Una de las formas más importantes de controlar el lado humano de las violaciones de la ciberseguridad es utilizar una formación de concienciación sobre seguridad adaptada a los empleados.
Desde la pérdida de confianza de los clientes hasta el horror de las multas por incumplimiento, las violaciones de datos son ahora una preocupación diaria en empresas de todo el espectro sectorial. Mantenerse al tanto de los riesgos de seguridad es todo un reto.
Sería estupendo que la seguridad informática consistiera simplemente en utilizar una tecnología para cerrar el paso a los ciberdelincuentes, pero, como demuestra un estudio de IBM sobre el coste de las filtraciones de datos, la causa principal de la mayoría de las ciberamenazas suele ser un empleado, ya sea por un simple error humano, o por personas malintencionadas, phishing o credenciales comprometidas.
Importancia de la formación en materia de seguridad para los empleados
Como todos sabemos, la educación es importante en la vida. Esta educación se extiende al comportamiento y la seguridad; si una persona entiende por qué actúa de una determinada manera, puede cambiar más fácilmente cualquier comportamiento negativo.
Al concienciar a los empleados y no empleados sobre el funcionamiento de la ciberseguridad, pueden formar parte de un equipo instruido que desempeñe un papel positivo a la hora de ayudar a mitigar los ciberataques a una organización.
Los seres humanos actúan de determinadas maneras debido a las normas de comportamiento y al precondicionamiento para utilizar más fácilmente los ordenadores. Este comportamiento se utiliza para manipular a los empleados para que realicen acciones que beneficien a los defraudadores.
Así lo confirman los estudios que demuestran que la manipulación del comportamiento humano es la herramienta preferida en la ciberdelincuencia. Puede que sea el malware el que haga el trabajo de exfiltrar datos, pero los seres humanos abren la puerta a las ciberamenazas a través del error humano, la ingeniería social y el phishing. He aquí tres razones clave por las que es importante que los empleados reciban formación sobre concienciación en materia de seguridad:
La formación en sensibilización sobre seguridad se centra en el ser humano en la cadena de amenazas
Según ENISA, más del 95% de los correos electrónicos de phishing requieren la intervención humana para iniciar la infección del malware.
La formación en concienciación sobre seguridad reduce costes
El estudio de IBM mencionado anteriormente descubrió que los cursos de formación para empleados eran una de las principales formas de reducir el coste medio de una filtración de datos.
La formación para la concienciación en materia de seguridad convierte las políticas en acciones
Otro estudio de ENISA sobre la cultura de la ciberseguridad hace hincapié en la importancia de hacer cumplir las políticas de seguridad. El informe constata que los usuarios finales consideran las políticas de seguridad como "directrices, pero no normas". El informe subraya la importancia de cambiar la mentalidad de los empleados en materia de seguridad para ajustar la percepción del riesgo utilizando una cultura de seguridad organizativa coordinada, en lugar de coaccionar un comportamiento seguro.
Temas esenciales de la formación de concienciación sobre seguridad para empleados
Los programas de formación sobre concienciación en materia de seguridad contienen varias áreas temáticas que son imprescindibles para una formación eficaz. Seis de los más importantes son:
Phishing
Los ataques de phishing siguen siendo uno de los principales métodos de filtración de datos. Junto con la falta de formación y la escasa higiene de las contraseñas, los ataques de phishing se encuentran entre las tres principales formas de infección por ransomware. La formación para la concienciación sobre la seguridad de los empleados debe incluir una comprensión de cómo funciona el phishing y qué tipos de phishing existen, por ejemplo, phishing por correo electrónico, phishing por voz (Vishing), phishing por texto (SMShing) y spear phishing. El phishing simulado suele formar parte de un paquete de concienciación. Los ejercicios de phishing simulado están diseñados para enviar correos electrónicos de phishing de prueba con el fin de formar a los usuarios en los trucos típicos que utilizan los estafadores. Muchos programas de formación en concienciación sobre seguridad también ofrecen vídeos interactivos para ayudar a detectar los múltiples tipos de fraude que utilizan el phishing.
Seguridad en la web
En 2020, Google registró más de 2 millones de sitios web de phishing. Las URL maliciosas pueden provocar el robo de credenciales y la infección por malware, incluso sin interacción del usuario. Es importante formar a los usuarios finales sobre cómo detectar los sitios web/estafas que pretenden infectar las redes. Esto es cada vez más difícil, ya que los sitios de phishing son a menudo "sitios seguros"; el Anti-Phishing Working Group (APWG) muestra que el 83% de los sitios de phishing utilizan HTTPS.
