El número de ataques de ransomware a empresas ha aumentado significativamente durante la pandemia. A medida que más personas trabajan desde casa y las organizaciones se apresuran a actualizar su infraestructura para adaptarse al trabajo remoto, a menudo hay fallas en la seguridad. Las empresas son más vulnerables a los ataques cibernéticos y, según KPMG, las posibilidades de que un ataque de ransomware tenga éxito son mucho mayores cuando las personas trabajan de forma remota. El ataque a la Colonial Pipeline Company en los EE. UU., el rescate de 50 millones de dólares exigido al fabricante de computadoras Acer y otros ataques de ransomware de alto perfil han dejado claro que las empresas deben actuar. Parte de la razón por la que los ataques de ransomware tienen más éxito con el trabajo remoto es la seguridad más débil en los sistemas de TI del hogar, pero una razón importante también es la vulnerabilidad humana. Los atacantes de ransomware se están aprovechando de la ansiedad que rodea a la crisis de Covid para engañar a los empleados desprevenidos para que hagan clic en enlaces e interactúen con malware dañino. Al usar información sobre vacunas, mascarillas y desinfectantes para manos, los actores maliciosos pueden atraer a los empleados para que realicen la acción deseada. La mejor manera de protegerse contra este tipo de ataques es educar y capacitar a los empleados. Por eso, las empresas necesitan invertir en capacitar a sus empleados en materia de ciberseguridad.
Ver también: Se crea un 'grupo de trabajo sobre ransomware' para abordar el aumento de ataques
La necesidad de concienciación sobre la ciberseguridad
La ciberseguridad de una organización consta de tres componentes principales: tecnologías, protocolos/políticas y personas. A medida que las amenazas evolucionan, también lo hacen las tecnologías de seguridad. Si se aplican las políticas y los protocolos de seguridad adecuados, las organizaciones pueden prevenir los ataques cibernéticos y minimizar los daños causados por infracciones exitosas. Los componentes humanos de la ciberseguridad son quizás los más importantes e irónicamente, a menudo, los más descuidados. Las mejores tecnologías y políticas de seguridad fallarán si las personas que trabajan en una organización no están debidamente capacitadas y no son conscientes de los riesgos para la ciberseguridad. Un fuerte puede tener las mejores defensas, como una puerta fuerte y un foso lleno de cocodrilos, pero eso no servirá de nada si los soldados de guardia bajan sin saberlo el puente levadizo y dejan entrar a los atacantes. Comprender el comportamiento humano es crucial para entender la necesidad de concienciación. Los seres humanos pueden ser negligentes y descuidados. Serán especialmente vulnerables si no saben cómo podría ser un ataque y no tienen información sobre el panorama de amenazas. Por eso, las organizaciones deben crear una formación de concienciación sobre ciberseguridad para los empleados que se centre en cómo los empleados pueden afectar la seguridad de la empresa y contra qué riesgos deben estar en guardia.
Mejores prácticas para la formación en concienciación sobre seguridad
1. Sigue aprendiendo poco a poco
Al diseñar el programa de capacitación, divida los temas en fragmentos. Dentro de cada fragmento, cree contenido breve que sea fácil de digerir. Esto hará que la capacitación sea más efectiva. Dividir la información en fragmentos más pequeños evitará que los empleados se sientan abrumados. Los estudios muestran que después de una hora, las personas solo retienen la mitad de la información que se les presentó [1]. Puede aumentar la retención y el recuerdo reforzando la capacitación. La información breve se puede consumir varias veces sin necesidad de que los empleados inviertan mucho tiempo. Tomemos los correos electrónicos de phishing como ejemplo: puede comenzar su capacitación con un video simple que explique el concepto y los peligros potenciales, compartido con todos los empleados. Después de un tiempo, puede enviar correos electrónicos de phishing falsos a su fuerza laboral y ver quién comete el error de hacer clic en los enlaces. Puede brindar capacitación más detallada a las personas que la necesitan y luego repetir el proceso. De esta manera, solo está brindando a los empleados la cantidad de capacitación que necesitan. Si un empleado retiene la información compartida en el video y no cae en el correo electrónico de phishing, entonces no es necesario que ese empleado invierta más tiempo en una capacitación detallada.
2. El mayor riesgo para la mayor recompensa
Concéntrese en los mayores riesgos para su ciberseguridad. Existe una gran cantidad de malware, ransomware y amenazas diferentes. ¿Cuáles son los más vulnerables para su empresa? ¿Qué causaría el mayor impacto? ¿Qué empleados representan el mayor riesgo para la ciberseguridad? Responder a estas preguntas le permitirá crear un programa de capacitación que ofrezca el mayor retorno de la inversión. Cuando se trata de capacitación para toda la organización, su enfoque debe estar en compartir los objetivos y la visión de su empresa con los empleados y fomentar un comportamiento adecuado. Recuerde que no todos necesitan recibir capacitación sobre todo.
3. No seas repetitivo
No hay nada más frustrante y molesto para los empleados que asistir a una capacitación sobre temas que ya saben. A menudo, las organizaciones repiten la capacitación porque les preocupa la pérdida de retención y el recuerdo. Una buena forma de abordar este problema es evaluar los conocimientos de los empleados. Los empleados que obtienen una buena puntuación en la prueba no necesitan volver a realizar el programa de capacitación. En el caso de un programa de capacitación complejo o largo, puede realizar una evaluación por secciones, y los empleados solo deben asistir a las partes del programa en las que obtuvieron un rendimiento bajo. Esta es una buena forma de mejorar la eficiencia y la eficacia de sus programas de capacitación. Las pruebas también pueden crear un sentido de competencia interna entre los empleados y crear un incentivo para que retengan lo que están aprendiendo para no tener que repetir el programa.
