Photo by Andrea Piacquadio from Pexels
Los ciberataques son cada vez más sofisticados y selectivos, la creación de un programa eficaz de concienciación sobre ciberseguridad se ha convertido en una prioridad clave para muchas organizaciones. Según los últimos estudios el coste medio de la brecha de seguridad en grandes organizaciones se sitúa en los 4 Millones de €. En las Pymes supone de media 40.000 € con el agravante de que el 60% de las que sufren el ciberataque cierran 6 meses después.
Todos somos objetivo de los ciberdelincuentes.
Los atacantes están cambiando el foco de la tecnología a las personas, aprovechan las vulnerabilidades de los empleados y las explotan con técnicas de Ingeniería Social.
Pequeños errores producidos por negligencias o directamente por caer en fraudes de ingeniería social, en general debidos a la falta de concienciación, pueden provocar graves daños a la organización, lucro cesante por parada de la producción, afectar a la reputación y sanciones de los reguladores. De hecho, gran parte de las empresas consultadas admite que los empleados son su mayor debilidad en materia de seguridad informática, ya que sus posibles descuidos ponen en riesgo la estrategia de seguridad informática de la empresa. En consecuencia, nunca ha sido tan importante hacer de la concienciación sobre la ciberseguridad una prioridad.
Las formas tradicionales de aprendizaje electrónico no son atractivas y han probado no ser efectivas para elevar el estado de alerta y nivel de concienciación de los empleados.
Sin embargo, crear una campaña de concienciación de seguridad eficiente y atractiva para los participantes puede ser un reto. La formación puede resultar a menudo aburrida y anticuada, lo que significa que fracasa rápidamente en lugar de considerarse un compromiso a largo plazo. Sin un plan claro y objetivos definidos, los programas de concienciación tampoco consiguen crear un cambio en la cultura de la ciberseguridad.
Consejos para un programa de concienciación en ciberseguridad eficiente
1. Formación a medida. Hiperpersonlización
Es habitual escuchar y leer que los empleados son el eslabón más débil, también pueden ser un gran activo para cualquier equipo de seguridad si se les dan las herramientas adecuadas y se les forma correctamente. Por ello, es importante no centrarse únicamente en las aparentemente amenazas más críticas, sino también formar para todas las posibilidades, de modo que nuestro personal esté informado y conozca las mejores prácticas.
Los programas más exitosos en concienciación en seguridad de la información tendrán en cuenta las necesidades de la audiencia al entregar los contenidos de seguridad adaptándose a cada empleado de forma dinámica. Esto significa impartir una formación adaptada a cada persona en función de sus necesidades.
Cuando las organizaciones ponen en marcha este tipo de programa de concienciación y entrenamiento consiguen que las personas actúen como firewalls humanos:
Chief Information Officer de GAM Soluciones
2. Frecuencia de la formación
Para que la concienciación en materia de seguridad arraigue dentro de una organización, es importante mantener la seguridad como prioridad. Las iniciativas de concienciación en materia de ciberseguridad requieren algo más que breves ráfagas de actividad. Para que sean realmente eficaces, es necesario un programa de formación con una duración mínima de doce meses, que incluya políticas, simulaciones de phishing y aprendizaje electrónico a lo largo del año.
En este caso, una periodicidad de interacción mensual es deseable, para evitar el efecto de «olvido» de un curso anual cuya validez y sobre todo su capacidad de mantén al empleado alerta diminuye cada semana.
3. Ataques de phishing simulados
Los simulacros de phishing permiten a las organizaciones averiguar hasta qué punto su empresa es susceptible de recibir correos electrónicos fraudulentos de phishing y ayudan a identificar al personal que necesita formación adicional. Las pruebas de simulación controladas ayudarán a los empleados a reconocer, evitar y denunciar las posibles amenazas que puedan poner en peligro la seguridad de su organización.
4. Contenido convincente
Según informes de Gartner , en torno al 70% de los esfuerzos de transformación empresarial fracasan debido a la falta de compromiso. Decir a los usuarios que estén más atentos a la hora de abrir mensajes de fuentes desconocidas no es suficiente para protegerlos de las sofisticadas amenazas actuales. En su lugar, la concienciación sobre ciberseguridad debe ser atractiva e informativa para garantizar que el personal entienda lo que se requiere de él y la importancia de su papel en la protección de los datos sensibles de la organización. Las píldoras informativas en formato vídeo y textos adaptadas para no suponer una excesiva inversión de tiempo, las simulaciones de ataques de phishing y enfrentar a los empleados a situaciones que les permitan autoevaluar sus respuestas son los recursos más eficaces para aumentar la concienciación de los usuarios y el cumplimiento de las normas de forma atractiva.
5. Educar a los empleados
Hoy en día existen muchos empleados que directamente no son conscientes de las devastadoras consecuencias que una violación de datos podría tener en su organización, incluyendo el daño a la reputación, las multas y la pérdida de clientes. Educar al personal sobre los riesgos es clave para crear un sentido compartido de responsabilidad sobre los datos sensibles con los que trabajan.
6. Mitigar el riesgo de las credenciales expuestas
En muchas ocasiones, los servicios que nos prestan terceros, sufren brechas de seguridad que comprometen las cuentas y contraseñas de los usuarios. Es esencial conocer si cuentas de la organización han sido parte de una brecha de seguridad lo antes posible y así poder tomar las medidas oportunas para mitigar el riesgo.
Trabajar individualmente con cada empleado este riesgo tiene múltiples beneficios. El inmediato es la mitigación de la exposición de la información (Correo electrónico y contraseña) que pueda estar disponible online para que los ciberdelincuentes les ataquen o suplanten. En segundo lugar, el impacto que tiene en la actividad de concienciación de los empleados el disponer de un caso real, nominal, es decir con cuentas reales, potencia de forma notable la permeabilidad frente al mensaje: todos somos objetivo de los ciberdelincuentes.
7. Compliance. Cómo dar cobertura a los requerimientos de las normativas
Los requisitos de cumplimiento de los distintos estándares de industria y gobiernos puede demandar un alto grado de esfuerzo por parte de las organizaciones y en muchos casos es un gran desafío. La complejidad que supone hace que nos limitemos a conseguir cumplir con el requerimiento sin tener en cuenta el trasfondo real.
Prácticamente todas las regulaciones relacionadas con la seguridad hacen hincapié en la importancia de incluir a las personas a la hora de gestionar el riesgo. Por lo que es imprescindible contar con soluciones enfocadas al elemento humano.
Es clave ofrecer un programa de concienciación sobre ciberseguridad enfocado a las personas y completamente automatizado, que provea de insights e informes de riesgo sobre el elemento humano, indique claramente la evolución del nivel de concienciación y estado de alerta de los equipos humanos, basados en datos reales de la organización para cumplir con los requisitos normativos globales de seguridad de la información.
Kymatio se especializa en crear la plataforma de gestión del ciberriesgo de empleados más completa del mercado, con evaluación periódica del estado de alerta, programa individualizado de concienciación sobre ciberseguridad, simulaciones de phishing y búsqueda de credenciales online. Nuestros servicios abordan directamente, y con un enfoque de nueva escuela, los desafíos específicos que surgen de las ciberamenazas al factor humano.
