Proteja su organización cultivando una cultura de concienciación sobre ciberseguridad
El mercado de la ciberseguridad ofrece excelentes soluciones y servicios para combatir las amenazas que explotan los ciberdelincuentes. Sin embargo, ¿son estas herramientas suficientes para proteger completamente una organización? Está claro que el error humano es un fuerte vector de ataque para muchos delitos cibernéticos populares, por lo que la mejor manera de aumentar cualquier programa de seguridad es crear una fuerza laboral con conciencia cibernética. Después de todo, con la capacitación y educación correctas, el personal de primera línea puede convertirse en uno de los aliados más efectivos para prevenir un ataque.
El riesgo cibernético humano
Según el Informe de investigaciones de violación de datos de Verizon más reciente (DBIR), el 85% de los ciberataques son el resultado de un error humano. Esto podría implicar una variedad de interacciones, desde hacer clic en enlaces maliciosos hasta compartir contraseñas o eliminar archivos o datos accidentalmente.
En un lugar de trabajo, los empleados a menudo hacen malabarismos con muchas cosas diferentes a la vez, tratando de cumplir con los plazos, responder correos electrónicos y atender varias llamadas telefónicas. En este tipo de ambiente de alto estrés, es fácil ver cómo ocurren los errores. Todo lo que necesita es bajar la guardia por un momento, que es exactamente lo que esperan los ciberdelincuentes. Además, hay muchas actividades en las que los empleados participarán sin siquiera darse cuenta de que están aumentando el riesgo cibernético para ese negocio. Estas actividades incluyen compartir contraseñas o compartir información de manera no segura.
Uno de los factores de seguridad más comunes a los que contribuyen los empleados es la protección inadecuada de las contraseñas. Una empresa puede tener todas las defensas de seguridad del mundo, pero una contraseña débil puede ser justo lo que necesita un delincuente para obtener acceso a una cuenta o red corporativa. Los ciberdelincuentes saben que el error humano es una técnica de ataque fiable, por lo que las contraseñas débiles suelen ser su mejor forma de entrar. De hecho, el 2020 DBIR indicó que el 80% de las infracciones relacionadas con la piratería involucraron contraseñas y credenciales robadas.
Las personas también siguen siendo muy susceptibles a los ataques de phishing, que están creciendo en sofisticación. El compromiso de correo electrónico comercial (BEC) es particularmente efectivo para convencer a los empleados de que entreguen datos confidenciales o transfieran fondos. A menudo dirigido a un ejecutivo de alto nivel, el compromiso de correo electrónico empresarial permite que un atacante envíe correos electrónicos desde esa cuenta. Los colegas, socios, proveedores y clientes pueden ser contactados con mensajes fraudulentos, pero probablemente no piensen en ello, ya que parece provenir de una fuente confiable.
El phishing se volvió especialmente popular mientras las emociones aumentaban durante la pandemia, con una fuente informando un aumento del 220% en los ataques durante este período.
Trabajo remoto
El aumento del trabajo desde casa durante la pandemia solo exacerbó muchas vulnerabilidades humanas. Cuando están en casa en un entorno familiar, las personas pueden estar aún menos atentas y ser ciberconscientes. No hay ningún profesional de seguridad físicamente allí a quien pueda acudir para obtener una segunda opinión si recibe un correo electrónico sospechoso o para preguntar antes de compartir un archivo.
Es probable que los empleados estén mucho más despreocupados con la forma en que usan sus dispositivos cuando hay una falta de visibilidad sobre ellos, y las organizaciones han luchado particularmente para administrar el uso de dispositivos móviles por parte de los trabajadores remotos. Estar relajado sobre el uso de la red aumenta aún más el riesgo de seguridad. Las redes domésticas tienden a ser menos seguras que las corporativas, por lo que cuando los trabajadores remotos intentan acceder a cuentas y datos en el Wi-Fi de su hogar, existe una mayor posibilidad de que un mal actor aproveche estas brechas de seguridad.
Fusionar las líneas entre la vida profesional y la personal genera riesgos, lo que genera una mayor necesidad de políticas de seguridad integrales que incluyan circunstancias especiales, como comportamientos de trabajo desde el hogar.
Las empresas que aún no lo han hecho están comenzando a reconocer el hecho de que sus propios empleados pueden ser una verdadera vulnerabilidad de seguridad. Por supuesto, mejorar la conciencia cibernética tendrá poco efecto en los casos de ataques internos deliberados, pero las empresas pueden y deben hacer más para involucrar a los empleados y fomentar conductas y actitudes ciberseguras.
