Ciberseguridad Rberny 2021
Fiel a mi costumbre utilizo preguntas para generar expectativa y bases para el contexto, en este caso responderemos a:
¿Por qué se debería ofrecer formación y concienciación sobre ciberseguridad para los empleados?
Si bien el argumento para educar a los empleados sobre ciberseguridad es simple, para algunos puede ser el advenimiento de catástrofes sin precedentes, si llegaran a aprovechar una brecha de seguridad, para otros es tan insignificante que no invierten en ciberseguridad y están a la venia de Dios, otros se preocupan, pero tienen las manos atadas por presupuestos ajustados o políticas que te vuelven inoperante, no obstante, la parte simple es que mientras capacites a tus empleados en ciberseguridad de usuario común, ganas mucho terreno simplemente con ello, consideremos que si los empleados no saben cómo reconocer una amenaza a la seguridad:
¿Cómo se puede esperar que la eviten, la informen o la eliminen?
No pueden, no tienen lo básico para dar ese tipo de resultados.
En la mayoría de mis artículos, siempre hago la referencia a generar conciencia, el primer paso para entender un problema, es saber que se tiene, pues bien, sobre la seguridad cibernética, las infracciones de seguridad podrían provocar fugas de datos confidenciales, pérdida de negocios y ruina financiera.
“Es muy difícil soportar la carga de proteger a la empresa tú solo o con uno o dos técnicos, cada uno de tus empleados debe conocer sus funciones para proteger a la empresa de las amenazas cibernéticas”
Mediante la formación y la concienciación, podemos ayudar a proteger a nuestra empresa de las amenazas de ciberseguridad, entonces:
¿Por qué es importante la formación en ciberseguridad?
No se necesita ser un experto en ciberseguridad para saber que mantener seguros los datos de nuestra empresa es vital para sus operaciones, en la práctica, puedo decirles que no importa el giro del negocio, el miembro del equipo de su empresa que asumirá gran parte de la responsabilidad de la seguridad de los datos es su director de recursos humanos (RR.HH.).
“La seguridad cibernética entre los empleados podría salvar su negocio”
Esto es importante y debemos tomar esta tendencia, no significa que los empleados estén conspirando para provocar la caída de la empresa, no hay nada tan siniestro, sin embargo, como seres humanos, los empleados cometemos errores, confiamos en identidades falsas, somos tentados y quedamos vulnerables a otras tácticas engañosas utilizadas por los delincuentes para acceder a la información de la empresa, ¡claro a menos que, por supuesto!, dichos empleados hayamos participado en programas de capacitación en ciberseguridad.
Nuestros empleados necesitan capacitación en ciberseguridad en línea para protegerse a sí mismos y a la empresa contra los ataques cibernéticos, si lo visualizamos, el concepto se extiende hasta los hogares de los empleados, por esta razón, al informar a los empleados sobre las amenazas a la seguridad, cómo pueden presentarse y qué procedimientos seguir, cuando se identifica una amenaza, estamos fortaleciendo los eslabones más vulnerables de la cadena.
Regresando al departamento de RR.HH., su propósito principal se centra en la contratación y la formación, y es necesario que la ciberseguridad sea una parte integral de la formación laboral, en todas sus fases, considero que aprovechar la capacidad de RR.HH. para involucrar a los trabajadores en capacitación y mantenerlos actualizados con las nuevas políticas, puede educar a nuestros trabajadores de manera más efectiva sobre las amenazas cibernéticas, a diferencia del departamento de TI, RR.HH. puede implementar métodos de capacitación que ayudarán a los empleados a retener más información y ver por qué la educación es útil.
En todos lados se quiere ahorrar presupuesto y consideran que el área de TI puede y debe de capacitar a los empleados en seguridad cibernética y las políticas del negocio que hacen referencia a ello, puede ser en la pequeña empresa y en las PYMES aplique, sin embargo, en la mediana y grandes empresas, de forma directa no considero que sea buena práctica.
Es evidente que las amenazas a la seguridad de su empresa aumentan cuanto más empleados tienes y esos trabajadores adicionales se suman a la cantidad de correos electrónicos enviados y recibidos, además de la cantidad de computadoras y dispositivos vulnerables que podemos tener, he comprobado que la capacitación de incorporación y las actualizaciones continuas ayudan a crear un firewall humano entre la información de su empresa y las amenazas de seguridad.
