Proporcione a los empleados el conocimiento necesario para detectar las señales de advertencia de un ciberataque y comprender cuándo pueden estar poniendo en riesgo datos confidenciales.
Hay un viejo adagio en ciberseguridad que dice que los humanos son el eslabón más débil en la cadena de seguridad. Eso es cada vez más cierto, ya que los actores de amenazas compiten para explotar a los empleados crédulos o descuidados. Pero también es posible convertir ese eslabón débil en una formidable primera línea de defensa. La clave es implementar una estrategia efectiva programa de entrenamiento de conciencia de seguridad.
La investigación revela que el 82% de las violaciones de datos analizadas en 2021 involucraron un "elemento humano". Es un hecho ineludible de las amenazas cibernéticas modernas que los empleados representan un objetivo principal para el ataque. Pero bríndeles el conocimiento necesario para detectar las señales de advertencia de un ataque y para comprender cuándo pueden estar poniendo en riesgo datos confidenciales, y existe una gran oportunidad para avanzar en los esfuerzos de mitigación de riesgos.
¿Qué es la formación en conciencia de seguridad?
La capacitación de concientización quizás no sea el mejor apodo para lo que los líderes de TI y seguridad quieren lograr en sus programas. En realidad, el objetivo es cambiar los comportamientos a través de una mejor educación sobre dónde se encuentran los riesgos cibernéticos clave y qué mejores prácticas simples se pueden aprender para mitigarlos. Es un proceso formalizado que idealmente debería cubrir una variedad de áreas temáticas y técnicas para capacitar a los empleados para que tomen las decisiones correctas. Como tal, puede verse como un pilar fundamental para las organizaciones que desean crear un seguridad por diseño cultura corporativa.
¿Por qué es necesaria la capacitación en concientización sobre seguridad?
Como cualquier tipo de programa de capacitación, la idea es mejorar las habilidades del individuo para convertirlo en un mejor empleado. En este caso, mejorar su conciencia de seguridad no solo será de gran utilidad para el individuo mientras navega por varios roles, sino que reducirá el riesgo de un posible brecha de seguridad dañina.
La verdad es que los usuarios corporativos se encuentran en el corazón palpitante de cualquier organización. Si pueden ser pirateados, también lo puede ser la organización. De manera similar, el acceso que tienen a datos sensibles y sistemas de TI aumenta el riesgo de que ocurran accidentes que también podrían impactar negativamente a la empresa.
Varias tendencias resaltan la necesidad urgente de programas de capacitación en concientización sobre seguridad:
Contraseñas Las credenciales estáticas existen desde que existen los sistemas informáticos. Y a pesar de las súplicas de los expertos en seguridad a lo largo de los años, siguen siendo el método más popular de autenticación de usuarios. La razón es simple: la gente sabe instintivamente cómo usarlos. El desafío es que también son un gran objetivo para los piratas informáticos. Consiga engañar a un empleado para que los entregue, o incluso adivine, y a menudo no hay nada más que se interponga en el camino del acceso completo a la red.
Más de la mitad de los empleados estadounidenses han escrito sus contraseñas en lápiz y papel, según una estimación. Malas prácticas de contraseña abrir la puerta a los piratas informáticos. Y a medida que aumenta la cantidad de credenciales que los empleados deben recordar, también aumenta la probabilidad de uso indebido.
Ingeniería social: Los seres humanos son criaturas sociables. Eso nos hace susceptibles a la persuasión. Queremos creer las historias que nos cuentan y la persona que las cuenta. Esto es ¿Por qué funciona la ingeniería social?: el uso por parte de los actores de amenazas de técnicas persuasivas como la presión del tiempo y la suplantación de identidad para engañar a la víctima para que haga lo que le piden. Los mejores ejemplos son suplantación de identidad correos electrónicos, textos (también Smishing) y llamadas telefónicas (también conocidas como vishing), pero también se usa en Ataques de compromiso de correo electrónico empresarial (BEC) y otras estafas.
La economía del cibercrimen: Hoy en día, estos actores de amenazas tienen una red subterránea compleja y sofisticada de sitios web oscuros a través de los cuales pueden comprar y vender datos y servicios – todo, desde alojamiento a prueba de balas hasta ransomware-as-a-service. Es se dice que vale billones. Esta “profesionalización” de la industria del cibercrimen naturalmente ha llevado a los actores de amenazas a concentrar sus esfuerzos donde el retorno de la inversión es más alto. En muchos casos, eso significa dirigirse a los propios usuarios: empleados corporativos y consumidores.
Trabajo híbrido: Los trabajadores a domicilio son pensado para ser es más probable que haga clic en enlaces de phishing y se involucre en comportamientos riesgosos, como usar dispositivos de trabajo para uso personal. Como tal, el surgimiento de una nueva era de trabajo híbrido ha abierto la puerta para que los atacantes se dirijan a los usuarios corporativos cuando son más vulnerables. Eso sin mencionar el hecho de que las redes domésticas y las computadoras pueden estar menos protegidas que sus equivalentes en la oficina.
¿Por qué importa la formación?
En última instancia, una brecha de seguridad grave, ya sea como resultado de un ataque de terceros o de una divulgación accidental de datos, podría provocar un daño financiero y de reputación importante. A estudio reciente revela que el 20% de las empresas que sufrieron tal incumplimiento casi quebraron como resultado. Investigación separada afirma que el costo promedio de una violación de datos a nivel mundial ahora es más alto que nunca: más de US $ 4.2 millones.
No es solo un cálculo de costos para los empleadores. Muchas reglamentaciones, como HIPAA, PCI DSS y Sarbanes-Oxley (SOX), requieren que las organizaciones que las cumplen lleven a cabo programas de capacitación de concientización sobre la seguridad de los empleados.
Cómo hacer que los programas de sensibilización funcionen
Hemos explicado el "por qué", pero ¿qué pasa con el "cómo"? Los CISO deben comenzar consultando con los equipos de recursos humanos, que normalmente lideran los programas de capacitación corporativos. Es posible que puedan brindar asesoramiento ad hoc o un apoyo más coordinado.
Entre las áreas a cubrir podrían estar:
- Ingeniería social y phishing/vishing/smishing
- Divulgación accidental por correo electrónico
- Protección web (búsqueda segura y uso de Wi-Fi público)
- Mejores prácticas de contraseña y autenticación multifactor
- Trabajo seguro a distancia y desde casa
- Cómo detectar amenazas internas
Sobre todo, tenga en cuenta que las lecciones deben ser:
- Diversion y gamificado (piense en refuerzo positivo en lugar de mensajes basados en el miedo)
- Basado en ejercicios de simulación del mundo real
- Corre continuamente durante todo el año en lecciones cortas (10-15 minutos)
- Incluyendo a todos los miembros del personal, incluidos ejecutivos, trabajadores a tiempo parcial y contratistas
- Capaz de generar resultados que se pueden utilizar para ajustar los programas para satisfacer las necesidades individuales
- Diseñado para adaptarse a diferentes roles
Una vez que se decide todo esto, es importante encontrar el proveedor de capacitación adecuado. La buena noticia es que hay muchas opciones en línea a diferentes precios, incluidas herramientas gratuitas. Dado el panorama de amenazas actual, la inacción no es una opción.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- Vivimos la seguridad
- seguridad del sitio web
- zephyrnet
