Los errores ocurren, es inevitable.
Pero la realidad es que
cuando se trata de su campaña de concienciación sobre ciberseguridad, cualquier error, por pequeño que sea, puede tener un efecto enormemente perjudicial para la seguridad de su organización
.
Los resultados de estos errores, aparentemente inocentes, aparecen continuamente en la prensa, con informes diarios sobre violaciones de datos, ataques a la red informática
y multas paralizantes impuestas por prácticas negligentes de ciberseguridad.
Ahora vivimos en una era diferente, una era que exige un mejor enfoque de la ciberseguridad. Su campaña de concienciación sobre la ciberseguridad no puede ser un mero intento de marcar una casilla. Tiene que mitigar el riesgo, proporcionar una defensa real contra las ciberamenazas y educar al personal sobre la importancia de su papel en la protección de los datos sensibles de la empresa.
Puede ser difícil saber por dónde empezar o qué áreas
presentan el mayor riesgo, pero reconociendo los errores de concienciación de seguridad más comunes
, puede empezar a desarrollar una sólida campaña de concienciación de seguridad cibernética
que defienda contra las amenazas cibernéticas en evolución y
cumpla eficazmente con los marcos normativos.
Algunos de los errores de concienciación en materia de seguridad más comunes son:
1. Un enfoque despreocupado de la ciberseguridad
Muchas organizaciones hablan de boquilla de la ciberseguridad, pero no se toman la amenaza lo suficientemente en serio. Pueden creer que son demasiado pequeñas para ser atacadas o que el dinero podría invertirse en otras áreas donde hay un retorno de la inversión más inmediato. Estas suposiciones son peligrosas.
Según el Informe de Investigaciones de Brechas de Datos (DBIR) de Verizon 2019, el 43% de todos los ciberataques se dirigen ahora a las pequeñas empresas. La realidad es que los ciberdelincuentes van cada vez más a por las organizaciones más pequeñas y medianas, ya que suelen tener menos dinero y recursos para invertir en Ciberseguridad. Puede que sean las grandes marcas las que salgan en los titulares, pero todas las organizaciones son un objetivo y necesitan las medidas de ciberseguridad adecuadas para defenderse de los ataques.
Elerror humano sigue siendo la causa principal de todas las violaciones de la ciberseguridad, por lo que es vital que su organización ponga en marcha una campaña eficaz de concienciación sobre la ciberseguridad que eduque al personal sobre cómo identificar y responder adecuadamente a las amenazas en evolución.
2. No hay objetivos claros
Para que su campaña de concienciación en materia de seguridad tenga éxito, debe
tener unos objetivos claramente definidos que describan lo que espera conseguir. Sus objetivos
deben identificar y abordar los problemas a los que se enfrenta actualmente su organización
. Puede tratarse de ataques de phishing, trabajo a distancia, seguridad de las contraseñas
, cuestiones normativas o seguridad física. Los ciberdelincuentes están
buscando continuamente áreas que explotar, así que a menos que su campaña de concienciación sobre seguridad
identifique adecuadamente todas las áreas de riesgo, su organización será vulnerable
a los ataques.
El siguiente paso es identificar a su público objetivo. El personal de su organización se enfrenta a diferentes amenazas, por lo que, en lugar de enviar el mismo contenido genérico a todo el mundo, sus empleados deben recibir una formación específica que sea relevante para su función. Al realizar una evaluación detallada de los riesgos, su organización estará en una posición mucho mejor para crear una campaña de concienciación sobre la seguridad con objetivos claros que puedan medirse y evaluarse adecuadamente en una fecha posterior.
3. Contenido aburrido
Su campaña de concienciación sobre la ciberseguridad está condenada al fracaso si sigue bombardeando a su personal con el mismo contenido soso y repetitivo de siempre. La ciberseguridad es un tema lo suficientemente árido como para no complicarlo con largas presentaciones de PowerPoint y monótonas diapositivas que no sirven para transmitir la amenaza real que los ciberdelincuentes suponen para su empresa. Y no se equivoque, estas amenazas son reales. Independientemente del tamaño, el sector o la ubicación, todas las organizaciones son vulnerables y serán objetivo activo de los ciberdelincuentes.
La clave para mitigar este riesgo y crear una plantilla más cibersegura es el uso de contenidos atractivos y relevantes. Contar historias es una forma muy eficaz de ayudar a reforzar su mensaje de ciberseguridad. Según una investigación de la Universidad de Stanford, las historias son hasta 22 veces más memorables que los hechos por sí solos. Si puede hacer que la ciberseguridad sea fácil de entender, es más probable que sus empleados retengan la información y, por tanto, que mejore la postura general de seguridad de su organización.
También es importante utilizar una variedad de métodos y formatos diferentes para mantener a su público interesado. Los vídeos de acción en vivo, las animaciones, los concursos, las políticas, los blogs y los carteles de concienciación pueden combinarse para crear un programa de seguridad completo que tenga un impacto positivo en el comportamiento de los empleados.
4. Formación poco frecuente
En años anteriores, las organizaciones organizaban un curso anual de ciberseguridad en
y esperaban que fuera suficiente para mantener a su personal al día con las últimas amenazas. Sin embargo, los tiempos han cambiado. Las amenazas cibernéticas están
evolucionando todo el tiempo, así que a menos que su personal esté recibiendo una formación regular,
no será capaz de reconocer las sofisticadas amenazas que se están utilizando para
dirigirse a ellos.
Los ciberdelincuentes suelen intentar infiltrarse en su organización aprovechando las vulnerabilidades del software, el phishing, el malware o las malas prácticas de seguridad en general. A medida que hemos ido conociendo estos diferentes tipos de métodos de ataque, los ciberdelincuentes han tenido que volverse más astutos en sus intentos de defraudarnos. El 30% de los incidentes de seguridad pueden atribuirse ahora a empleados descuidados o desinformados, por lo que, a menos que su personal reciba formación periódica, podría suponer una importante amenaza para la seguridad de su organización.
5. No recompensar al personal
Puede ser demasiado fácil quedar atrapado en el intento de identificar a los individuos que suponen un riesgo para la seguridad de su organización, en lugar de recompensar a los miembros del personal que están identificando activamente las amenazas, practicando buenos comportamientos de seguridad y motivando a sus compañeros en el proceso. Estos son los miembros del personal que son clave para el éxito de su programa de concienciación sobre la seguridad y deben ser recompensados en consecuencia.
Las recompensas podrían incluir trofeos, premios o elogios públicos y el reconocimiento de que sus esfuerzos son apreciados. Se ha demostrado científicamente que las recompensas influyen enelcomportamiento humano, por lo que si se crea un programa de incentivos que recompense el comportamiento positivo en materia de seguridad, es más probable que se cree una plantilla cibersegura que se comprometa a proteger su organización.
Gartner ha elaborado un detallado documento de investigación en el que se destacan 10 errores comunes en la concienciación sobre seguridad y cómo pueden evitarse. Para leer el documento de investigación y descubrir cómo puede cambiar los comportamientos de seguridad dentro de su organización, visite