En el panorama digital actual, en rápida evolución, las organizaciones se enfrentan a multitud de amenazas a la ciberseguridad. Aunque se hace mucho hincapié en la formación de los empleados para reconocer y mitigar estos riesgos, existe un grupo que a menudo se pasa por alto y que presenta importantes vulnerabilidades potenciales: los no empleados. Estas personas, como contratistas, proveedores y socios, tienen acceso a información o sistemas sensibles, lo que las convierte en objetivos atractivos para los ciberdelincuentes.

En este artículo, arrojamos luz sobre los riesgos de seguridad que plantean las personas que no son empleados y destacamos el papel fundamental de la formación en materia de concienciación sobre la seguridad para fortalecer a las empresas más allá de su plantilla.

La amenaza interna: Más allá de los empleados

El Informe de Investigaciones sobre Fugas de Datos 2023 reveló que el 19% de las fugas de datos fueron causadas por amenazas internas. Cuando oímos el término «información privilegiada», es fácil suponer que se refiere únicamente a los empleados de la red de una organización. Sin embargo, las amenazas internas van mucho más allá de los empleados. Los contratistas, proveedores y socios también pueden suponer una amenaza para la seguridad de una empresa. Un asombroso 41% de las amenazas internas fueron perpetradas por socios o contratistas, lo que pone de relieve el riesgo sustancial que representan estas entidades externas.

Comprender los riesgos a los que se enfrentan los no empleados

Los no empleados pueden tener distintos niveles de familiaridad con los protocolos de seguridad de una organización y carecer del mismo nivel de conocimientos sobre ciberseguridad que los empleados habituales. Esta brecha de conocimientos les hace susceptibles a ataques de ingeniería social, intentos de phishing y otras ciberamenazas.

Con acceso a recursos críticos de la empresa, incluidas bases de datos, información sobre clientes y propiedad intelectual, pueden utilizar sus propios dispositivos o acceder a los datos a través de redes públicas, creando posibles vulnerabilidades de seguridad. Un ejemplo real de las devastadoras consecuencias de una violación de este tipo es T-Mobile, que sufrió una violación masiva de datos en enero de 2023 cuando los piratas informáticos accedieron a través de un proveedor externo, lo que afectó a más de 40 millones de clientes.

El papel crucial de la formación en sensibilización sobre seguridad para no empleados

Según la cláusula 7.2.2 de la norma ISO 27001/2, «todos los empleados de la organización y, en su caso, los contratistas y terceros usuarios deben recibir una formación de concienciación adecuada y actualizaciones periódicas de las políticas y procedimientos de la organización, según corresponda a su función laboral«.

Impartir formación sobre concienciación en materia de seguridad a personas que no son empleados puede reducir significativamente los incidentes de ciberseguridad. Cuando están equipados con los conocimientos y habilidades necesarios, estos individuos se convierten en una línea de defensa adicional contra los ciberataques, disminuyendo la probabilidad de brechas y compromisos de datos.

Extender la formación sobre concienciación en materia de seguridad a los no empleados mejora la postura general de seguridad de una organización al abarcar a todas las personas con acceso a los recursos. Crear una cultura de seguridad sólida y promover la responsabilidad y la concienciación tanto entre los empleados como entre los no empleados fomenta un esfuerzo colectivo para salvaguardar los activos críticos, reforzando el panorama general de la seguridad.

Evaluar los programas de formación existentes

Las organizaciones deben determinar en primer lugar si los no empleados ya disponen de un programa de formación sobre concienciación en materia de seguridad. Evaluar la eficacia de su programa existente es igualmente importante. Esta evaluación puede ayudar a identificar cualquier laguna o área de mejora, garantizando al mismo tiempo que todas las personas con acceso a los recursos de la empresa reciben la formación adecuada.

Leer más: Formación sobre concienciación en materia de seguridad con proveedores externos

Extender la formación sobre concienciación en materia de seguridad más allá de la plantilla

Para garantizar el éxito de la formación sobre concienciación en materia de seguridad para los no empleados, las organizaciones deben tener en cuenta lo siguiente:

  • Formación a medida: Diseñe programas de formación que se adapten a las necesidades y funciones específicas de los no empleados de la organización. Aborde los riesgos únicos que pueden encontrar y proporcione orientación práctica para evitar y responder a las amenazas potenciales.

  • Contenido atractivo: Haga que la formación sea interactiva y atractiva para captar el interés y la motivación de los no empleados por aprender. Aprovechar las técnicas de gamificación puede salvar la brecha de conocimientos y aumentar la concienciación sobre ciberseguridad entre este grupo vulnerable.

  • Comunicación clara: Haga hincapié en la importancia de la concienciación sobre la seguridad y en cómo repercute directamente en el éxito de la organización. Destaque la responsabilidad compartida en la salvaguarda de la información.

  • Formación regular: Asegúrese de que los no empleados reciben una formación regular, ya que la gente tiende a olvidar la información importante con el tiempo. Un estudio realizado por USENIX sobre la eficacia de la formación en concienciación sobre seguridad reveló que los empleados retenían los conocimientos de su formación inicial durante aproximadamente cuatro meses. Sin embargo, al cabo de seis meses, su capacidad para detectar correos electrónicos de phishing disminuyó significativamente.

Conclusión

Dar prioridad a la formación sobre concienciación en materia de seguridad para los no empleados es esencial para que las organizaciones refuercen su postura general de ciberseguridad, mitiguen las amenazas internas y protejan los datos confidenciales de posibles violaciones. Extender los esfuerzos de formación en seguridad más allá de los empleados garantiza que todas las personas con acceso a los recursos de la empresa estén bien equipadas para defenderse de las ciberamenazas. Al fomentar un esfuerzo colectivo para salvaguardar los activos críticos, las organizaciones pueden fortificar su defensa contra los ciberdelincuentes y proteger su reputación, su ventaja competitiva y su estabilidad financiera.