Nuestros empleados son objetivos
Los delincuentes que envían correos electrónicos falsos para intentar robar información se dirigen específicamente a los empleados, es común que los destinatarios tienen control sobre las finanzas o la información fiscal, como el personal de nómina, estos sean convertidos en el objetivo primario, aun cuando cualquiera puede recibir correos electrónicos de phishing, por lo que recomiendo iniciar con este tipo de usuarios, debemos capacitarlos para que reconozcan correos electrónicos y sitios web falsos para evitar enviar información a quienes abusarán de dicha información.
Cuando aplicamos esta capacitación constante y amplia, en mi experiencia he visto que disminuye los ataques de phishing exitosos, entonces, capacitar a nuestros trabajadores ayuda a evitar que los atacantes tengan éxito con sus correos electrónicos de phishing, de hecho, el resultado es impactante, el entrenamiento reduce las posibilidades de éxito de un ataque de phishing en un 20% con cada sesión, sigue siendo sencillo, informar a nuestros trabajadores reduce las posibilidades de que nuestra empresa sea víctima de una estafa.
En este contexto, la capacitación centrada en la concientización sobre ciberseguridad ayuda a los trabajadores a comprender la amenaza que enfrentan los datos de la empresa y cuál es su rol para protegerlos, consideremos que al final de cada curso, taller, platica, laboratorio, individualmente el trabajador debe saber qué debe hacer para mantener segura la información de la empresa y tomara conciencia de por qué la protección es esencial, cuando los trabajadores tienen esta información, pueden sentirse empoderados para proteger a la empresa en lugar de sentirse disminuidos para prevenir ataques cibernéticos.
Recomendaciones:
- Solicita agregar una capacitación obligatoria en ciberseguridad en la incorporación de los nuevos trabajadores, tan pronto como contrates a un trabajador, este debe reconocer su papel en la ciberseguridad de la empresa.
- Como parte de la capacitación, incluye medidas de lo que se espera que haga el empleado para proteger los datos de la empresa.
- Se cierra la brecha de ciberseguridad, al trabajar con RR.HH., puede asegurarse de que todos los trabajadores de tu empresa tengan en cuenta la seguridad desde la fecha de contratación.
- Recuerden que las políticas de entrenamiento más antiguas que crearon miedo, incertidumbre y duda y no son tan poderosas como el entrenamiento que usa refuerzos positivos, los castigos por no cumplir con la política de seguridad pueden reducir los niveles de productividad de los trabajadores, especialmente cuando esas sanciones implican quitar el acceso a Internet o al correo electrónico.
- En su lugar, anima a los trabajadores a adoptar medidas de seguridad, tener a todos trabajando juntos facilitará la búsqueda de problemas y, al mismo tiempo, les dará a los empleados un rol en la empresa que se siente bien cumplir.
Crear una cultura centrada en la ciberseguridad
Todos los aspectos de la educación de los empleados sobre seguridad de la información deben construir una cultura que se tome en serio las amenazas cibernéticas.
¿Se deben incluir a los altos ejecutivos y socios en las capacitaciones?
Por supuesto que si, finalmente son usuarios también y dará confianza a todos los equipos, hay que ser conscientes y de amplio criterio, son humanos y están en las mismas posibilidades de equivocarse y caer en alguna de las estrategias de los ciberdelincuentes.
Cuanto más profundamente involucrados estén en la cultura de la empresa, más probable será que recuerden las reglas que aprendieron en la capacitación, para asegurarnos de que todos estén al tanto de las expectativas culturales de la empresa, en una gestión coordinada con RR.HH., siempre procuro asignar a alguien en cada departamento para que actúe como enlace cultural de ciberseguridad, esta persona guía a los empleados de su departamento a mantener una seguridad sólida para proteger la información de nuestra empresa, no sabrá más, ni tendrá privilegios, lo importante es inculcar el sentido de colaboración y responsabilidad.
