Simples errores de concienciación en materia de seguridad están detrás de algunos de los mayores ciberataques del mundo. En sólo un minuto en Internet, se pierden 2,9 millones de dólares a causa de la ciberdelincuencia, según el informe anual RiskIQ. A medida que la escala de Internet sigue aumentando rápidamente, también lo hace el panorama de las amenazas. Tácticas como el malvertising, el phishing y los ataques que utilizan una gama cada vez más amplia de tecnologías y estrategias se han hecho cada vez más populares. Sin embargo, a menudo son las amenazas procedentes del interior de la organización las que plantean el mayor riesgo, lo que pone de relieve la necesidad de mejorar la concienciación en materia de seguridad.

De hecho, el 52% de las empresas admite que los empleados son su mayor debilidad en materia de seguridad informática, ya que sus acciones descuidadas ponen en peligro a las empresas. El año pasado, el 60% de las infracciones notificadas por el ICO se debieron a errores humanos, por lo que la falta de concienciación en materia de seguridad sigue siendo un problema clave para muchas organizaciones. A menudo, las personas son ajenas a las amenazas o se vuelven descuidadas.

Ser consciente de estos errores comunes en la concienciación sobre la seguridad y tomar las medidas correctas para poner en marcha un plan de concienciación eficaz ayudará a educar y capacitará a los empleados para que cambien sus comportamientos y protejan a su organización de posibles riesgos.

Errores de concienciación sobre seguridad que debe evitar

10 errores de concienciación sobre seguridad de los que hay que cuidarse

1. Falta de concentración

El objetivo principal de cualquier programa de concienciación sobre seguridad es cambiar comportamientos y, para que su programa de concienciación tenga éxito, debe tener unos objetivos claros. Estos objetivos servirán o deberían servir para mantener la razón por la que se creó el programa. Deben ser específicos e identificar y abordar los puntos débiles de su organización, como la suplantación de identidad, la seguridad física y la seguridad de las contraseñas.

2. Utilizar un único estímulo

Muchas organizaciones cometen el simple error de centrarse en un único elemento de la ciberconcienciación, como la suplantación de identidad o el aprendizaje electrónico. Aunque estas áreas son una parte fundamental de la protección de una empresa, las campañas de ciberconcienciación con más éxito adoptan una variedad de métodos atractivos para educar a los empleados sobre su papel a la hora de mantener la organización segura y protegida.   

3. Formación única

Sólo el 11% de las organizaciones forman continuamente a sus empleados sobre cómo detectar los ciberataques, según un estudio global de Vanson Bourne, y el 52% realiza la formación sólo trimestralmente o una vez al año. Para mantenerse al día de los avances en el entorno de las ciberamenazas, es importante que la formación de concienciación se considere un proceso continuo que debe comenzar durante el proceso de incorporación y continuar durante toda la relación laboral.   

4. Políticas obsoletas

Una forma eficaz de educar a los empleados en la importancia de la seguridad es una política de ciberseguridad que explique las responsabilidades de cada persona en la protección de los sistemas informáticos y los datos. Estas políticas establecen normas de comportamiento y perfilan las expectativas de los empleados. Por ejemplo, sin políticas claramente definidas sobre el uso de medios extraíbles y dispositivos de propiedad personal, el personal puede conectar dispositivos a la infraestructura corporativa que podrían conducir a la importación de malware o comprometer información sensible. Sin embargo, una gestión eficaz de las políticas y los procedimientos requiere mucho más que crear un manual para que repose en una estantería. Las políticas y los procedimientos son documentos vivos que deben crecer y adaptarse con la empresa. Como tal, garantizar que las políticas estén actualizadas es una parte crucial de una gestión y concienciación eficaces de las mismas. La revisión periódica de sus políticas garantiza que sean coherentes, eficaces y que protejan a su organización de los riesgos.

5. Falta de apoyo de C Suite

Proteger la seguridad de una empresa no es sólo tarea del equipo informático, sino también del director general. El tono que se establezca desde arriba será, en última instancia, la fuerza motriz para crear una cultura de mayor concienciación sobre la ciberseguridad. Para evocar el cambio, el equipo directivo de una organización debe hacer suya la ciberseguridad y poner en marcha los procedimientos y la formación adecuados que aborden todos los riesgos.

