Capacitación de Seguridad para Empleados: lo Básico

2018 fue testigo de una serie de ataques cibernéticos que afectaron a empresas como Whole Foods, Macy’s, Uber, Facebook, Google+, Under Armour y muchas más. De acuerdo con el informe de Cost of Data Breach del Instituto Ponemon de 2018, el costo total promedio de las brechas de datos aumentó de $ 3.62 millones en 2017 a $ 3.86 millones en 2018, un aumento del 6.4%.

El informe también indica que el 27% de las violaciones de datos se producen debido a un error humano. Muchos empleados bien intencionados cometen errores de juicio inadvertidamente, como reutilizar sus contraseñas o eludir los protocolos de TI, y dejan a su organización en riesgo de un ataque.

Muchos empleados también se engañan con estafas de suplantación de identidad (phishing), una táctica utilizada por los ciberataques para incitar a las personas a hacer clic en enlaces no seguros, enviar dinero a proveedores falsos o descargar archivos maliciosos. Los estudios muestran que los ataques de phishing son cada vez más frecuentes y más audaces a medida que pasa el tiempo. Estos y otros ataques maliciosos causan el 48% de las infracciones, lo que los convierte en una prioridad importante a la hora de determinar cómo proteger a su organización.

Con los expertos en ciberseguridad que predicen un aumento en la cantidad de datos empresariales o fallas en la red causados por la negligencia de los empleados, es imperativo que las organizaciones desarrollen programas de capacitación integrales para mitigar estos ataques.

Por Dónde Empezar

A continuación, se incluyen algunas de las mejores prácticas para ayudarle a implementar un programa de capacitación exitoso.

Haga que el entrenamiento sea parte de su proceso de incorporación

La capacitación en ciberseguridad debe ser una parte fundamental de la incorporación de los empleados. Esto le permitirá configurar a su nuevo personal con las prácticas de seguridad que deben conocer al navegar por su nueva posición y reducirá la posibilidad de incumplimiento de sus políticas existentes. Cuando se capacitan de manera efectiva, los empleados constituyen una importante primera línea de defensa contra posibles violaciones de datos.

Esté al tanto de las amenazas más comunes

Como se indica en el informe del Instituto Ponemon, las estafas de suplantación de identidad (phishing) y otras prácticas de ingeniería social se encuentran entre los tipos más comunes de ataques de los que los usuarios son víctimas. Parte de la razón por la que estos son tan exitosos es que los empleados rara vez reciben capacitación sobre qué buscar cuando reciben un correo electrónico potencialmente sospechoso. ¿Confían en el remitente? ¿La dirección de correo electrónico coincide con el nombre? ¿Saben a dónde llevará el enlace? Es vital equipar a los empleados con el criterio para identificar riesgos potenciales.

Para apoyar a los empleados, las organizaciones también pueden implementar herramientas como firewalls integrales y barras de herramientas anti-phishing en sus navegadores que alertan a los usuarios si llegan a un sitio malicioso.

Haga que cada empleado sea parte de su equipo de seguridad

La capacitación en seguridad cibernética debe estar disponible para todos los empleados (incluidos sus internos) y debe ser obligatoria para todos (incluso sus ejecutivos). El lenguaje utilizado en la capacitación debe ser identificable y comprensible para todos. Evite el uso de la jerga técnica que pueda obstaculizar la comprensión. Además de eso, mantenga a sus empleados comprometidos al detallar los beneficios comerciales de los datos seguros, en lugar de centrarse únicamente en los riesgos y las consecuencias de una violación.

A medida que permita que los empleados protejan el perímetro, considere recompensar a los empleados que informen correos electrónicos sospechosos u otra actividad. Al gamificar el proceso, puede mantener a los usuarios involucrados en la ampliación de la capa de seguridad de la organización.

Personalice la formación por departamento

Al planificar el programa de capacitación de su organización, considere priorizar los departamentos que pueden ser objetivos de alto valor o fáciles para los atacantes. Esto incluiría equipos que manejan información financiera o de identificación personal (IIP), como su equipo de recursos humanos o finanzas, equipos que administran las relaciones con los proveedores y personas como asistentes ejecutivos que tienen acceso a su C-suite.

Cada uno de estos equipos debe tener su entrenamiento personalizado para abordar cómo pueden mitigar los ataques durante las tareas diarias. Puede enseñar a su equipo de reclutamiento a buscar currículos maliciosos; hacer que la nómina se asegure de que haya procesos seguros implementados antes de enviar la PII; y asegúrese de que su equipo de finanzas sepa cómo verificar que están transfiriendo fondos al proveedor apropiado.

Haga del entrenamiento un proceso continuo

La capacitación de sus empleados sobre cómo proteger su organización no debe ser un evento único. Un programa de reevaluación que evalúa cómo los usuarios se involucran con posibles ataques de suplantación de identidad (phishing) de forma regular puede proporcionar información sobre la salud de la seguridad de su organización. Los departamentos que manejan información confidencial pueden necesitar una cadencia de evaluación más regular (por ejemplo, trimestral o mensual) que el resto de la organización.

El impacto

Proporcionar a los empleados conocimientos actuales sobre cómo detectar de manera proactiva las amenazas de seguridad más recientes, como correos electrónicos sospechosos, estafas de suplantación de identidad (phishing) y ransomware, es esencial, especialmente si se considera el aumento continuo de la fuerza laboral móvil, las normativas más estrictas del gobierno y la industria, y la generalización de las políticas BYOD que pueden comprometer la seguridad de una empresa si no se cumple.

Las empresas que invierten modestamente en la concientización sobre seguridad y la capacitación reducen sus riesgos relacionados con la seguridad en un 70% y tienen un 72% de posibilidades de reducir significativamente el impacto comercial de los ciberataques exitosos. Según una investigación realizada por el Instituto Ponemon, incluso los programas de capacitación en ciberseguridad menos efectivos tienen un ROI siete veces mayor, mientras que un programa bien planificado y ejecutado entregará un ROI 37 veces mayor que la inversión inicial.

¿Qué más puede hacer?

Además de ofrecer iniciativas de capacitación integral a sus empleados, hay otras cosas que puede hacer para mitigar aún más el efecto de la negligencia de los empleados en la seguridad de su organización. Como práctica general, asegúrese de que:

  • Desarrolla, revisa y actualiza las políticas y los procesos internos de ciberseguridad.
  • Asegura que los empleados mantengan una contraseña segura.
  • Implementa el inicio de sesión único para que los empleados tengan solo un conjunto de credenciales.