Teletrabajo y elearning en seguridad de la información
El impulso que el covid-19 ha dado al teletrabajo exige competencias digitales para el manejo de la información, tanto de la empresa como la información personal. Es por ello que el desarrollo de esta competencia
¿Qué es la seguridad de la información o ciberseguridad?
La ciberseguridad es la práctica de proteger dispositivos, redes, programas y datos de ataques cibernéticos maliciosos. Los ataques cibernéticos más comunes se presentan en forma de malware antiguo y fraudulento, donde el ciberdelincuente se hace pasar por una persona o entidad de confianza para extraer información confidencial.
Las consecuencias de un ciberataque pueden ser perjudiciales para su empresa y sus clientes. Las infecciones de malware, por ejemplo, comprometen las redes de su computadora e interrumpen los procesos comerciales. La fuga de datos del cliente puede conducir al robo de identidad. Esto pone a sus clientes en riesgo de ser blanco de un ataque de phishing o un instrumento para el fraude de seguros. En cuanto a su empresa, puede perder su credibilidad para siempre.
¿Por qué le pasan cosas malas a las buenas compañías? Los motivos detrás de un ciberataque son usualmente extorsión de dinero o espionaje corporativo. Sin embargo, los cibercriminales no se dirigen solo a grandes empresas. Por el contrario, casi la mitad de todos los ataques cibernéticos se dirigen a las pymes . Esto tiene sentido ya que las empresas más pequeñas tienen menos probabilidades de invertir tiempo y dinero en la conciencia y protección de la seguridad.
El estado de ciberseguridad en su empresa depende en gran medida de sus empleados. Para estar un paso adelante y listo para el villano, sus empleados deben aprender a pensar como un cibercriminal. ¿Dónde acecha un cibercriminal? ¿Qué trucos psicológicos usan para engañar a sus víctimas? ¿Qué errores están esperando que cometan sus objetivos? Hay una forma de obtener este tipo de conocimiento, y es a través de la capacitación en ciberseguridad.
7 temas imprescindibles de capacitación en ciberseguridad
La capacitación en ciberseguridad para los empleados debe abordar las amenazas y las mejores prácticas comunes de ciberseguridad. Para evitar sorpresas desagradables y continuar haciendo negocios como de costumbre (en el sentido literal), asegúrese de incluir los siguientes temas:
1. Evitar el malware
Dicen que lo clásico es atemporal. Esto parece ser cierto para el malware, uno de los primeros y más utilizados métodos de ataque cibernético. El software malicioso nunca deja de causar enormes dolores de cabeza a sus víctimas. Los enlaces, archivos y software infectados pueden dañar sus archivos, destruir aplicaciones, enviar spam, robar o dañar datos e incluso destruir la red de su computadora.
Los empleados deben aprender los tipos básicos de malware y las formas menos conocidas de ingresar a una computadora. Por ejemplo, todos saben que deben usar un software antivirus y no confiar en enlaces y archivos de direcciones de correo electrónico desconocidas. Pero pocos saben que el software sin parches es tan bueno como no tener ningún software. O bien, las alertas emergentes que advierten sobre una infección de malware a menudo son un truco para que descargue software malicioso.
2. Usando Wi-Fi público
Cualquier persona con habilidades básicas de piratería y las herramientas «correctas» puede piratear una red wifi pública. Todo es cuesta abajo desde allí. El hacker puede mirar e interferir con lo que sea que hagas mientras estás usando la red. Pueden robar sus contraseñas, instalar malware y enviar dinero a su manera. Un ciberdelincuente más hábil puede incluso configurar y controlar una red wifi falsa disfrazada de pública.
No te apresures a pensar que esto no te concierne. ¿Qué pasa si el trabajo remoto no es la norma en su empresa? Los empleados aún pueden trabajar durante un viaje diario, responder un correo electrónico desde el aeropuerto o trabajar desde una cafetería un sábado. Para reducir las posibilidades de infección y robo de datos, enséñeles a los empleados cómo detectar redes de wi-fi falsas y usar el wifi público de forma segura.
3. Gestión eficaz de contraseñas
Pensarías que tus empleados saben mejor que establecer 123456 como su contraseña. Pero dicha combinación compleja es actualmente la contraseña más popular . Parece que algunos de nosotros necesitamos distinguir entre contraseñas débiles y fuertes.
Los empleados también deben dejar de lado algunas prácticas inseguras, como usar la misma contraseña en sus cuentas, revelar sus contraseñas o almacenarlas «de forma segura» en su cajón superior. Mientras tanto, un administrador de contraseñas puede resolver el problema de recordar diferentes contraseñas, y la autenticación de dos factores puede aumentar la seguridad.
