Según el Instituto Nacional de Estándares y Tecnología, las organizaciones "deben asumir que grupos con malas intenciones obtendrán el control de los dispositivos de los empleados que teletrabajan e intentarán robar datos confidenciales o aprovechar los descuidos para obtener acceso a la red empresarial".
Algunos descuidos que pueden causar filtraciones son:
- Pérdida o robo del dispositivo.
- Tácticas de ingeniería social.
- Suplantación de identidad.
- Malware y ransomware.
- Ataques de macros y scripts.
- Ataques de botnets.
- Descuidos en la actualización de parches del sistema operativo, antivirus u otras actualizaciones críticas.
Para minimizar el riesgo de una intrusión hay que reforzar la primera línea de defensa contra las amenazas externas, es decir, capacitar a sus empleados en la concienciación sobre ciberseguridad. A continuación le presentamos 5 formas de educar a sus trabajadores sobre las mejores prácticas de seguridad.
1) Haga que la ciberseguridad sea clara para sus empleados
El primer paso para que los empleados se familiaricen con la educación en ciberseguridad es comunicar un mensaje claro sobre lo que está ocurriendo en su empresa con respecto a la ciberseguridad. Dicho mensaje debe ser comprensible, identificable y diversificado.
2) Anime a tener mucho cuidado con los dispositivos
Una encuesta de Forrester encontró que el 15% de las filtraciones de una empresa son causadas por dispositivos perdidos. Ya sea que se trate de un dispositivo corporativo o personal, capacitar a sus empleados sobre ciberseguridad incluye concienciarles de que su equipo es una puerta de entrada a la red de la organización. Esto hace que sea importante cuidarlo y usarlo correctamente incluso dentro del hogar.
Ayude a mejorar el cuidado de los dispositivos de trabajo realizando lo siguiente:
- Enseñe la diferencia entre uso personal y corporativo.
- Haga obligatorio tener una cuenta de trabajo sujeta a monitoreo, instalaciones restringidas y filtrado web.
- Asegúrese de que las actualizaciones y parches estén al día.
3) Enseñe a los empleados cómo detectar actividades sospechosas
Entrene el ojo de sus empleados para detectar actividades sospechosa enseñándoles a estar atentos a las siguientes señales:
- Aparición repentina de nuevas aplicaciones o programas en sus dispositivos.
- Ventanas emergentes extrañas durante el inicio, el funcionamiento normal o antes del apagado.
- Ralentización del equipo.
- Nuevas extensiones o pestañas en el navegador.
- Movimientos extraños del ratón o errores infrecuentes del teclado.
Anime a sus empleados a reportar señales sospechosas inmediatamente. Incluso si resulta ser una falsa alarma, podría ser beneficioso para el empleado limpiar errores en su dispositivo que obstaculizan la productividad.
4) Reforzar la confidencialidad
Trabajar desde casa tiende a hacer que las personas sean más complacientes, y esto se extiende a la ciberseguridad. Enfatice sobre la importancia de tener claves seguras. Si bien el home office permite cierta relajación, la ciberseguridad nunca debe relajarse.
Para evitar amenazas de ciberseguridad con respecto a la confidencialidad, capacite a sus empleados realizando lo siguiente:
- Ordenar cambios de contraseña únicos y periódicos.
- Enseñe sobre los peligros de usar contraseñas universales y use ejemplos del mundo real de filtraciones de datos.
- Analice la razón de ser de las VPN, la autenticación multifactor y otros procesos de inicio de sesión seguros, y por qué son importantes a pesar de que consumen mucho tiempo.
- Para combatir el almacenamiento no seguro de datos de la empresa, proporcione ejemplos concretos de filtraciones de datos causadas por una memoria USB perdida o una cuenta de Dropbox personal comprometida.
5) Examine casos individuales de violaciones de ciberseguridad
A diferencia de un entorno de oficina con una red controlada, la seguridad de la computadora del hogar puede ser muy distinta. Algunos pueden conectarse a través del Wi-Fi de su hogar, mientras que otros pueden usar conexiones del Wi-Fi público en una cafetería.
Algunos pueden tener dispositivos más antiguos que ya no son compatibles con los parches de seguridad, y puede ser necesario abordar esas inquietudes:
- Animar a los empleados a utilizar los dispositivos proporcionados por la empresa. Verifique la marca del dispositivo y el año del modelo para ver si hay exploits destacados.
- Hacer un barrido de seguridad de las redes domésticas. Por ejemplo, algunos enrutadores antiguos pueden tener protocolos WEP más débiles en lugar de WPA-2, ¡o algunos incluso pueden tener la contraseña predeterminada!
- Preste atención a los empleados nómades y elabore una política de seguridad para ellos, ya que los datos en roaming o los puntos de acceso Wi-Fi públicos traen amenazas únicas.
En promedio, los trabajadores corporativos dedican hasta una cuarta parte de su jornada laboral a tareas relacionadas con el correo electrónico. Esto hace que un único mensaje de correo electrónico pase desapercibido, ya que es posible que no puedan prestar atención a la información. Es recomendable hacer envíos dosificados y en un formato más periódico.
Capacitar a sus empleados sobre la conciencia en ciberseguridad les permite comprender cómo desempeñan un papel importante en la protección de la empresa. En lugar de ser una pieza más de la organización, son el primer par de ojos que protegen contra las amenazas externas.
Si bien es posible que desee mantener su equipo de seguridad interno, contar con el apoyo adicional de un equipo subcontratado puede ser beneficioso cuando ocurre un ataque. No solo tendrá tiempos de respuesta más rápidos, también obtendrá información y experiencia adicional sin la necesidad de capacitar.
Los trabajos de seguridad cibernética también tienen una demanda masiva, por lo que poder encontrar un "profesional" interno para manejar su seguridad y los ataques puede ser difícil y costoso. Los servicios de monitoreo de seguridad “de extremo a extremo” son una opción viable para empresas sin grandes presupuestos.
Contáctenos para conocer cómo nuestro equipo de especialistas puede asistir la ciberseguridad de su empresa.