La pandemia de coronavirus ha hecho que se preste una atención renovada a la formación en materia de ciberconcienciación, ya que las organizaciones buscan formas de reducir el riesgo y educar al personal sobre la evolución de las amenazas.
En el último año, se ha producido un aumento del 715% en los ataques de ransomware, un aumento del 600% en los ataques de phishing y un aumento del 200% en las estafas de Business Email Compromise (BEC).
Estas aleccionadoras estadísticas ponen de manifiesto las continuas e implacables amenazas a las que se enfrentan las organizaciones y, lo que quizá sea más preocupante, es que el 90% de los ciberataques se deben a errores humanos.
Perseguir el "elemento humano" se ha convertido en la forma más fácil de atacar a una organización y obtener acceso a datos valiosos de la empresa. Los ciberdelincuentes cambian continuamente sus tácticas y utilizan sofisticadas técnicas de ingeniería social para infiltrarse en las redes corporativas.
Cuando se trata de ciberseguridad, sus empleados son realmente su primera línea de defensa contra la ciberdelincuencia. Inculcar buenos hábitos de ciberseguridad a su personal es la mejor manera de defenderse de los ataques y evitar convertirse en la última empresa salpicada por las noticias.
Los mejores consejos para que los nuevos contratados reciban formación sobre ciberseguridad
1. La formación de sensibilización cibernética debe comenzar el primer día
Para asegurarse de que su personal entiende la importancia de la ciberseguridad en el lugar de trabajo, es vital que la formación en ciberseguridad comience desde el primer día. Desarrollar una cultura de ciberseguridad lleva tiempo, pero si se inculca el comportamiento correcto a tus empleados desde el principio, actuarán con responsabilidad y comprenderán mejor cómo sus acciones contribuyen a la seguridad general de la empresa.
2. Hacer que la formación sea relevante
Para que la formación en cibersensibilización tenga eco entre el personal, debe ser específica para su organización. Las organizaciones se enfrentan a diferentes amenazas, por lo que la formación de concienciación debe reflejar las amenazas del mundo real a las que se enfrenta su personal en el día a día. Puede tratarse de cualquier cosa, desde correos electrónicos de suplantación de identidad hasta estafas de compromiso del correo electrónico empresarial (BEC).
3. Conseguir la aprobación de la alta dirección
Para que el personal se tome en serio las ciberamenazas, el equipo directivo de una organización debe hacer suya la ciberseguridad y poner en marcha los procedimientos y la formación correctos que aborden todos los riesgos. El tono que se establezca desde arriba será, en última instancia, la fuerza motriz para crear una cultura de mayor concienciación sobre la ciberseguridad.
4. Educar a sus empleados sobre el alto coste de una violación de datos
Muchos empleados simplemente no son conscientes de las devastadoras consecuencias que una violación de datos podría tener en su organización. Ya sea una caída en la cotización de las acciones, daños a la reputación, pérdida de clientes o multas, los empleados deben comprender el impacto real que podría tener una violación de la seguridad y cómo podría afectar directamente a su empresa. Educar al personal sobre los riesgos es clave para crear un sentido compartido de responsabilidad sobre los datos sensibles con los que trabajan.
5. Formación periódica de concienciación cibernética
Formar a los empleados una vez al año en materia de ciberseguridad no es suficiente para que estén preparados para hacer frente a los ataques de las nuevas amenazas. El enfoque tradicional de la ciberseguridad ya no es suficiente en una época en la que las organizaciones son atacadas continuamente. Los ciberdelincuentes son cada vez más astutos en sus métodos de ataque, por lo que los empleados deben recibir formación periódica sobre ciberseguridad para ayudarles a reconocer y responder adecuadamente a las últimas amenazas.
6. Comprobar la concienciación de los empleados
La concienciación en materia de seguridad sólo puede lograrse a través de la educación, por lo que, para evaluar con precisión la comprensión de la formación por parte de sus empleados, es importante poner a prueba sus conocimientos y habilidades. Los simulacros de phishing ayudan a las organizaciones a determinar el grado de susceptibilidad de su empresa a los correos electrónicos fraudulentos de phishing y a identificar al personal que requiere formación adicional. Las pruebas de simulación controladas ayudarán a los empleados a reconocer, evitar e informar de las posibles amenazas que podrían poner en peligro la seguridad de su organización.
7. Promover la notificación de incidentes
A medida que sus empleados adquieren una mayor conciencia cibernética y un mejor conocimiento del panorama de las amenazas, se les debe animar a informar de cualquier posible incidente de seguridad a la alta dirección. Puede tratarse de un correo electrónico de suplantación de identidad, de una actividad en línea sospechosa o incluso de una persona no autorizada en el lugar de trabajo.
8. Destacar la importancia de la ciberseguridad en el trabajo y en el hogar
La clave de una buena ciberseguridad en el lugar de trabajo es enseñar a los empleados a adoptar estas prácticas cuando están en casa, fuera del perímetro de seguridad de las defensas de la empresa. La mayoría de las estafas de ingeniería social tienen varias vertientes, y los atacantes pueden pasar semanas investigando a sus víctimas en las redes sociales antes de intentar acceder a las redes de la empresa. Si el personal puede aprender la importancia de los buenos hábitos cibernéticos en casa, estos comportamientos se trasladarán al lugar de trabajo.