4. Almacenamiento de contraseñas
Los datos de los clientes, los datos de los empleados y los detalles de los proyectos son información confidencial que debe protegerse para que una organización tenga éxito. El uso de contraseñas seguras y sólidas es esencial en este sentido. Las buenas contraseñas evitarán el acceso no autorizado a los dispositivos y la información. A veces, las organizaciones pasan por alto la higiene de las contraseñas cuando se trata de la capacitación sobre concienciación de seguridad, porque asumen que los empleados están creando contraseñas seguras según las instrucciones de la herramienta o plataforma que están utilizando, sin embargo, este no tiene por qué ser el caso. Es importante capacitar a los empleados sobre la higiene de las contraseñas. A veces, los empleados cometen el error de escribir sus contraseñas y dejan la información desatendida. O pueden guardar todas sus contraseñas en un archivo no seguro en sus escritorios. Estos son descuidos que los piratas informáticos pueden aprovechar para acceder a un sistema.
5. La formación continua es fundamental
El panorama de amenazas de la ciberseguridad cambia continuamente y, por lo tanto, la capacitación en concienciación sobre seguridad también debe realizarse de manera continua. A medida que se identifican nuevas amenazas y ataques, los empleados deben recibir capacitación sobre cómo identificar y protegerse contra estas amenazas. Las organizaciones deben realizar pruebas periódicas a los empleados para ver cuánta información conocen y si es necesario realizar programas de capacitación. Dado que muchos empleados trabajan desde casa, las empresas deben actualizar sus programas existentes para poder brindar capacitación en línea sobre concienciación sobre seguridad a los empleados. Si es posible, trabaje con un diseñador instruccional para crear un programa que sea completo pero conciso.
El estado actual de la ciberseguridad y la formación
El 95% de las brechas de ciberseguridad se deben a errores humanos[2]. La inteligencia y la comprensión humanas son la mejor defensa contra los ataques de phishing más comunes. Los trabajadores remotos seguirán siendo un objetivo para los piratas informáticos en 2021, y un aumento del trabajo remoto dará como resultado mayores posibilidades de brechas en la nube. Recientemente, ha habido un aumento en el número de ciberataques a pequeñas empresas. Este ya no es un problema del que solo deban preocuparse las organizaciones a gran escala. El costo de un ataque exitoso puede ser devastador para las empresas que no invierten en su ciberseguridad. El 45% de los empleados no reciben capacitación en ciberseguridad por parte de sus empleadores [3]. Esto es un gran descuido porque la mayoría de los ataques de ransomware exitosos son el resultado de estafas de phishing que se pueden evitar creando conciencia entre los empleados.
Muchos ejecutivos no saben qué deben hacer en caso de un incidente de seguridad porque la empresa no cuenta con políticas establecidas. Es imperativo que las empresas creen estas políticas y las comuniquen a todos los empleados. Las políticas deben estar disponibles para su consulta en múltiples canales, como el manual del empleado, la herramienta de comunicación interna de la empresa, etc. Las políticas son una excelente manera de informar a los empleados sobre la higiene básica necesaria para la seguridad. Por ejemplo, se pueden utilizar para informar a los empleados que no deben abrir ningún enlace enviado desde identificaciones desconocidas, o que cualquier solicitud inusual de los gerentes que informan debe informarse al equipo de TI. La respuesta rápida es crucial cuando los piratas informáticos obtienen acceso a los sistemas de una empresa. Al educar a sus empleados, aumenta las posibilidades de prevenir los ataques de seguridad y, en el peor de los casos, informar de inmediato a su equipo de seguridad para que puedan tomar las contramedidas necesarias.
Al diseñar la capacitación en ciberseguridad para los empleados, no se debe limitar a la concientización, sino que es importante que los empleados también implementen lo que aprenden. Por lo tanto, los programas también deben tener componentes prácticos y de prueba. Haga que el programa sea atractivo y recompense a los empleados que tengan un buen desempeño en las pruebas. El objetivo debe ser que los empleados dejen de pensar en la capacitación como una obligación o una molestia. La seguridad debe ser parte de la cultura de su organización y todos los empleados deben comprender qué papel desempeñan en la protección contra las amenazas. La inteligencia humana sigue siendo la mejor protección que tienen las empresas contra los ataques cibernéticos.
Suscríbase a whitepapers.online para obtener documentos técnicos, libros electrónicos y cobertura de noticias de calidad del mundo de la tecnología.
Imagen destacada: Foto de fondo creada por rawpixel.com - www.freepik.com
Fuentes:
1 de junio de 2017, M. Bingham, "10 estadísticas sobre la retención del aprendizaje que querrá olvidar", Bridge, [disponible en línea] disponible en:https://www.getbridge.com/en_gb/blog/10-stats-about-learning-retention-youll-want-forget/ [consultado en mayo de 2021]
2 de diciembre de 2020, D. Milkovich, "15 datos y estadísticas alarmantes sobre ciberseguridad", Cybint, [disponible en línea] disponible en: https://www.cybintsolutions.com/cyber-security-facts-stats/ [consultado en mayo de 2021]
3 de mayo de 2018, M. Williams, "Infografía: 10 estadísticas que muestran por qué la formación es la clave para una buena protección de datos y ciberseguridad", Pensar, [disponible en línea] disponible en: https://www.pensar.co.uk/blog/cybersecurity-infographic [consultado en mayo de 2021]