instancia, debe depender del puesto en el que se encuentre el empleado. Por ejemplo, el personal del departamento técnico/de TI debe ser más riguroso dada la naturaleza en la que se le asigna responsabilidad principal de administrar la red de empresas de alguna forma.

Los empleados que son más un usuario promedio de la red de la empresa deben tener otra forma de capacitación que se centre en un enfoque más simple para administrar la seguridad del dominio. Finalmente, la capacitación no debe ser en formatos largos que permitan que el empleado pierda la atención rápidamente. La capacitación debe llevarse a cabo con frecuencia, pero de menor duración. La culminación de un año de capacitación demostrará ser un mejor proceso en lugar de un par de horas dedicadas a la vez.

Nick Santora – Director ejecutivo de Curricula

Algunos temas clave de capacitación en concientización sobre seguridad cibernética serían:

1 Phishing: la mayoría de los ataques cibernéticos contra una organización se realizarán a través del phishing por correo electrónico. Los empleados deben comprender cómo identificar un ataque de phishing y defenderse de no hacer clic en enlaces sospechosos en un correo electrónico.

2 Protección de contraseña: los empleados deben comprender cómo crear contraseñas seguras, como no usar contraseñas que sean fáciles de adivinar para alguien como ‘1234'. También deben comprender el riesgo de reutilización de contraseñas entre cuentas personales y corporativas, cómo usar un administrador de contraseñas ("bóveda") y aprenda por qué las contraseñas son tan importantes para proteger sus cuentas en línea.

3 Seguridad de la información: "InfoSec" tiene que ver con la protección de los activos de información digital de su organización. Los empleados deben entender que el acceso a la información es un privilegio y el acceso de "necesidad de saber" debe practicarse en todo momento. El intercambio de datos confidenciales fuera de la organización debe tomarse muy en serio y los empleados deben conocer la política de su organización para proteger la información.

4 Ransomware: el ransomware es un software malicioso que cifra los datos en una computadora hasta que se le paga una suma de dinero al pirata informático, y es una de las amenazas más populares dirigidas a empresas de todo el mundo. Si no se paga el rescate, su computadora y todos sus datos son irrecuperables. La mejor manera de defenderse contra el ransomware es evitar que suceda en primer lugar.

Dr. Al Marcella – CISAM, CISA, Presidente de Business Automation Consultants

Los datos son un activo y tienen valor para la empresa. Los empleados deben estar capacitados para considerar los datos como un activo corporativo crítico que debe protegerse.

Riesgo cibernético. ¿Quiénes son los actores de amenazas que buscan obtener acceso no autorizado a los activos de datos críticos de la empresa? ¿Cuáles son las vulnerabilidades dentro de la empresa que un actor de amenazas podría aprovechar? ¿Cuál es la posibilidad de que el actor de la amenaza se aproveche de la vulnerabilidad? ¿Cuál es el impacto (financiero, legal, reputacional) para la organización, si esto llegara a ocurrir? ¿Cuál es el papel de cada empleado en la mitigación de estos riesgos cibernéticos?

Seguridad de la red. Los empleados solo deben conectarse a Internet y a las redes de la empresa a través de un servicio de red privada virtual, por lo que los intercambios de empleados se mantienen privados.

Cifrado _ Capacite a los empleados sobre la implementación y el uso constante de protocolos de encriptación sólidos para proteger los activos de datos digitales críticos de la organización.

Travesuras cibernéticas. Capacitación constante e información actualizada sobre estafas cada vez más sofisticadas, ataques de phishing, maniobras de ingeniería social, correos electrónicos falsos y sitios web tentadores… todo diseñado para atraer a un empleado para que divulgue, haga clic, actúe o responda a información ficticia, artificial y engañosa.

David Shrier – Director del programa de Oxford Cyber ​​Futures de la Universidad de Oxford en asociación con Mastercard

Los empleados deben estar capacitados en un núcleo de higiene cibernética y tener una mayor conciencia de cuestiones más amplias, como la seguridad y privacidad de los datos y la ética cibernética, todo lo cual crea riesgos y abre oportunidades para las empresas. Oxford Cyber ​​Futures, por ejemplo, primero construye una base cibernética sólida y luego se extiende a la identidad digital, la IA predictiva, la banca abierta y otras áreas de crecimiento.

Para que una empresa colabore de manera efectiva en cibernética, necesita desarrollar capacidad cibernética en todas las áreas funcionales de la organización, no solo en el personal de TI. Con demasiada frecuencia, la cibernética se vuelve impenetrable o aterradora en términos de cómo se enseña, por lo que en nuestro programa con Oxford buscamos desmitificar la complejidad y ayudar a los profesionales de negocios a comprender el potencial del impacto tangible en los ingresos y las ganancias.

Heinrich Long – Experto en privacidad en Restore Privacy

Cuando se trata de capacitación en seguridad cibernética para empleados, recomendaría encarecidamente utilizar un proveedor de capacitación externo profesional. Si no puede encontrar una buena opción para su empresa, entonces es importante cubrir los siguientes temas:

1) Identificar las posibles amenazas y riesgos en línea para su negocio.

2) Los procesos y herramientas necesarios para prevenir violaciones de datos, incluida la gestión de documentos, contraseñas e higiene de la seguridad.

3) Uso seguro de Internet y cómo identificar enlaces sospechosos.

4) Uso seguro del correo electrónico y cómo evitar el phishing.

5) Uso responsable de las redes sociales.

6) Salvaguardar el hardware de la empresa, como computadoras portátiles, de escritorio y dispositivos portátiles.

Es importante capacitar a su fuerza laboral para identificar amenazas cibernéticas comunes y brindarles las herramientas para prevenir violaciones de datos.

