Formación a medida sobre concienciación en materia de seguridad

Una de las formas más importantes de controlar el lado humano de las violaciones de la ciberseguridad es utilizar una formación de concienciación sobre seguridad adaptada a los empleados.

Desde la pérdida de confianza de los clientes hasta el horror de las multas por incumplimiento, las violaciones de datos son ahora una preocupación diaria en las empresas de todo el espectro sectorial. Mantenerse al tanto de los riesgos de seguridad es todo un reto.

Sería maravilloso si la seguridad informática consistiera simplemente en utilizar una pieza de tecnología para cerrar la puerta a los ciberdelincuentes; pero, como muestra un estudio de IBM que explora el coste de una violación de datos, la mayoría de las ciberamenazas tienden a tener a un empleado como causa raíz; ya sea un simple error humano, o personas internas malintencionadas, phishing o credenciales comprometidas.

Importancia de la formación en sensibilización sobre seguridad para los empleados

Como todos sabemos, la educación es importante en la vida. Esta educación se extiende al comportamiento y a la seguridad; si una persona comprende por qué actúa de una determinada manera, podrá cambiar más fácilmente cualquier comportamiento negativo.

Al concienciar a los empleados y a los no empleados sobre el funcionamiento de la ciberseguridad, pueden formar parte de un equipo instruido que desempeñe un papel positivo a la hora de ayudar a mitigar los ciberataques a una organización.

Los seres humanos actúan de determinadas maneras debido a las normas de comportamiento y al precondicionamiento para utilizar los ordenadores con mayor facilidad. Este comportamiento se utiliza para manipular a los empleados para que realicen acciones que beneficien a los defraudadores.

Así lo confirman los estudios que demuestran que la manipulación del comportamiento humano es la herramienta preferida en la ciberdelincuencia. Puede que sea el malware el que haga el trabajo de exfiltrar datos, pero los seres humanos abren la puerta a las ciberamenazas a través del error humano, la ingeniería social y el phishing. He aquí tres razones clave por las que es importante la formación en concienciación sobre seguridad para los empleados:

La formación sobre concienciación en materia de seguridad se centra en el ser humano en la cadena de amenazas

Según ENISA, más del 95% de los correos electrónicos de phishing requieren la intervención humana para iniciar la infección del malware.

La formación sobre concienciación en materia de seguridad reduce los costes

El estudio de IBM mencionado anteriormente descubrió que los cursos de formación para empleados eran una de las principales formas de reducir el coste medio de una violación de datos.

La formación sobre concienciación en materia de seguridad toma las políticas y las convierte en acciones

Otro estudio de ENISA sobre la cultura de la ciberseguridad hace hincapié en la importancia de hacer cumplir las políticas de seguridad. El informe concluye que los usuarios finales consideran las políticas de seguridad como «directrices, pero no normas». El informe destaca la importancia de cambiar la mentalidad de los empleados en materia de seguridad para ajustar la percepción del riesgo mediante una cultura de seguridad organizativa coordinada, en lugar de coaccionar un comportamiento seguro.

Temas esenciales de la formación de concienciación sobre seguridad para empleados

Los programas de formación para la concienciación sobre la seguridad contienen varias áreas temáticas que son imprescindibles para una formación eficaz. Seis de las más importantes son:

Phishing

Los ataques de phishing siguen siendo uno de los principales métodos que provocan filtraciones de datos. Junto con la falta de formación y la escasa higiene de las contraseñas, los ataques de phishing se encuentran entre las tres principales formas de infección por ransomware. La formación para la concienciación sobre la seguridad de los empleados debe incluir la comprensión de cómo funciona el phishing y qué tipos de phishing existen, por ejemplo, el phishing por correo electrónico, el phishing por voz (Vishing), el phishing por texto (SMShing) y el spear phishing. El phishing simulado suele formar parte de un paquete de concienciación. Los ejercicios de phishing simulado están diseñados para enviar correos electrónicos de phishing de prueba con el fin de formar a los usuarios en los trucos típicos que utilizan los estafadores. Muchos programas de formación sobre concienciación en materia de seguridad también ofrecen vídeos interactivos para ayudar a detectar los múltiples tipos de fraude que utilizan el phishing.

Seguridad en la Web

En 2020, Google registró más de 2 millones de sitios web de phishing. Las URL maliciosas pueden provocar el robo de credenciales y la infección de programas maliciosos, incluso sin la interacción del usuario. Es importante formar a los usuarios finales sobre cómo detectar los sitios web/estafas que pretenden infectar las redes. Esto es cada vez más difícil, ya que los sitios de phishing suelen ser «sitios seguros»; el Grupo de Trabajo Antiphishing (APWG) muestra que el 83% de los sitios de phishing utilizan HTTPS.

