Seguridad negocio

El conocimiento es un arma poderosa que puede capacitar a sus empleados para que se conviertan en la primera línea de defensa contra las amenazas.

Phil Muncaster

Octubre 19 2023  •  , 5 minuto. leer

Este octubre vuelve a ser el mes de la concientización sobre la ciberseguridad (CSAM). Se trata de una iniciativa de sensibilización que abarca tanto el mundo del consumidor como el empresarial, aunque hay muchos puntos cruzados: después de todo, cada empleado también es un consumidor. De hecho, a medida que trabajamos cada vez más desde casa o desde nuestro espacio de trabajo remoto favorito, las líneas nunca han sido tan borrosas. Desafortunadamente, al mismo tiempo, los riesgos de llegar a un acuerdo nunca han sido tan graves.

La construcción de un mundo más ciberseguro comienza aquí. Entonces, ¿qué deberían incorporar los jefes de TI en sus programas de concientización sobre seguridad ahora y en 2024? Es importante asegurarse de que está tratando con el ciberamenazas de hoy y de mañana, no los riesgos de antaño.

Por qué importa la formación

Según la Verizon, tres cuartas partes (74%) de todas las infracciones globales durante el año pasado incluyen el "elemento humano", que en muchos casos significó error, negligencia o usuarios. ser víctima de phishing y la ingeniería social. Los programas de capacitación y concientización en materia de seguridad son una forma fundamental de mitigar estos riesgos. Pero no existe un camino rápido y fácil hacia el éxito. De hecho, lo que deberíamos buscar no es tanto formación ni sensibilización, ya que ambas pueden olvidarse con el tiempo. Se trata de cambiar el comportamiento de los usuarios a largo plazo.

Esa solo puede suceder si ejecuta programas continuamente, para tener en cuenta los aprendizajes en todo momento. Y asegúrese de que nadie se quede fuera: eso significa incluir temporales, contratistas y ejecutivos de nivel C. Cualquiera podría ser un objetivo, y podría ser necesario un solo error para dejar entrar a los malos. Además, ejecute sesiones en porciones pequeñas para tener más posibilidades de que los mensajes se mantengan. Y cuando sea posible, incluya simulación o ejercicios de gamificación para traer una amenaza particular a la vida.

Como nosotros mencionado antes, las lecciones pueden incluso personalizarse para roles y sectores específicos, para hacerlas más relevantes para el individuo. Y las técnicas de gamificación pueden ser una adición útil para hacer que la capacitación sea más pegajosa y atractiva.

3 áreas a incluir ahora y en 2024

A medida que nos acercamos al final de 2023, vale la pena pensar qué incluir en los programas del próximo año. Considera lo siguiente:

1) BEC y phishing

Compromiso de correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de delitos cibernéticos con mayores ganancias que existen. En casos informado al FBI El año pasado, las víctimas perdieron más de 2.7 millones de dólares. Se trata de un delito que se basa fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador.

Hay varios métodos para lograrlo, como haciéndose pasar por un director ejecutivo o un proveedor, y estos pueden encajarse claramente en ejercicios de concientización sobre phishing. Estos deben combinarse con inversiones en seguridad avanzada del correo electrónico, procesos de pago sólidos y verificación de cualquier solicitud de pago.

El phishing como tal existe desde hace décadas, pero sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Y gracias a los trabajadores móviles y a domicilio distraídos, los malos tienen aún más posibilidades de lograr sus objetivos. Pero en muchos casos las tácticas están cambiando, al igual que los ejercicios de concientización sobre el phishing. Aquí es donde las simulaciones en vivo realmente pueden ayudar a cambiar el comportamiento de los usuarios. Para 2024, considere incluir contenido sobre phishing a través de aplicaciones de mensajes de texto o (Smishing), Llamadas de voz (vishing) y nuevas técnicas como la omisión de autenticación multifactor (MFA).

Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de capacitación que pueda actualizar su contenido en consecuencia.

2) Seguridad del trabajo remoto e híbrido

Los expertos han advertido durante mucho tiempo que es más probable que los empleados ignoren las directrices/políticas de seguridad o simplemente las olviden cuando trabajan desde casa. Uno estudio descubrió que el 80% de los trabajadores admitió que trabajar desde casa los viernes en verano los relaja y distrae más, por ejemplo. Esto puede exponerlos a un riesgo elevado de verse comprometidos, especialmente cuando las redes y dispositivos domésticos pueden estar menos protegidos que sus equivalentes corporativos. Y aquí es donde deberían intervenir los programas de capacitación con consejos sobre actualizaciones de seguridad para computadoras portátiles, administración de contraseñas y el uso únicamente de dispositivos aprobados por la empresa. Debería ir acompañado de una formación sobre concientización sobre el phishing.

Además, El trabajo híbrido se ha convertido en la norma. para muchas empresas hoy en día. Uno afirmaciones del estudio El 53% tiene ahora una póliza y la cifra seguramente aumentará. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Una son las amenazas de puntos de acceso Wi-Fi públicos que podrían exponer a los trabajadores móviles a ataques de adversario en el medio (AitM), donde los piratas informáticos acceden a una red y escuchan los datos que viajan entre los dispositivos conectados y el enrutador, y las amenazas de los “gemelos malvados”. donde los delincuentes configuran un punto de acceso Wi-Fi duplicado haciéndose pasar por uno legítimo en una ubicación específica. 

También existen menos riesgos de “alta tecnología”. Las sesiones de formación podrían ser una buena oportunidad para recordar al personal los peligros de surf de hombro.

3) Protección de datos

Multas GDPR aumentado 168% anual hasta más de 2.9 millones de euros (3.1 millones de dólares) en 2022, a medida que los reguladores toman medidas enérgicas contra el incumplimiento. Esto constituye un argumento bastante sólido para que las organizaciones se aseguren de que su personal siga correctamente las políticas de protección de datos.

La capacitación periódica es una de las mejores formas de tener en cuenta las mejores prácticas en el manejo de datos. Eso significa cosas como el uso de un cifrado seguro, una buena gestión de contraseñas, mantener los dispositivos seguros e informar cualquier incidente inmediatamente al contacto correspondiente.

El personal también puede beneficiarse de una actualización en el uso de copia oculta (BCC), un error común que conduce a filtraciones no intencionadas de datos de correo electrónico, y de otra capacitación técnica. Y siempre deben considerar si lo que publican en las redes sociales debe mantenerse confidencial.

Los cursos de formación y sensibilización son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden trabajar de forma aislada. Las organizaciones también deben contar con políticas de seguridad estrictas que se apliquen con controles y herramientas sólidos como la administración de dispositivos móviles. “Personas, procesos y tecnología” es el mantra que ayudará a construir una cultura corporativa más cibersegura.