¿Por qué realizar una formación en sensibilización en ciberseguridad?
El 81% de las organizaciones se vieron afectadas por malware, phishing y ataques de contraseñas en 2022, principalmente dirigidos a usuarios.
Pero a pesar de que los empleados reciben capacitación sobre concientización sobre ciberseguridad, la mitad de los líderes de las organizaciones cree que sus empleados aún carecen de conocimientos sobre ciberseguridad. Esto podría deberse a programas de formación ineficaces y insuficientemente reforzados y a prácticas de ciberhigiene inconsistentes. Además, con el auge de la IA generativa, los correos electrónicos de phishing se han vuelto más convincentes y mucho más difíciles de reconocer.
Una formación eficaz en materia de concienciación sobre ciberseguridad puede ayudar a los empleados a reconocer ataques de phishing y esquemas de ingeniería social, aplicar las mejores prácticas de nombres de usuarios y contraseñas, informar incidentes de seguridad y, en última instancia, proteger datos y sistemas confidenciales y evitar que su organización sea víctima de un ataque de ransomware.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) ha delineado los siguientes objetivos esenciales del programa de concientización cibernética de una organización:
- Aumentar la concienciación sobre la ciberseguridad
- Promoción de la educación y la cultura en materia de ciberseguridad
- Estar preparado para incidentes
- Impulsar la comprensión del panorama y las amenazas a la ciberseguridad
- Mejorar la cultura y la higiene de la ciberseguridad
- Políticas y procedimientos de prueba
Garantizar una formación eficaz en materia de sensibilización en materia de ciberseguridad
En primer lugar, los empleados deben ser educados sobre las diversas amenazas que pueden encontrar en su entorno laboral.
“En la industria de la concientización sobre la seguridad hablamos mucho sobre ‘enlaces de phishing’, pero ¿qué otras ciberamenazas sus empleados deben poder detectar? La atención se ha centrado principalmente en los ‘enlaces’ porque normalmente es allí donde el ataque se convierte en malware o fraude. Pero hay muchas otras pistas que los empleados deben poder analizar”, dijo el director ejecutivo de Click Armor, Scott Wright , en el Informe CISO del tercer trimestre de 2023 sobre concientización sobre la seguridad.
«También pueden encontrarse con ataques USB (o dispositivo de almacenamiento portátil – PSD), llamadas telefónicas, ataques de correo de voz, mensajes de texto/SMS de phishing, correos electrónicos de ingeniería social que no tienen enlaces e incluso mensajes instantáneos internos».
Los profesionales de la seguridad deben comprender que no todos los empleados están familiarizados con la tecnología y las diversas amenazas que la acompañan, y deben considerar el nivel de conocimiento de la ciberseguridad al planificar un programa de concientización sobre la ciberseguridad.
Se debe proporcionar a los empleados ejemplos de la vida real de posibles amenazas, informarles sobre las posibles consecuencias y el impacto positivo de una reacción rápida.
Centrarse en lo positivo
Al informar incidentes de seguridad, los empleados deben sentirse empoderados y no avergonzados. Es necesario educarlos sobre la importancia de la ciberseguridad, enfatizando su papel como una habilidad valiosa, no solo dentro de su entorno laboral sino también en su vida privada.
El objetivo no es infundir miedo a las amenazas cibernéticas, sino mejorar sus habilidades brindándoles educación y concienciación. Reconocer y recompensar a quienes contribuyen a un panorama cibernético más seguro se vuelve crucial para fomentar una cultura positiva de ciberseguridad, fomentando una sensación de logro y compromiso.
La capacitación en concientización sobre ciberseguridad debe ser divertida, presentada en un lenguaje sencillo y mínimamente disruptiva para la rutina laboral diaria del empleado.
Un buen programa de concientización sobre ciberseguridad también debe personalizarse según el rol de los empleados: diferentes permisos de acceso pueden tener un impacto diferente en caso de un incidente.
La concienciación sobre la seguridad no es sólo para los equipos de seguridad o de TI: es una responsabilidad organizacional colectiva.
Fuente y redacción: Helga Labus / helpnetsecurity.com