Cultivando una cultura de concientización sobre ciberseguridad
Si el error humano representa la mayoría de las violaciones de datos y los ataques cibernéticos, tiene sentido que abordar y mejorar la vigilancia cibernética entre la fuerza laboral de una organización sea la mejor manera de mitigar la amenaza. Si bien muchas empresas cuentan con un programa de seguridad cibernética, muchas aún necesitan mejorar sus esfuerzos para llevar la conciencia cibernética al frente de todas las actividades del personal.
Ya sea que la capacitación sea impartida por un equipo de TI interno o por una empresa externa, se ha sugerido que alrededor de 11 sesiones de ciberseguridad al año para los empleados es el número óptimo. Las simulaciones de apoyo o los correos electrónicos de phishing falsos también pueden ser una buena idea para realizar un seguimiento de la eficacia de la capacitación.
La mayoría de los empleados habrán escuchado los términos «phishing» y «ataque cibernético», pero sin la educación adecuada sobre los riesgos y por qué son realmente importantes para la organización, hay muy pocas posibilidades de participación, retención y acción. Por eso es importante que aquellos en un nivel superior comprendan las áreas clave en las que se necesita la vigilancia cibernética de los empleados y aclaren el impacto que esto tiene en la seguridad general de la empresa.
Fomente los buenos comportamientos de seguridad
Asegurarse de que los empleados sean afirmados mientras actúan sobre las mejores prácticas de ciberseguridad en su vida cotidiana contribuye en gran medida a fomentar estos comportamientos. Del mismo modo, también es importante evitar sanciones en caso de que un miembro del personal cometa un error en materia de ciberseguridad. Las tácticas de miedo son generalmente contraproducentes a largo plazo, y la posibilidad de que un empleado no informe errores futuros por temor a represalias es un riesgo demasiado grande para su empresa.
Supervisar a los empleados hasta cierto punto es una parte importante para garantizar un entorno empresarial seguro, lo que ayuda a detectar actividades sospechosas y motivar respuestas oportunas. Sin embargo, al implementar una solución de monitoreo, es importante ser transparente con su fuerza laboral para que comprenda los métodos y el razonamiento en lugar de que se sienta como un caso de microgestión basado en la desconfianza.
Llevar la formación de conciencia en la etapa temprana
El mejor momento para comenzar a involucrar a los empleados es cuando se unen por primera vez a la empresa. Hacer que la ciberseguridad sea una parte integral de su proceso de incorporación presenta el mensaje claro desde el principio de que su empresa se toma en serio la ciberseguridad y valora la participación de todos los empleados en el mantenimiento de esa seguridad.
Las políticas de ciberseguridad pueden ser una buena manera de comunicar claramente a los empleados lo que se espera de ellos en lo que respecta a las prácticas de seguridad de la organización. Estos pueden introducirse en la etapa de incorporación al requerir que cada nuevo empleado lea, absorba y cumpla con esas políticas. Muchos estándares y regulaciones de seguridad reconocidos requieren la creación de dichas políticas. El tiempo de implementación se deja a cada organización individual.
Los beneficios de una fuerza de trabajo con conciencia cibernética
En una función de gestión, garantizar que los empleados reciban una educación adecuada en ciberseguridad que sea atractiva y regular puede hacer maravillas para la seguridad de una organización. Esto no solo reducirá el riesgo cibernético humano, sino que también empoderará a los empleados, mostrándoles que son una parte importante de la protección del negocio.
Los empleados se sentirán más seguros al usar la tecnología si saben de qué deben tener cuidado y cómo lidiar con las amenazas potenciales. Es probable que esto reduzca el estrés y mejore la productividad, por extensión, lo que resultará en un impacto positivo general en el entorno laboral. Las consecuencias de un incidente cibernético no son algo que nadie en una empresa quiera experimentar, ya que a menudo sirve para crear una atmósfera de desconfianza y ansiedad. Un enfoque proactivo para mejorar la conciencia cibernética ayudará a evitar eso.
Invertir en el último software de defensa contra amenazas cibernéticas es solo una pieza del rompecabezas de la ciberseguridad. Pero, si bien las soluciones técnicas definitivamente tienen su lugar, involucrar al recurso más valioso, es decir, los empleados, es la mejor manera de mejorar esa seguridad. Fortalecer la primera línea suele ser el mejor método de defensa.