Simples errores de concienciación en materia de seguridad están detrás de algunos de los mayores ciberataques del mundo. Según el informe anual RiskIQ, en sólo un minuto en Internet se pierden 2,9 millones de dólares a causa de la ciberdelincuencia. A medida que la escala de Internet sigue aumentando rápidamente, también lo hace el panorama de las amenazas. Tácticas como la publicidad maliciosa, el phishing y los ataques que utilizan una gama cada vez más amplia de tecnologías y estrategias se han hecho cada vez más populares. Sin embargo, a menudo son las amenazas procedentes del interior de la organización las que plantean el mayor riesgo, lo que pone de relieve la necesidad de mejorar la concienciación en materia de seguridad.
De hecho, el 52% de las empresas admite que los empleados son su mayor debilidad en materia de seguridad informática, ya que sus acciones descuidadas ponen en peligro a las empresas. El año pasado, el 60% de las infracciones notificadas por el ICO se debieron a errores humanos, por lo que la falta de concienciación en materia de seguridad sigue siendo un problema clave para muchas organizaciones. A menudo, las personas no se dan cuenta de las amenazas o se vuelven descuidadas.
Ser consciente de estos errores comunes de concienciación en materia de seguridad y tomar las medidas correctas para aplicar un plan de concienciación eficaz ayudará a educar y capacitar a los empleados para que cambien sus comportamientos y protejan a su organización de posibles riesgos.
10 errores de concienciación sobre seguridad que hay que tener en cuenta
1. Falta de concentración
El objetivo principal de cualquier programa de concienciación en materia de seguridad es cambiar comportamientos y, para que su programa de concienciación tenga éxito, debe tener objetivos claros. Estos objetivos servirán o deberían servir para mantener la razón de crear el programa. Deben ser específicos y deben identificar y abordar los puntos débiles de su organización, como el phishing, la seguridad física y la seguridad de las contraseñas.
2. Utilización de un único estímulo
Muchas organizaciones cometen el simple error de centrarse en un solo elemento de la concienciación cibernética, como el phishing o el aprendizaje electrónico. Aunque estas áreas son una parte fundamental de la protección de una empresa, las campañas de concienciación cibernética más exitosas adoptan una variedad de métodos atractivos para educar a los empleados sobre su papel en mantener la organización segura y protegida.
3. Formación de una sola vez
Sólo el 11% de las organizaciones forman continuamente a sus empleados en la detección de ciberataques, según un estudio global de Vanson Bourne, y el 52% sólo lo hace trimestralmente o una vez al año. Para mantenerse al día con los avances en el entorno de las ciberamenazas, es importante que la formación de concienciación se considere un proceso continuo que debería comenzar durante el proceso de incorporación y continuar durante todo el empleo.
4. Políticas obsoletas
Una forma eficaz de educar a los empleados en la importancia de la seguridad es una política de ciberseguridad que explique las responsabilidades de cada persona en la protección de los sistemas y datos informáticos. Estas políticas fijan normas de comportamiento y describen las expectativas de los empleados. Por ejemplo, sin políticas claramente definidas sobre el uso de medios extraíbles y dispositivos de propiedad personal, el personal puede conectar dispositivos a la infraestructura corporativa que podrían conducir a la importación de malware o comprometer información sensible. Sin embargo, una gestión eficaz de las políticas y los procedimientos requiere mucho más que la creación de un manual que quede en una estantería. Las políticas y los procedimientos son documentos vivos que deben crecer y adaptarse con la empresa. Por ello, asegurarse de que las políticas están actualizadas es una parte crucial de la gestión y concienciación eficaz de las mismas. La revisión periódica de las políticas garantiza su coherencia y eficacia y protege a la organización de los riesgos.
5. Falta de apoyo de C Suite
Proteger la seguridad de una empresa no es sólo una tarea del equipo de TI, sino también del director general. El tono que se establezca desde arriba será, en última instancia, la fuerza motriz para crear una cultura de mayor concienciación sobre la ciberseguridad. Para provocar el cambio, el equipo directivo de una organización debe asumir la responsabilidad de la ciberseguridad y poner en marcha los procedimientos y la formación adecuados para abordar todos los riesgos.
