En el panorama digital actual, en rápida evolución, las organizaciones se enfrentan a multitud de amenazas a la ciberseguridad. Aunque se hace mucho hincapié en la formación de los empleados para reconocer y mitigar estos riesgos, hay un grupo que a menudo se pasa por alto y que presenta importantes vulnerabilidades potenciales: los no empleados. Estas personas, como contratistas, proveedores y socios, tienen acceso a información o sistemas sensibles, lo que las convierte en objetivos atractivos para los ciberdelincuentes.
En este artículo, arrojamos luz sobre los riesgos de seguridad que plantean los no empleados y destacamos el papel fundamental de la formación en materia de concienciación sobre la seguridad para fortalecer a las empresas más allá de su plantilla.
La amenaza de la información privilegiada: Más allá de los empleados
El informe 2023 Data Breach Investigations Report reveló que el 19% de las violaciones de datos fueron causadas por amenazas internas. Cuando oímos el término "información privilegiada", es fácil suponer que se refiere únicamente a los empleados de la red de una organización. Sin embargo, las amenazas internas van mucho más allá de los empleados. Los contratistas, proveedores y socios también pueden suponer una amenaza para la seguridad de una empresa. Un asombroso 41% de las amenazas internas fueron perpetradas por socios o contratistas, lo que pone de relieve el importante riesgo que representan estas entidades externas.
Comprender los riesgos a los que se enfrentan los no empleados
Los no empleados pueden tener distintos niveles de familiaridad con los protocolos de seguridad de una organización y carecer del mismo nivel de experiencia en ciberseguridad que los empleados habituales. Esta falta de conocimientos los hace susceptibles a ataques de ingeniería social, intentos de phishing y otras ciberamenazas.
Con acceso a recursos críticos de la empresa, incluidas bases de datos, información de clientes y propiedad intelectual, pueden utilizar sus propios dispositivos o acceder a los datos a través de redes públicas, creando posibles vulnerabilidades de seguridad. Un ejemplo real de las devastadoras consecuencias de una violación de este tipo es T-Mobile, que sufrió una violación masiva de datos en enero de 2023 cuando los hackers accedieron a través de un proveedor externo, lo que afectó a más de 40 millones de clientes.
El papel crucial de la formación en sensibilización sobre seguridad para no empleados
Según la cláusula 7.2.2 de la norma ISO 27001/2, "todos los empleados de la organización y, en su caso, los contratistas y terceros usuarios deben recibir una formación de sensibilización adecuada y actualizaciones periódicas de las políticas y procedimientos de la organización, según corresponda a su función laboral".
Impartir formación sobre concienciación en materia de seguridad a los no empleados puede reducir significativamente los incidentes de ciberseguridad. Cuando se les dota de los conocimientos y habilidades necesarios, estas personas se convierten en una línea de defensa adicional contra los ciberataques, reduciendo la probabilidad de que se produzcan brechas y se pongan en peligro los datos.
Ampliar la formación sobre concienciación en materia de seguridad a los no empleados mejora la postura global de seguridad de una organización al abarcar a todas las personas con acceso a los recursos. La creación de una cultura de seguridad sólida y el fomento de la responsabilidad y la concienciación tanto entre los empleados como entre los no empleados fomenta un esfuerzo colectivo para salvaguardar los activos críticos, reforzando el panorama general de la seguridad.
Evaluación de los programas de formación existentes
Las organizaciones deben determinar en primer lugar si las personas que no son empleados ya disponen de un programa de formación sobre concienciación en materia de seguridad. Es igualmente importante evaluar la eficacia del programa existente. Esta evaluación puede ayudar a identificar lagunas o áreas de mejora, garantizando al mismo tiempo que todas las personas con acceso a los recursos de la empresa reciban la formación adecuada.
Más información: Formación sobre concienciación en materia de seguridad con proveedores externos
Extender la formación sobre concienciación en materia de seguridad más allá de la plantilla
Para garantizar el éxito de la formación sobre concienciación en materia de seguridad para no empleados, las organizaciones deben tener en cuenta lo siguiente:
- Formación a medida: Diseñe programas de formación que se adapten a las necesidades y funciones específicas de los no empleados dentro de la organización. Aborde los riesgos específicos a los que pueden enfrentarse y proporcione orientación práctica para evitar y responder a posibles amenazas.
- Contenido atractivo: Haga que la formación sea interactiva y atractiva para captar el interés y la motivación de los no empleados por aprender. Aprovechar las técnicas de gamificación puede reducir la brecha de conocimientos y aumentar la concienciación sobre ciberseguridad entre este grupo vulnerable.
- Comunicación clara: Haga hincapié en la importancia de la concienciación sobre la seguridad y en cómo repercute directamente en el éxito de la organización. Destaque la responsabilidad compartida en la protección de la información.
- Formación periódica: Asegúrese de que los no empleados reciben formación periódica, ya que la gente tiende a olvidar la información importante con el tiempo. Un estudio realizado por USENIX sobre la eficacia de la formación de concienciación sobre seguridad reveló que los empleados retenían los conocimientos de su formación inicial durante aproximadamente cuatro meses. Sin embargo, después de seis meses, su capacidad para detectar correos electrónicos de phishing disminuía significativamente.
Conclusión:
Dar prioridad a la formación de concienciación sobre seguridad para no empleados es esencial para que las organizaciones refuercen su postura general de ciberseguridad, mitiguen las amenazas internas y protejan los datos confidenciales de posibles violaciones. Ampliar los esfuerzos de formación en seguridad más allá de los empleados garantiza que todas las personas con acceso a los recursos de la empresa estén bien equipadas para defenderse de las ciberamenazas. Al fomentar un esfuerzo colectivo para salvaguardar los activos críticos, las organizaciones pueden fortalecer su defensa contra los ciberdelincuentes y proteger su reputación, su ventaja competitiva y su estabilidad financiera.