6. No recompensar el éxito

Desgraciadamente, las organizaciones pueden pasar por alto a aquellos empleados que toman las precauciones necesarias para mantenerse seguros en Internet, a menudo descartándolo como una responsabilidad que viene con el trabajo. Sin embargo, reconocer a los empleados que detectan hackeos y brechas con recompensas y premios es una forma eficaz de motivar a los empleados, incentivar a su equipo y aumentar la concienciación dentro de una organización. Esto es exactamente en lo que debe basarse una campaña eficaz de concienciación sobre ciberseguridad: empleados comprometidos que asuman la responsabilidad de mantener la seguridad de la empresa.

7. Escasa cultura de notificación de incidentes

Si los empleados no tienen claras las consecuencias de informar, es posible que no informen de un incidente o que retrasen su notificación a la persona adecuada. El hecho de que un empleado notifique un posible incidente de seguridad debe reconocerse como un acontecimiento positivo que permite a la organización resolverlo con prontitud. Establecer unas expectativas claras ayudará a las personas a comprender las medidas que deben tomar al detectar o responder a un posible incidente.  

8. Revisiones poco frecuentes 

No revisar sus esfuerzos de concienciación significa que no hay forma de saber si su campaña de concienciación tiene realmente éxito en la consecución de sus objetivos. Esto es esencial para descubrir los errores en la concienciación sobre la seguridad y las áreas en las que se pueden mejorar la tecnología y los procesos. Por ejemplo, las simulaciones de phishing permiten a las organizaciones revisar lo susceptible que es su empresa a los correos electrónicos fraudulentos de phishing y ayuda a identificar al personal que requiere formación adicional.   Si determina lo que funciona y lo que no, podrá adaptar las tácticas futuras en función de las lecciones aprendidas.

9. Falta de contenidos atractivos

Un informe de Gartner reveló que el 70% de los esfuerzos de transformación empresarial fracasan debido a la falta de compromiso. Decir a los usuarios que estén más atentos a los seguimientos y a abrir mensajes de fuentes desconocidas no basta para protegerles de las sofisticadas amenazas actuales. En su lugar, la concienciación sobre ciberseguridad debe ser atractiva e informativa para garantizar que el personal entiende lo que se requiere de ellos y la importancia de su papel en la salvaguarda de los datos sensibles de la organización. Para ayudar a reducir la posibilidad de que se cometan errores en la concienciación sobre la seguridad, se pueden utilizar carteles de campaña, cursos de aprendizaje electrónico, ludificación, ataques de phishing simulados, cuestionarios y guías de bolsillo para aumentar la concienciación de los usuarios y el cumplimiento de las normas de una forma atractiva.  

10. Expectativas poco razonables

La concienciación cibernética debe tratarse como un proceso continuo que evolucionará con el tiempo, por lo que es importante establecer expectativas realistas sobre lo que se puede conseguir. Aunque sería estupendo que la concienciación en materia de seguridad pudiera evitar todos los incidentes, sencillamente no es realista. Sin embargo, aplicando un enfoque híbrido a la concienciación cibernética, las organizaciones pueden implicar eficazmente a los empleados, fomentar el cambio de comportamiento y reducir la posibilidad de cometer costosos errores de concienciación en materia de ciberseguridad.

Prevenga los errores comunes con la formación de concienciación sobre seguridad de MetaCompliance para empleados

MetaCompliance ofrece formación especializada que capacita a los empleados para reconocer y evitar los errores más comunes en la concienciación sobre la seguridad. Nuestra completa biblioteca de contenidos eLearning está diseñada para hacer frente a los desafíos únicos que plantean las amenazas cibernéticas y el gobierno corporativo, garantizando que su equipo esté bien equipado para participar en prácticas eficaces de ciberseguridad.

Póngase en contacto hoy mismo con nuestros especialistas en concienciación sobre seguridad para saber cómo podemos mejorar la formación en ciberseguridad de su organización y mitigar el riesgo de cometer costosos errores de concienciación sobre seguridad.