6. No premiar el éxito
Desgraciadamente, las organizaciones pueden pasar por alto a los empleados que toman las precauciones necesarias para mantenerse a salvo en Internet, y a menudo lo descartan como una responsabilidad que viene con el trabajo. Sin embargo, reconocer a los empleados que detectan hacks y brechas con recompensas y premios es una forma eficaz de motivar a los empleados, incentivar a su equipo y aumentar la conciencia dentro de una organización. Esto es exactamente en lo que debería basarse una campaña eficaz de concienciación sobre ciberseguridad: empleados comprometidos que asumen la responsabilidad de mantener la seguridad de la empresa.
7. Escasa cultura de notificación de incidentes
Si los empleados no tienen claras las consecuencias de la notificación, es posible que no informen de un incidente o que retrasen su notificación a la persona adecuada. El hecho de que un empleado notifique un posible incidente de seguridad debe ser reconocido como un acontecimiento positivo que permite a la organización resolverlo rápidamente. Establecer expectativas claras ayudará a las personas a entender las acciones que deben tomar cuando detectan o responden a un posible incidente.
8. Revisiones poco frecuentes
Si no se revisan los esfuerzos de concienciación, no hay forma de saber si la campaña de concienciación ha tenido realmente éxito en la consecución de sus objetivos. Esto es esencial para descubrir los errores de concienciación en materia de seguridad y las áreas en las que se puede mejorar la tecnología y los procesos. Por ejemplo, los simulacros de phishing permiten a las organizaciones revisar el grado de susceptibilidad de su empresa a los correos electrónicos fraudulentos de phishing y ayudan a identificar al personal que requiere formación adicional. Al determinar lo que funciona y lo que no, se pueden adaptar las tácticas futuras en función de las lecciones aprendidas.
9. Falta de contenido atractivo
Un informe de Gartner reveló que el 70% de los esfuerzos de transformación empresarial fracasan debido a la falta de compromiso. Decirles a los usuarios que estén más atentos a la hora de seguir y abrir mensajes de fuentes desconocidas no es suficiente para protegerlos de las sofisticadas amenazas actuales. En su lugar, la concienciación sobre ciberseguridad debe ser atractiva e informativa para garantizar que el personal entienda lo que se requiere de él y la importancia de su papel en la protección de los datos sensibles de la organización. Para ayudar a reducir la posibilidad de que se cometan errores de concienciación en materia de seguridad, se pueden utilizar pósteres de campaña, cursos de aprendizaje electrónico, ludificación, ataques de phishing simulados, cuestionarios y guías de bolsillo para aumentar la concienciación de los usuarios y el cumplimiento de la normativa de forma atractiva.
10. Expectativas irrazonables
La concienciación cibernética debe tratarse como un proceso continuo que evolucionará con el tiempo, por lo que es importante establecer expectativas realistas sobre lo que se puede conseguir. Aunque sería estupendo que la concienciación en materia de seguridad pudiera evitar todos los incidentes, simplemente no es realista. Sin embargo, si se aplica un enfoque híbrido a la concienciación sobre la ciberseguridad, las organizaciones pueden involucrar a los empleados de forma eficaz, fomentar el cambio de comportamiento y reducir la posibilidad de cometer costosos errores de concienciación sobre la ciberseguridad.
Evite los errores comunes con la formación de concienciación sobre seguridad de MetaCompliance para empleados
MetaCompliance ofrece formación especializada que capacita a los empleados para reconocer y evitar los errores más comunes en la concienciación sobre la seguridad. Nuestra completa biblioteca de contenidos eLearning está diseñada para abordar los desafíos únicos que plantean las amenazas cibernéticas y el gobierno corporativo, garantizando que su equipo esté bien equipado para participar en prácticas eficaces de ciberseguridad.
Póngase en contacto con nuestros especialistas en concienciación sobre seguridad para saber cómo podemos mejorar la formación en ciberseguridad de su organización y mitigar el riesgo de cometer costosos errores de concienciación sobre seguridad.
