Los riesgos no solo provienen de hackers sin rostro en la red sino a menudo, los desafíos más significativos se encuentran dentro de las organizaciones. Los trabajadores, a menudo conocidos como el 'eslabón más débil' en la ciberseguridad, pueden ser la puerta de entrada para ataques devastadores si no están adecuadamente informados y capacitados. En este artículo, exploraremos tres temas esenciales de concienciación en seguridad que cada trabajador debe conocer para fortalecer la primera línea de defensa de tu organización.
¿Por qué es importante la formación?
La importancia de la formación en ciberseguridad no puede ser subestimada, especialmente en un clima digital donde los errores humanos están detrás de una proporción significativa de las brechas de seguridad a nivel mundial. En muchos incidentes, los errores, la negligencia o el hecho de caer en tácticas de phishing e ingeniería social constituyen puntos críticos de falla. Aquí es donde los programas de capacitación y concientización en seguridad desempeñan un papel crucial para mitigar tales amenazas. Sin embargo, la ruta hacia una ciberseguridad robusta no es ni rápida ni fácil.
La meta trasciende la simple formación o sensibilización, que a menudo pueden diluirse con el tiempo. El objetivo real es instigar un cambio de comportamiento duradero entre los usuarios. Esto requiere un enfoque continuo de los programas de formación, incorporando lecciones aprendidas de manera consistente y asegurando que todos en la organización estén incluidos en este proceso educativo, desde los trabajadores temporales y contratistas hasta los ejecutivos de alto nivel. Todos son posibles objetivos y un solo desliz es todo lo que se necesita para abrir una brecha en las defensas.
Optimizar estos programas implica ejecutar sesiones en fragmentos manejables y digeribles, aumentando la retención del mensaje. Cuando sea factible, los ejercicios de simulación o la gamificación deben ser parte de la capacitación, haciendo que las amenazas se sientan más tangibles y el aprendizaje más interactivo.
Una estrategia más refinada podría incluso involucrar la personalización de las lecciones para roles y sectores específicos, aumentando su relevancia y resonancia con cada individuo. La gamificación, en particular, puede ser excepcionalmente efectiva, haciendo que las sesiones no solo sean informativas sino también atractivas.
3 áreas a incluir ahora y en 2024
Con el cierre de 2023 en el horizonte, es prudente considerar elementos esenciales para los programas del próximo año. Estas son áreas clave a considerar:
1) Compromiso de correo electrónico y phishing
El engaño mediante el compromiso del correo electrónico empresarial (BEC) continúa siendo uno de los delitos cibernéticos más lucrativos, utilizándose frecuentemente mensajes de phishing específicos. En recientes reportes, se calcula que las pérdidas económicas superan los 2.700 millones de dólares, siendo un testimonio de la efectividad de la ingeniería social en persuadir a individuos para transferir fondos a cuentas controladas por ciberdelincuentes.
Las estrategias varían, incluyendo suplantación de identidades de altos ejecutivos o proveedores. Es crucial que los ejercicios de concientización sobre phishing se integren en la formación, complementándose con medidas de seguridad en el correo electrónico, métodos de pago robustos y doble verificación de solicitudes de transferencias.
A pesar de ser una táctica antigua, el phishing sigue siendo un método principal para infiltrarse en redes empresariales. Los atacantes están aprovechando la distracción de los trabajadores remotos, y están innovando en sus técnicas. Las simulaciones prácticas de phishing son esenciales para adaptar el comportamiento de los trabajadores a estas amenazas. De cara a 2024, es importante incorporar información sobre phishing via mensajes de texto (smishing), llamadas telefónicas (vishing), y técnicas emergentes como la evasión de autenticación multifactor (MFA).
Te podría interesar leer: Ataque BEC: Previniendo el Compromiso de Correo Empresarial
2) Seguridad en el trabajo remoto e híbrido
Se ha observado que los trabajadores tienden a relajarse en sus prácticas de seguridad mientras trabajan desde casa, lo que aumenta la probabilidad de comprometer la seguridad. Por ejemplo, un estudio reveló que el 80% de los trabajadores se siente más relajado y propenso a distracciones, especialmente en días laborales más informales. Esto puede llevar a una seguridad laxa, especialmente cuando las conexiones y dispositivos domésticos suelen estar menos protegidos.
La capacitación debe incluir recomendaciones sobre actualizaciones de seguridad, gestión de contraseñas y el uso exclusivo de dispositivos autorizados, además de formación continuada sobre concientización de phishing. Con el trabajo híbrido convirtiéndose en estándar, los riesgos asociados con trabajar desde lugares públicos y la conectividad a redes Wi-Fi públicas exponen a los trabajadores a ataques como los de "adversario en el medio" (AitM) y las redes “gemelas malvadas”.
Las capacitaciones también deberían enfocarse en riesgos menos técnicos, recordando a los trabajadores los peligros de exponer información sensible en lugares públicos, conocido como "shoulder surfing".
Te podría interesar leer: Ciberseguridad en el Trabajo Remoto: La Nueva Normalidad
3) Protección de datos
Con un aumento del 168% en las multas relacionadas con el GDPR, alcanzando los 2.900 millones de euros, es imperativo que las empresas refuercen la adherencia a las políticas de protección de datos.
La formación regular es esencial para mantener las mejores prácticas en el tratamiento de datos, incluyendo el uso de cifrado, gestión adecuada de contraseñas, seguridad de dispositivos y la pronta comunicación de cualquier brecha de seguridad.
Los trabajadores pueden beneficiarse de recordatorios sobre prácticas seguras de correo electrónico, como el uso de copia oculta (BCC) para prevenir filtraciones de datos y capacitaciones técnicas adicionales. También es crucial una consideración cuidadosa sobre la información confidencial compartida en redes sociales.
La formación y concientización en ciberseguridad son pilares en cualquier estrategia de seguridad. No obstante, estas iniciativas deben estar acompañadas de políticas de seguridad sólidas y herramientas efectivas como la gestión de dispositivos móviles. Solo mediante una combinación de “personas, procesos y tecnología” se puede fomentar una cultura empresarial verdaderamente segura en el ciberespacio.
Podría interesarte leer: Protección de Datos Corporativos en el Trabajo Remoto
Conclusión: Cultura de Ciberseguridad desde Dentro
Una estrategia de ciberseguridad efectiva requiere más que herramientas de vanguardia; necesita una base de trabajadores que entienda y respete las amenazas cibernéticas. Al fomentar una cultura de seguridad cibernética y promover la educación, las pruebas y los protocolos correctos, las organizaciones pueden fortalecer su eslabón más débil, transformando a cada trabajador en un activo de defensa crítico.
En el panorama actual, donde los ataques cibernéticos son cada vez más sofisticados, las organizaciones deben estar un paso adelante. Esto comienza con la comprensión de que la seguridad es responsabilidad de todos y cada error humano puede ser una oportunidad para los ciberdelincuentes. Al invertir en capacitación y concienciación en seguridad, tu empresa no solo protege activos valiosos sino que también construye una reputación de confianza y fiabilidad en el mundo digital.