Higiene de contraseñas

Algunas estadísticas de LastPass resumen los problemas de contraseñas a los que se enfrentan las organizaciones:

• El 66% de las personas reutiliza las contraseñas
• El 53% no ha cambiado sus contraseñas en más de 12 meses
• El 41% cree que sus cuentas no son lo suficientemente valiosas como para atraer a un hacker

La formación para la concienciación sobre la seguridad debe cubrir las razones por las que la higiene de las contraseñas es importante y cómo crear contraseñas sólidas.

Dispositivos móviles

Ahora que muchos empleados trabajan desde casa o a distancia, al menos parte del tiempo, la seguridad móvil es más importante que nunca. Alrededor del 70% del fraude en línea se produce en el canal móvil. La formación para la concienciación sobre la seguridad debe centrarse en el uso seguro de los dispositivos móviles, incluido el Wi-Fi seguro, la higiene de las aplicaciones y el phishing.

Ingeniería social

La ingeniería social se utiliza para engañar a los usuarios para que proporcionen a los estafadores datos valiosos, como credenciales de inicio de sesión e información personal. La ingeniería social también desempeña un papel importante en estafas complejas, como el Business Email Compromise (BEC), en el que se engaña a los empleados para que envíen dinero a la cuenta bancaria de un estafador.

Manejo de datos sensibles

Los reglamentos y las normas exigen que se respeten los procesos en el manejo de datos sensibles. La formación para la concienciación sobre la seguridad de los empleados también debe tener un elemento que cubra su papel en el mantenimiento de la conformidad en el manejo de la información sensible y personal.

Cómo hacer que la formación sobre concienciación en materia de seguridad resulte interesante para los empleados

La ciberseguridad suele considerarse un tema aburrido. Sin embargo, la formación sobre concienciación en materia de seguridad ha recorrido un largo camino desde sus inicios. Los programas modernos de concienciación sobre la seguridad están diseñados para calar, y esto significa que pueden ser interesantes, ¡incluso divertidos! Algunas formas de hacer que su programa de concienciación sobre seguridad para empleados sea divertido e interesante son:

Jugar: Aprender jugando es algo que a los humanos se nos da bien. Cuando uno se divierte haciendo algo tiende a recordarlo. Adapte sus lecciones de ciberseguridad de modo que utilicen juegos para ayudar a que la formación se fije en la mente de sus empleados.

Interactúe: Las sesiones de formación interactivas atraen a los empleados y les ayudan a aprender. Algunos programas de formación en seguridad ofrecen vídeos interactivos que llevan a los empleados a través de procesos típicos de estafa para ayudarles a comprender cómo pueden ser engañados por los defraudadores. Estas sesiones interactivas suelen ofrecer información sobre la marcha a los empleados durante una sesión de formación.

Relacionar: La gente también aprende bien de los juegos o de las sesiones de formación interactivas que son relacionables. Debe intentar adaptar su programa de formación sobre concienciación en materia de seguridad para que refleje las amenazas reales a las que se enfrenta su sector empresarial. El estudio del aprendizaje de adultos, conocido como «andragogía» dice lo siguiente sobre la enseñanza a adultos:

«Dado que los adultos buscan un aprendizaje práctico, los contenidos deben centrarse en temas relacionados con su trabajo o su vida personal«.

Recursos de formación sobre concienciación en materia de seguridad para empleados

He aquí algunos recursos que le ayudarán con ideas sobre cómo adaptar la concienciación sobre ciberseguridad para los empleados:

El mes de la concienciación sobre la seguridad: Todo el mes de octubre se dedica a diversos temas de concienciación sobre la seguridad, ofreciendo consejos y actividades para formar a los empleados sobre las amenazas a la seguridad.

El Centro Nacional de Ciberseguridad: Este organismo nacional dispone de muchos recursos para ayudar a adaptar las sesiones de formación de concienciación.

Test de phishing de Google: Un test automatizado rápido y divertido que repasa algunos trucos habituales de phishing

Herramienta de simulación de phishing de MetaCompliance: MetaPhish se adapta a sus empleados y le permite conocer la eficacia de su formación en materia de seguridad.

Carteles de concienciación sobre ciberseguridad: Carteles gratuitos que puede imprimir o enviar para recordar a los empleados diversos aspectos esenciales de la ciberseguridad.