Fomento de una cultura de concienciación sobre ciberseguridad y mejores prácticas

Andrew Ryan – Fundador y Director Director Ejecutivo de Newtec Services

En Newtec Services, consideramos que el software antivirus o antimalware es el primer paso para las empresas que desean mantener sus datos seguros. Los gerentes también deben tomar las siguientes precauciones:

  • Asegúrese de que todo su software esté actualizado. Recomendamos seguridad basada en la nube a nuestros clientes.
  • Implementar seguridad de extremo a extremo. Eso significa asegurarse de que todos los datos, incluidos los mensajes, videos, etc., estén completamente encriptados.
  • Capacite a los empleados para mantenerse al día con los requisitos de seguridad más estrictos. Vaya más allá de las políticas de seguridad interna y capacite a los empleados en seguridad detallada específica para el rol de cada trabajador.

La pila tecnológica básica del trabajador remoto debe incluir estas cosas para aumentar la seguridad:

  • Puesto final de Seguridad
  • Red privada virtual
  • Seguridad móvil

Steve Tcherchian, director de seguridad de la información de XYPRO ,

Para que un programa de ciberseguridad tenga éxito, los siguientes son componentes clave

  1. Soporte de arriba hacia abajo. Si la iniciativa no es importante y no cuenta con el respaldo de los niveles más altos de la organización, está condenada al fracaso. La conciencia de ciberseguridad ya no es solo "un problema de TI". Es un riesgo comercial y debe tratarse de esa manera.
  2. Involucre a sus empleados. Darles la propiedad del proceso. Hazlos parte de la solución. Los empleados siempre se comprometen mejor y apoyan la iniciativa si sienten que tienen el pellejo en el juego.
  3. Gamificar el proceso. Hazlo divertido. A todos les encanta la competencia, y un proceso saludable para gamificar la experiencia asegurará que obtenga la participación de la mayoría de las personas, incluso de los detractores.

David B. Rondas – Director ejecutivo de NetEffect

La conciencia de la ciberseguridad es un tema importante en estos días. ¿Cómo se asegura de que sus empleados tengan conciencia cibernética? Comienza desde arriba y es como cualquier otra política o proceso que tenga una empresa. Debe haber una conciencia y un enfoque en la seguridad a nivel ejecutivo. Las inquietudes deben articularse en conversaciones con todo el personal, hasta el empleado más básico, que solo use sistemas de correo electrónico o acceda a una aplicación de la empresa. Esta es la base de toda la cultura de la empresa.

También es necesario tener un programa de formación. Ya sea que se trate de algo entregado internamente por empleados expertos o recursos humanos, o mejor aún, las empresas pueden encontrar un programa de concientización sobre seguridad cibernética. Hay muchos por ahí. Algunos son tan económicos como unos pocos dólares al mes por usuario. Estos programas pueden incluir elementos como "microcapacitaciones" breves de 2 a 5 minutos, intentos simulados de phishing por correo electrónico e incluso seguimiento de la conciencia de seguridad cibernética de los empleados y monitoreo del reconocimiento de políticas de la empresa para cualquier política de la empresa.

¡También puede ser divertido! Algunos de los sistemas muestran puntajes de seguridad anónimos donde los empleados pueden competir para ver quién es el más alto.

Chloé Messdaghi, vicepresidenta de estrategia de Point3 Security

La suplantación de identidad de sus propias empresas es una buena práctica recomendada. Creo firmemente en asegurarme de que las personas sepan qué es el phishing y cómo estar atentos a él. Pida a alguien que haga una prueba de phishing. Hay empresas que puede contratar para ayudar con esto y ayudar a implementar un programa de capacitación y concientización sobre seguridad cibernética. Sugeriría phishing a su equipo durante todo el año y que sus compañeros de equipo hagan lo mismo, por ejemplo, configurar una persona falsa; cuenta de correo electrónico que está a nombre de su jefe (¡con permiso, por supuesto!) y envíe correos electrónicos a los miembros del equipo diciendo que están haciendo un gran trabajo y aquí hay una tarjeta de regalo de Amazon, simplemente haga clic en el enlace (enlace no malicioso pero algo que rastrea si se usó el enlace)…

Mucha gente piensa que implementar prácticas de seguridad es mucho trabajo. El hecho es que si un atacante puede llegar a solo uno de sus empleados, puede tener acceso a su operación e información confidencial, por lo que la cantidad de trabajo que podría implicar vale la pena para evitar una posible catástrofe. Asegúrese de que sus empleados entiendan esto al máximo. Realice pruebas de phishing como un juego, haga que los empleados se involucren "jugando" y al mismo tiempo refuerce la importancia de estar al tanto y mantenerse seguro no solo como individuo, sino como una parte potencialmente vulnerable de la empresa en su conjunto.

Terminando

Si no está abrumado con todos los consejos e ideas de los expertos anteriores, aquí hay una declaración concisa de consejos que todos los empleados y organizaciones deberían seguir en aras de las buenas prácticas de seguridad cibernética:

Paul Howard – Coordinador de investigación Desarrollo comercial del Centro de capacitación Smith y la Agencia de investigación Smith

Mantenga su escritorio limpio; no use su dispositivo personal para negocios; administrar sus datos; utilizar soluciones de almacenamiento externo; practicar hábitos seguros de Internet; tenga mucho cuidado con su contraseña; limite cuánto comparte en los sitios de redes sociales y sea consciente de sus vulnerabilidades; cuidado con las estafas por correo electrónico; ser consciente de lo que es el malware; y, por último, obtenga siempre el asesoramiento experto de un profesional de TI si cuestiona algo que parece fuera de lugar.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More