Las amenazas a los datos de la empresa pueden tomar muchas formas, los piratas informáticos utilizan una variedad de métodos para intentar robar información de inicio de sesión, contraseñas y datos confidenciales de la empresa y para obtener esta información, se dirigen específicamente a los empleados, recuerden que la ingeniería social, como los esquemas de phishing, causó el 93% de las violaciones de datos de 2018 a 2020 y para evitar que nuestra empresa se convierta en una estadística más, debemos mantener a nuestros trabajadores actualizados sobre las últimas amenazas a las que se enfrenta la información de la empresa.
Procura hacer de la ciberseguridad un problema para todos
Esto lo he mencionado en otros artículos porque se piensa en algunos lugares que la ciberseguridad solo es competencia del departamento de TI y no es así, en mi experiencia la ciberseguridad debe contemplar a toda la empresa, terceros, gobierno y en el hogar.
“La ciberseguridad es cuestión de todos, es un esfuerzo colectivo”
Hacer cumplir las normas tecnológicas específicas
Al capacitar a los trabajadores y delinear las reglas que se deben seguir, hay que ser específicos, no debemos limitarnos a decirles a los trabajadores que utilicen mejores contraseñas, sino mostrarles cómo mejorarlas, recuerden, cuantos más detalles brinde a los trabajadores, mejor comprenderán las normas tecnológicas que se les presente, por supuesto, de acuerdo a las políticas del negocio en cuanto a ciberseguridad se refiere.
Es muy aconsejable que también debamos programar recordatorios de seguridad para que los empleados cambien las contraseñas y los inicios de sesión, así como revisar sus computadoras.
Credenciales de inicio de sesión
Les aconsejo hacer hincapié en la importancia de que sus trabajadores nunca compartan las credenciales de inicio de sesión, incluso si el correo electrónico que lo solicita parece provenir de alguien de la empresa, lo mismo ocurre con la información de la tarjeta de crédito y los números de seguro social, si un empleado cree que un compañero de trabajo envió el correo electrónico, debe comunicarse con el remitente por teléfono o hablar con él en persona para verificarlo, esta sencilla regla también evitará que proporcionen información accidentalmente a estafadores telefónicos que pueden usarla para robar datos de la empresa.
Las mal queridas contraseñas seguras, sé que a muchos no les agrada la idea y el esfuerzo que esto demanda a los usuarios, sin embargo, dicen las buenas prácticas, debemos invitar a los trabajadores que utilicen contraseñas seguras y solo si es necesario guárdelas escritas en papel en un lugar cerrado con llave, no permita que los trabajadores guarden su contraseña en un documento de Word o correo electrónico en su computadora, estos lugares son vulnerables a los piratas informáticos.
Las contraseñas que usen los empleados deben ser oraciones que reemplacen algunas letras con números de símbolos y usen letras mayúsculas y minúsculas, es evidente que las palabras sueltas son demasiado cortas y fáciles de adivinar para los piratas informáticos, entonces, cuanto más larga sea la contraseña, más difícil será para quienes intenten descifrarla.
Capacitar a los usuarios para que analice regularmente su computadora en busca de virus, irónicamente el solo hecho de tener software antivirus en las computadoras de tu empresa no ayudará si los trabajadores desactivan el escaneo o no tienen actualizaciones automáticas, lo mismo ocurre con los sistemas operativos.
En este sentido, los sistemas operativos suelen tener protocolos de seguridad en sus actualizaciones periódicas que mejoran la protección contra ataques, no podrán aprovechar estos cambios si las máquinas no se han actualizado.
Debemos enseñar a los empleados a que configuren su software de bloqueo de virus y su sistema operativo para que se actualicen automáticamente, si lo hace, se asegurará de que el software tenga información sobre las amenazas más recientes y los medios para proteger la computadora de ellas.
Como buena práctica debemos impulsar que todos los periféricos pasen por un análisis de virus antes de que los trabajadores los utilicen, los virus pueden ingresar a una computadora o red desde una descarga que alguien trajo en una memoria USB desde su casa u otra oficina, escanear estos dispositivos puede evitar un ataque a su empresa.
La autenticación multifactor
En la autenticación multifactor se envía un código al teléfono, la dirección de correo electrónico o la aplicación de una persona cada vez que intenta iniciar sesión en un sitio o servidor, luego, el usuario ingresa el código que obtuvo para verificar que otra persona no haya robado su información, esta autenticación de dos factores dificulta que un tercero tome la información de inicio de sesión y la use porque cada inicio de sesión debe obtener la verificación del usuario.
