En muchas ocasiones la concienciación en materia de seguridad de la información que manejan los empleados, sigue siendo la asignatura pendiente en el ámbito de la ciberseguridad, y es el elemento causante de incontables brechas de seguridad capaces de tumbar empresas de cualquier tamaño. Algo tan indispensable para la supervivencia de una organización no debe dejarse al azar pero, aun en la actualidad podemos ver noticias, todas las semanas, de compañías que caen porque sus empleados no han sido capaces de identificar un ataque de ingeniería social. Y esto, sin contar los casos que no salen a la luz por miedo a la perdida de reputación.
El objetivo de este artículo es definir unos puntos básicos que ha de tener en cuenta cualquier responsable de la seguridad de la información, de cualquier compañía, para minimizar el riesgo de brecha de seguridad causada por el factor humano.
Hemos seleccionado 10 mandamientos de la concienciación que exponemos a continuación:
1. Haz que la concienciación sea fácil y amena: Asegúrate de que las medidas de seguridad sean fáciles de comprender y de seguir para los empleados. Si las medidas de seguridad son demasiado complejas o complicadas o el lenguaje con el que son comunicadas no es amigable, es posible que los empleados no las sigan.
Kymatio® ofrece chatbots que hacen que la concienciación se perciba de manera amena y divertida por parte del empleado. Para conectar aún más con éste, toda la concienciación en Kymatio® está basada en casos reales con las que con toda probabilidad se enfrentará en el ámbito profesional o personal.
2. Realiza evaluaciones y acciones de concienciación periódicamente a los empleados para conocer en tiempo real cuál es el nivel y cultura de protección de datos que poseen. Estas evaluaciones deben incluir cuestiones relacionadas con protección de datos y han de tener carácter recurrente para evitar el efecto llamado curva del olvido.
Las acciones pueden ser charlas, talleres o webinares frecuentes, con contenido actualizado sobre las amenazas de ingeniería social que puedan concernir a tu sector. En este punto cabe resaltar que, para acertar plenamente, debemos estar plenamente informados sobre cuáles han sido los últimos ataques sufridos por compañías de características y nicho similar a la nuestra.
En Kymatio® actualizamos todos nuestros contenidos para estar alineados con las amenazas del momento. También disponemos los contenidos de manera automatizada a los empleados para que, los responsables de la seguridad de los datos de las compañías, no tengan que invertir una gran cantidad de recursos en esta labor y su implicación sea meramente la de supervisar y gestionar.
3. Realiza simulaciones de phishing, smishing y QR para medir cual es el porcentaje de empleados que son vulnerables ante este tipo de situaciones. «Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre» Lord Kelvin.
La formación en hábitos ciberseguros es totalmente necesaria pero ha de ser complementada con pruebas periódicas que permitan determinar cuales son los departamentos y empleados más vulnerables y sobre qué colectivos de empleados se ha de reforzar un tipo de concienciación determinada. Kymatio®, no sólo ofrece las herramientas necesarias para realizar este tipo de mediciones que hemos mencionado, también disponemos de herramientas para hacer campañas de neurophishing y spear phishing. Además, también proporciona métricas precisas que facilitarán que puedas tomar las decisiones adecuadas en materia de concienciación y seguridad de la información, además de poder reportar con precisión cual es la situación de la compañía segmentada por departamentos.
4. Fomenta la responsabilidad individual y la cultura de la seguridad: Debes animar a tus empleados a que se sientan responsables de su propia seguridad en línea. Explícales cómo las acciones individuales pueden afectar a toda la compañía y cómo pueden protegerse ellos mismos y la información que manejan. También es importante que los empleados o colectivos que no tienen cultura de seguridad o con un nivel bajo de conciencia respecto a ésta, descubran su importancia.
Haz que la seguridad en línea sea una parte integral de la cultura empresarial y recompensa a los empleados por tomar medidas de seguridad efectivas creando retos que visibilicen a los empleados que tienen las mejores prácticas en concienciación tales como reportar amenazas. Con Kymatio® además puedes saber qué empleados consumen los contenidos de concienciación e impulsar la participación de los más perezosos a la hora de involucrarse para con la ciberseguridad.
5. Crea una política de seguridad clara: Es esencial que los empleados sepan cuál es la política de seguridad de la empresa y qué se espera de ellos en términos de protección de datos y seguridad en línea. Asegúrate de que la política sea clara y fácil de entender. Además, es recomendable que esta política se incluya dentro del onboarding de los empleados, realizando recordatorios periódicos a toda la plantilla. En Kymatio® sólo realizamos sesiones con esta política, fáciles de entender y divertidas, para así facilitar la absorción de estos conocimientos. Además, automatizamos el envío de recordatorios periódicos a los empleados para fomentar su involucración en el ámbito de la ciberseguridad.
6. No tengas miedo de la personalización: Cada persona es diferente, por lo que sus necesidades de concienciación también lo serán. Proporcionar a cada empleado el contenido que necesita es imprescindible para mantener su motivación y para que la información importante no se diluya entre otras cuestiones que poco aportan a su estado de alerta.
Además, teniendo en cuenta las diferencias de cada persona también se pueden llevar a cabo campañas de ingeniería social enfocadas en sus áreas más vulnerables, fortaleciéndoles así para que los ingenieros sociales no puedan explotar estos puntos.
Puede parecer imposible personalizar a todos, pero Kymatio® lo hace automáticamente, nuestra IA ofrece contenido adaptado a las necesidades particulares de cada empleado
7. Fortalece la política de credenciales en tu compañía: Anima a los empleados a utilizar contraseñas seguras y a cambiarlas con frecuencia. Proporciona herramientas para ayudarles a crear contraseñas seguras y asegúrate de que se sigan los protocolos de cambio de éstas. En todas las sesiones de Kymatio® se abordan varios dominios de conocimiento claves para que los empleados no bajen la guardia, uno estos de dominios es la gestión de contraseñas.
8. Audita cual es el nivel de credenciales expuestas de tus empleados usando una aplicación como ABS (Account Breach Scanner), integrada en Kymatio®. Con ABS puedes tener el control del nivel de exposición en cuanto a credenciales expuestas, al que están sometida tu plantilla. Cada usuario de Kymatio® tiene acceso a un panel de control dónde, en tiempo real, puede saber qué credenciales tiene expuestas y con un solo click acceder a la web desde la cual podrá hacer efectivo el cambio de password.
9. Asegúrate de que los empleados comprendan las consecuencias: Que los empleados no sigan las medidas de seguridad adecuadas puede suponer un grave problema para cualquier organización. Haz que sepan que una brecha de seguridad podría tener un impacto catastrófico en toda la empresa y por ende en ellos mismos. De esta manera conseguirás que se incremente su nivel de alerta y estén más preparados para identificar cualquier ataque de ingeniería social.
10. Crea políticas de uso de dispositivos personales: Si permites que los empleados utilicen sus dispositivos personales para trabajar, asegúrate de que existan políticas claras sobre cómo se deben utilizar esos dispositivos para mantener la seguridad de la información empresarial. Los empleados han de tener claro de qué manera pueden usar sus dispositivos corporativos y cuales son las mejores prácticas en seguridad de la información cuando acceden a los sistemas de la compañía desde un dispositivo personal. Este tipo de mensajes, como no puede ser de otra manera, están incluidos en las sesiones de Kymatio®.
Esperamos que este artículo te haya sido de utilidad, recuerda que Kymatio® es la solución de gestión de ciberriesgo de mpleados, concienciación en seguridad de la información y gestión del riesgo de exposición de credenciales «todo en uno», apóyate en la solución más avanzada del mercado para minimizar los riesgos