Higiene de contraseñas
Algunas estadísticas de LastPass resumen los problemas de contraseñas a los que se enfrentan las organizaciones:
- El 66% de la gente reutiliza las contraseñas
- El 53% lleva más de 12 meses sin cambiar sus contraseñas.
- El 41% cree que sus cuentas no son lo suficientemente valiosas como para atraer a un hacker
La formación para la concienciación sobre la seguridad debe cubrir las razones por las que la higiene de las contraseñas es importante y cómo crear contraseñas sólidas.
Dispositivos móviles
Ahora que muchos empleados trabajan desde casa o a distancia, al menos parte del tiempo, la seguridad móvil es más importante que nunca. Alrededor del 70% del fraude en línea se produce en el canal móvil. La formación para la concienciación sobre la seguridad debe centrarse en el uso seguro de los dispositivos móviles, incluido el Wi-Fi seguro, la higiene de las aplicaciones y la suplantación de identidad.
¿Qué es la ingeniería social en cyber security? MetaCompliance
La ingeniería social se utiliza para engañar a los usuarios para que proporcionen a los estafadores datos valiosos, como credenciales de inicio de sesión e información personal. La ingeniería social también desempeña un papel importante en estafas complejas, como el Business Email Compromise (BEC), en el que se engaña a los empleados para que envíen dinero a la cuenta bancaria de un estafador.
Tratamiento de datos sensibles
Los reglamentos y normas exigen que se respeten los procesos en el tratamiento de datos sensibles. La formación de los empleados en materia de concienciación sobre la seguridad también debe incluir un elemento que cubra su papel en el mantenimiento de la conformidad en el tratamiento de la información sensible y personal.
Hacer que la formación sobre concienciación en materia de seguridad resulte interesante para los empleados
La ciberseguridad suele considerarse un tema aburrido. Sin embargo, la formación sobre concienciación en materia de seguridad ha avanzado mucho desde sus inicios. Los programas modernos de concienciación sobre la seguridad están diseñados para permanecer, y esto significa que pueden ser interesantes, ¡incluso divertidos! Algunas formas de hacer que su programa de concienciación sobre seguridad para empleados sea divertido e interesante son:
Jugar: Aprender jugando es algo que a los humanos nos va muy bien. Cuando uno se divierte haciendo algo, tiende a recordarlo. Adapta tus lecciones de ciberseguridad para que utilicen juegos que ayuden a que la formación se fije en la mente de tus empleados.
Interactuar: las sesiones de formación interactivas atraen a los empleados y les ayudan a aprender. Algunos programas de formación en seguridad ofrecen vídeos interactivos que llevan a los empleados a través de procesos típicos de estafa para ayudarles a entender cómo pueden ser engañados por los defraudadores. Estas sesiones interactivas suelen ofrecer información sobre la marcha a los empleados durante una sesión de formación.
Relacionar: La gente también aprende bien con juegos o sesiones de formación interactivas que le resulten familiares. Debe intentar adaptar su programa de formación sobre concienciación en materia de seguridad para reflejar las amenazas reales a las que se enfrenta su sector empresarial. El estudio del aprendizaje de adultos, conocido como "andragogía", dice lo siguiente sobre la enseñanza a adultos:
"Como los adultos buscan un aprendizaje práctico, los contenidos deben centrarse en temas relacionados con su trabajo o su vida personal".
Recursos de formación sobre concienciación en materia de seguridad para empleados
A continuación se ofrecen algunos recursos para ayudar con ideas sobre cómo adaptar la concienciación sobre ciberseguridad a los empleados:
Mes de concienciación sobre la seguridad: Todo el mes de octubre se dedica a diversos temas de concienciación sobre seguridad, ofreciendo consejos y actividades para formar a los empleados sobre las amenazas a la seguridad.
El Centro Nacional de Ciberseguridad: Este organismo nacional tiene muchos recursos para ayudar a adaptar las sesiones de formación de concienciación.
Test de phishing de Google: Un test automatizado rápido y divertido que repasa algunos trucos habituales de phishing
Herramienta de simulación de phishing de MetaCompliance: MetaPhish se adapta a sus empleados y permite conocer la eficacia de su formación en materia de seguridad.
Carteles de concienciación sobreciberseguridad: Carteles gratuitos que puedes imprimir o enviar para recordar a los empleados diversos aspectos esenciales de la ciberseguridad.