Si el usuario recibe un código, pero no intentó iniciar sesión, sabrá que debe cambiar su información de inicio de sesión inmediatamente porque alguien ha intentado usarla de manera fraudulenta, este tipo de verificación ofrece una mayor seguridad para el sistema contra los piratas informáticos porque reduce drásticamente sus posibilidades de iniciar sesión con éxito con un nombre de usuario y contraseña robados.
Realizar ejercicios de ciberseguridad
Todo el mundo ha experimentado un simulacro de incendio, esta actividad permite a los ocupantes del edificio practicar lo que harían en caso de un incendio real, pero sin la amenaza, es posible adoptar el mismo enfoque para probar la formación de sus trabajadores en lo que respecta a la ciberseguridad.
Para que los empleados puedan detectar y prevenir brechas de seguridad, necesitarán una educación básica sobre las diferentes formas en que pueden presentarse las amenazas de ciberseguridad, por decir algunos, en su mayor parte, esto incluye Spam, Phishing, Malware, Ransomware e Ingeniería Social.
Nuestra capacitación también debe incluir consejos de ciberseguridad para los empleados que podrían ser engañados para que descarguen malware o Ransomware, recordemos que el malware es cualquier virus u otro software que ataca y daña la funcionalidad de un dispositivo y el Ransomware aprovecha el sitio web de una empresa u otras plataformas para extorsionar a un tercero, sin duda, ambos son grandes amenazas para cualquier empresa.
Por último y no menos importante, la ingeniería social debería ser un tema obligatorio en la formación de concienciación sobre seguridad en línea para los empleados, es correcto pensar que la palabra ‘ingeniería’ puede confundirlos, los supuestos ingenieros sociales se disfrazan con identidades en línea falsas pero confiables, y luego engañan a los empleados para que entreguen información que no deberían.
Políticas de correo electrónico, Internet y redes sociales
El correo electrónico y los hábitos de navegación de los empleados pueden dejar a una empresa abierta a software malicioso que ataca las aplicaciones de la empresa y las cuentas sociales del personal, con ello roban información y posiblemente incluso dinero, por ello recomiendo ampliamente comprender lo que la capacitación en ciberseguridad para los empleados representa en nuestra empresa, de tal manera recomiendo incluir políticas y pautas para el uso del correo electrónico, Internet y las redes sociales.
Es importante que se contemplen, como les comento políticas sobre los tipos de enlaces en los que se puede hacer clic y los que no, no es complicado, veamos, por ejemplo, no se debe hacer clic en enlaces sospechosos de personas u organizaciones desconocidas, enlaces contenidos en correos electrónicos inesperados y enlaces que su programa antivirus ha marcado como no confiables, debemos describir las reglas para la navegación por Internet y el uso de redes sociales en los dispositivos de la empresa y para el uso de las direcciones de correo electrónico de la empresa.
Cuidado con asumir
Cada empresa tiene sus propias políticas sobre la protección de datos, pero no asumas que todos los empleados conocen estas políticas o que las comprenden y ofrece cursos de actualización periódicos para que todos los empleados estén actualizados sobre las reglas y políticas sobre protección de datos, incluso cuando cambien.
Los empleados son tus ojos y oídos entre el equipo digital y las herramientas de ciberseguridad corporativa, recordemos que todos los dispositivos que utilizan, los correos electrónicos que reciben y los programas que abren pueden contener pistas sobre un virus al acecho, una estafa de phishing o un hack de contraseñas, sin embargo, para movilizar realmente a nuestros empleados como fuerza contra los ataques, necesitaremos capacitación en concientización sobre ciberseguridad indistintamente.
Primero, usemos esta capacitación para ayudar a los empleados a estar al tanto de errores inexplicables, contenido de spam y advertencias legítimas de antivirus, siguiendo con la inercia, infórmeles sobre el proceso que deben seguir para denunciar estas señales de alerta, así como sobre las personas adecuadas con las que hablar sobre las sospechas de un ciberataque.