4. Detección de estafas e ingeniería social
¿Quién no ha recibido un correo electrónico diciendo que hubo un problema al renovar su cuenta de Spotify y que necesitaba actualizar su información de pago? Este es un ejemplo típico de un ataque de phishing. (Con suerte, no caíste en ello).
Las estafas, los engaños, así como los ataques de phishing y de ingeniería social, tienen un objetivo común: engañarte para que des dinero. Los cibercriminales utilizan la suplantación y un sentido de urgencia para perturbar y manipular a sus víctimas. A menudo van tan lejos como llamarlos por teléfono o reunirse con ellos en persona. Excepto por las estafas, que generalmente son correos electrónicos ridículos que regalan vacaciones gratis y cosas por el estilo, los ataques de suplantación pueden ser muy creíbles y exitosos .
Debido a su nivel de sofisticación, los ataques de ingeniería social deben ser un gran capítulo de su entrenamiento en ciberseguridad. Durante esta parte de la capacitación, debe:
- Ayude a los empleados a reconocer este tipo de ataques, ya que todos comparten algunas características reveladoras.
- Dé ejemplos de la vida real para que los empleados se den cuenta de las consecuencias y piensen dos veces antes de revelar datos confidenciales, incluso bajo presión.
- Destaque la importancia de no compartir demasiado en las redes sociales. Facebook y LinkedIn son fuentes comunes de información y puntos de entrada para los ataques de suplantación de identidad.
- Reforzar el aprendizaje con simulaciones y simulacros de ciberataques.
5. Seguridad adecuada del dispositivo
La seguridad cibernética se puede poner en riesgo mucho antes de que un empleado encienda su dispositivo y comience a navegar por Internet. Por lo tanto, los empleados deben saber cómo pueden proteger sus propios dispositivos y los de la compañía, incluso cuando no están en línea.
Por ejemplo, todos los dispositivos deben estar protegidos con contraseña, con el bloqueo de pantalla automático activado para una protección adicional. Los USB encontrados al azar nunca deben conectarse a dispositivos personales o de la empresa. Los empleados tampoco deben dejar sus dispositivos desatendidos o desbloqueados, ya sea en público o en casa.
6. Hábitos seguros en las redes sociales
La mayoría de nosotros revelamos información sobre nuestro lugar de trabajo y nuestra vida personal en las redes sociales sin pensarlo dos veces. Esta tendencia a compartir en exceso representa una gran amenaza para la seguridad cibernética, ya que los ciberdelincuentes usan las redes sociales para preparar y realizar ataques de ingeniería social. Por esta razón, los empleados no deben interactuar con cuentas desconocidas ni compartir ningún tipo de información sobre su negocio ni en conversaciones privadas ni en sus perfiles.
Otro peligro que los empleados deben tener en cuenta es el malware. Las publicaciones de Clickbait, que a menudo aparecen en las redes sociales, atraen a los empleados a visitar sitios web no seguros. Estos sitios web pueden infectar sus computadoras, y posiblemente toda su red, con malware. Imagine cómo se verá si esto sucede mientras un empleado administra la página de su empresa y su cuenta comienza a compartir contenido inapropiado o a enviar spam.
7. Protección de datos confidenciales
La información confidencial es un término amplio, que abarca desde las contraseñas de las cuentas y los datos de los clientes hasta los informes financieros, las próximas estrategias de marketing y los secretos comerciales. La fuga de datos confidenciales puede costarle confianza al cliente, una gran cantidad de dinero e incluso su ventaja competitiva.
Por lo tanto, la introducción a la capacitación en ciberseguridad también debe abordar la seguridad de los datos . Los empleados deben, en primer lugar, saber qué datos califican como sensibles y cómo pueden clasificarse aún más. Luego, deben saber cómo almacenar y manejar datos confidenciales. El manejo de datos incluye la protección de datos mediante cifrado y contraseñas, opciones de copia de seguridad y la destrucción segura de datos que ya no son necesarios.
Conclusión
Repetir el entrenamiento regularmente y practicar con simulaciones puede ayudar a mantener alerta a su fuerza laboral en todo momento. Para dar ejemplo, use un LMS seguro para ofrecer capacitación en línea sobre seguridad cibernética, llena de contenido inmersivo y evaluaciones diversas para que los empleados puedan obtener una buena cantidad de práctica y pruebas y acceso a pedido a su capacitación.
Autor: Eleni Zoe Papaioannou. 8 de junio de 2020