Mejorar la conciencia de la ciberseguridad requiere cambios culturales
Los empleados deben apreciar mejor los posibles impactos comerciales de sus acciones y deben rendir cuentas, visto por algunos, hasta que eso suceda, la capacitación es solo algo por lo que los empleados tienen que sufrir, en lugar de ser algo que entienden que deben hacer, hago hincapié en este punto, la rendición de cuentas no significa que la empresa se centre en castigar a quienes no cumplen, también puede recompensar a quienes si lo hacen.
El propósito detrás de la capacitación en ciberseguridad para los empleados es simplemente alterar sus hábitos y comportamientos, y crear un sentido de responsabilidad compartida, para que la empresa esté a salvo de ataques o que estos se vean disminuidos, no obstante, es difícil ver que un volcado de conocimientos único sobre los temas descritos anteriormente no es suficiente para lograrlo, por ello les recomiendo lo siguiente:
Mientras lees esto, tu empresa podría estar siendo víctima de un ataque de ciberseguridad, lo más probable es que se podría haber evitado, si un empleado en una computadora, hubiera tenido identificado qué buscar, entonces, cuando se trata de capacitación en ciberseguridad para empleados, la única pregunta que queda por hacer es:
¿Se está haciendo lo suficiente?
Cuiden a sus empleados y ellos se ocuparán de ustedes, está demostrado muchas veces que los empleados que se sienten atendidos y reconocidos por sus empleadores están más comprometidos con el éxito de la empresa, trabajan más duro y se sienten más realizados profesionalmente.
Al invertir en el aprendizaje y el desarrollo de los empleados en lo que respecta a la ciberseguridad, les proporcionas las herramientas necesarias para dominar las tecnologías de rápido desarrollo que los rodean, también se ve reflejado en un efecto colateral benéfico en la transformación digital de cada empresa, por otra parte, si no los presionas para que aprendan, es posible que se sientan demasiado cómodos haciendo las cosas como siempre lo han hecho y permitan que las amenazas permanezcan presentes en su red.
“Si brindan conocimientos y educación a sus empleados, ellos lo utilizarán para mantener su empresa y su trabajo seguros”
La ciberseguridad corporativa es tanto una forma de pensar como una estrategia, aun cuando los sistemas de seguridad adecuados son vitales, estos hallazgos apuntan a la importancia de educar a los empleados sobre las mejores prácticas de ciberseguridad, por ello en mi experiencia considero de suma importancia desarrollar una cultura de seguridad en toda la empresa.
La mejor forma de hacerlo es introducir una formación de seguridad relevante, atractiva y periódica para los empleados, para aquellos que intentaron hacerlo y sin embargo fracasaron y para aquellos que no están seguros de cómo empezar, les sugiero contactarnos y entrar en consenso y darle un vistazo a lo que propusieron y trabajar sobre el esfuerzo realizado para comenzar a implementar variantes al proceso.
La identidad corporativa de un empleado, es el componente crítico de una actitud cibernética, por ello vamos a evolucionar todos a ser nuestro mejor experto en seguridad cibernética básica con estos sencillos consejos:
- No dejes tu computadora portátil o de escritorio solos con las aplicaciones abiertas.
- Asegúrate de tener un protector de pantalla habilitado con contraseña activado cada vez que salgas de su estación de trabajo
- No sigas la puerta trasera, recuerda que tu identidad es fundamental, y esto es cierto para su credencial de acceso de empleado, ten presente que solo está destinado a dejarte entrar al edificio, el estacionamiento o la sala de servidores, por lo que debes asegúrate de no dejar que la gente te siga por cortesía o conveniencia.
- Pregunta al personal de TI, si se realizan copias de seguridad de datos con regularidad, esta puede ser la única forma de recuperarse de ataques de Ransomware graves.
- Lo creas o no, el contexto es el aspecto más crítico de la formación en conciencia de seguridad, por qué es importante para nuestra empresa y no solo declaraciones genéricas sobre la gestión de riesgos.
Desde mi campo de acción dentro del área de TI, intento pasar algo de tiempo con cada nuevo empleado para reforzar nuestra cultura de seguridad desde el principio, esta práctica la promuevo dentro del equipo de TI, para que sus integrantes estén conscientes que un empleado capacitado en entornos digitales y en seguridad cibernética, ayudan e impulsan a la propia área de TI.
De igual manera, espero que eso también ayude a los nuevos empleados a ver que mi equipo es accesible y útil, también obtengo un beneficio de esto, ya que puedo aprender cómo era el entorno de seguridad en su empresa anterior.
Es una excelente manera de obtener nuevas ideas y desafiar aquellas con las que me siento cómodo actualmente, en la práctica considero que puede ser la forma correcta para que los nuevos empleados comprendan desde el principio la sólida cultura de seguridad y protección de datos que tenemos en la empresa, por lo tanto, también lo que se espera de ellos.
Estoy seguro, que enseñar a los empleados a detectar un correo electrónico de phishing es muy importante, especialmente porque el buzón de correo es a menudo la clave para recuperar o restablecer la contraseña de otros servicios.
Lo que tiene más impacto es mostrar a la gente correos electrónicos de phishing reales que han recibido nuestros empleados, en lugar de ejemplos repetitivos, siempre intento compartir estos ejemplos a través de nuestras plataformas de intranet a medida que ocurren, para intentar capitalizar cuándo otros empleados pueden estar recibiendo phishing similar.
Para los desarrolladores de nuestra empresa, la seguridad sobre nuestros activos internos es inamovible, no obstante, también cómo construimos y operamos sistemas para nuestros productos, les proporcionamos seguridad con nuestra infraestructura instalada.
¿Una desafortunada filtración de datos puede deberse a software antiguo sin parches?, claro que sí, se los comento como un recordatorio de la importancia con la que debemos tratar los procedimientos relacionados con la aplicación de parches a los sistemas, así como él manteniendo actualizado de nuestro uso de componentes de software de código abierto.
Es evidente que este tipo de capacitación es necesaria, sin embargo les recomiendo que mantengamos la capacitación de seguridad formal para evitar el agotamiento del concepto de la seguridad cibernética de los empleados, para ello también, hay que establecer los niveles de comunicación, les recomiendo comunicarnos periódicamente con los propietarios de datos y cuentas clave para garantizar que se cumplan los procesos, por supuesto, respondamos cualquier pregunta que tengan los empleados transmitidas por los responsables, dueños de los datos, procesos o asignación de usuario clave.
El mayor problema con cualquier programa de capacitación en concientización sobre seguridad de la información es que las personas más calificadas para enseñarlo son las mismas que son más propensas a hablar por encima del nivel de habilidad de su audiencia, como ingeniero te puedo decir, no podemos hablarle a los empleados, trabajadores, usuarios, gerentes y directores del negocio de la misma forma, si bien muchos de los problemas relacionados con la seguridad en línea son fascinantes, es fácil perder la atención de tu equipo si se detalla demasiado con términos muy técnicos.
En 20 años de experiencia, he aprendido que es una pésima práctica, hacer víctima y poner de ejemplo a tu equipo, les recomiendo tomar las cosas con ética y madurez, ya que es muy común que sus empleados más vulnerables pueden sentirse victimizados si son denunciados públicamente o avergonzados, lo que conduce a una pérdida de compromiso ganado con la capacitación, en lugar de resaltar quién falló, resalten quién hizo lo correcto, reenviando los correos electrónicos a TI o informando un intento fallido de prueba de penetración.
Ser consiente, por favor, la complacencia es una de las mayores amenazas para la seguridad, sin importar si se trata de seguridad física o seguridad informática, mantén a tu personal actualizado sobre los nuevos desarrollos y herramientas, y asegúrate de ejecutar evaluaciones y micro entrenamientos a intervalos regulares para mantener a tu equipo comprometido en el proceso y al tanto de las amenazas nuevas y emergentes.
“La capacitación en seguridad cibernética debe ser agradable y fácil de identificar”
Si las empresas solo hablan sobre cómo los empleados deben proteger su negocio, hay menos interés, pero si les brindas herramientas y consejos agradables que también se relacionan con el negocio, encontrarás un mayor éxito.
Espero que estas recomendaciones sean de utilidad para este cambio digital acelerado que vivimos hoy en día, cualquier duda o aclaración por favor escríbeme a [email protected], con gusto responderé, no dejaré ningún mensaje sin contestar y díganme:
¿Cómo puedo ayudar?
Saludos,
Views: 20