usecure Blog

12 temas esenciales para la formación en materia de seguridad para 2023

Escrito por Alex Campbell | 20 agosto 2021 13:40

En 2023, es más importante que nunca educar y formar a los usuarios finales sobre las mejores prácticas de ciberseguridad en el lugar de trabajo. A continuación hemos enumerado los 12 temas a los que hay que prestar atención. Con las amenazas digitales cada vez más sofisticadas, educar a su personal digital en las mejores prácticas de ciberseguridad es la forma más eficaz de ahorrar tiempo y prevenir las brechas de seguridad.

En 2020 se lograron muchas cosas, a pesar de las difíciles circunstancias. Lo más evidente fue la adaptación de las personas y las empresas a los entornos de trabajo a distancia. Con esto llegaron enormes desafíos. Riesgos como la suplantación de identidad, el malware y el almacenamiento de datos no hicieron más que acentuarse, junto con tácticas más agresivas por parte de los piratas informáticos que las que hemos visto en el pasado, un aumento del X%.

Teniendo esto en cuenta, hemos renovado nuestra lista de 12 temas a los que prestar atención en el año 2023.

¿Qué temas de concienciación sobre la seguridad debo incluir?

La mayoría de las empresas dedican gran cantidad de tiempo y dinero a la implantación de programas informáticos para proteger su información de seguridad, y el presupuesto medio de TI destinado a la seguridad se sitúa en torno al 10%. Sin embargo, el"hardware humano" es, con mucho, el elemento más vulnerable de cualquier negocio y las empresas deberían operar sobre la base de la prevención sobre la cura.

El error humano es la causa de hasta el 95% de las violaciones de la ciberseguridad, y con unos simples cursos de concienciación esta cifra puede reducirse drásticamente. Estimaciones recientes sugieren que solo la mitad de los empleados reciben formación una vez al año.

Desde las PYME hasta las grandes empresas, el empleado es la última línea de defensa de la seguridad de una empresa, el "cortafuegos humano". Entonces, ¿cuáles son los temas más importantes de la formación en materia de seguridad para su personal?

¿Cuáles son los temas más importantes de la formación en materia de seguridad?

Enumeramos la formación de concienciación sobre ciberseguridad más relevante para empleados en 2023:

Los 12 principales temas de formación en ciberseguridad:

  1. Ataques de phishing
  2. Medios extraíbles
  3. Contraseñas y autenticación
  4. Seguridad física
  5. Seguridad de los dispositivos móviles
  6. Trabajar a distancia
  7. Wi-Fi público
  8. Seguridad en la nube
  9. Uso de las redes sociales
  10. Uso de Internet y del correo electrónico
  11. Ingeniería social
  12. Seguridad en el hogar
Eduque a sus usuarios en todos estos temas con uLearn. Pruébelo gratis
 

1. Ataques de phishing

En el último año hemos visto un enorme aumento de los ataques de phishing. En particular, hubo una gran cantidad de correos electrónicos de phishing relacionados con la pandemia. El Grupo de Análisis de Amenazas de Google informó a mediados de abril de que había bloqueado 18 millones de correos electrónicos de malware y phishing con temática COVID-19 al día.

Los ataques de phishing siguen siendo la causa más común de las violaciones de la ciberseguridad. Las cifras actuales reflejan claramente la necesidad de concienciación sobre los ataques de phishing, según las investigaciones el 91% de los ciberataques que tienen éxito son el resultado de una estafa de phishing..

Aunque las empresas son cada vez más conscientes del phishing, sigue siendo una amenaza creciente en 2023, en parte debido a la falta de concienciación de los empleados. Si se impulsa la formación en seguridad como parte de la filosofía de la empresa a través de una formación recurrente de concienciación en materia de seguridad, esta cifra puede reducirse drásticamente con el tiempo.

El "spearphishing" es una forma de ataque más sofisticada y dirigida, que utiliza a trabajadores específicos de la empresa para dar legitimidad a un correo electrónico dirigido a un conjunto concreto de usuarios finales. Un correo electrónico en el que se suplanta al director general, por ejemplo, es probable que sea pulsado por la mayoría de los empleados, y podría contener un malware adjunto. La eficacia de este tipo de ataques ha dado lugar a nuevos y sofisticados desarrollos, como el vishing y el smishing.


Al formar a los usuarios finales para que reconozcan los correos electrónicos potencialmente dañinos y denuncien los sospechosos, esta amenaza puede reducirse considerablemente. Al ofrecer cursos de formación en ciberseguridad, la concienciación de los empleados sobre este tipo de ataques puede mejorarse enormemente con una formación constante. La simulación de ataques de phishing puede demostrar el riesgo potencial de estos ataques para la empresa.

2. Medios extraíbles

Otro tema de concienciación sobre la seguridad que se utiliza a diario en las empresas son los medios extraíbles. Los medios extraíbles son aquellos soportes de almacenamiento portátiles que permiten a los usuarios copiar datos en el dispositivo y luego extraerlos del mismo para llevarlos a otro y viceversa. Los dispositivos USB que contienen malware pueden quedar a la vista de los usuarios finales cuando los conectan a su dispositivo.

         " Unos investigadores dejaron caer casi 300 memorias USB en el campus de la Universidad de Illinois Urbana-Champaign. El 98% de estas unidades fueron recogidas. Además, el 45% de estas unidades no sólo fueron recogidas, sino que los individuos hicieron clic en los archivos que encontraron dentro ".*

Además de conocer los riesgos, los empleados deben saber cómo utilizar estos dispositivos de forma segura y responsable en la empresa. Existen numerosas razones por las que una empresa puede decidir utilizar medios extraíbles en su entorno. Sin embargo, con todas las tecnologías, siempre habrá riesgos potenciales. Además de los propios dispositivos, es importante que los empleados protejan los datos que contienen. Ya sean personales o corporativos, todos los datos tienen algún tipo de valor.

Algunos ejemplos comunes de medios extraíbles que tú y tus empleados podéis utilizar en el lugar de trabajo son:

  • Memorias USB
  • Tarjetas SD
  • Los CD
  • Teléfonos inteligentes

Este tema de concienciación sobre la seguridad debe incluirse en la formación y abarcar ejemplos de medios extraíbles, por qué se utilizan en las empresas, así como el modo en que los empleados pueden prevenir los riesgos, como la pérdida o el robo de dispositivos extraíbles, las infecciones por malware y la infracción de los derechos de autor.


3. Contraseñas y autenticación

Un elemento muy sencillo, pero que a menudo se pasa por alto, que puede ayudar a la seguridad de una empresa es la seguridad de las contraseñas. A menudo, las contraseñas más utilizadas serán adivinadas por actores maliciosos con la esperanza de obtener acceso a las cuentas. La utilización de contraseñas sencillas o la existencia de patrones de contraseñas reconocibles para los empleados puede facilitar a los ciberdelincuentes el acceso a una gran variedad de cuentas. Una vez robada esta información, puede hacerse pública o venderse con fines lucrativos en la deep web.

La implementación de contraseñas aleatorias puede dificultar mucho más el acceso de los actores maliciosos a una serie de cuentas. Otros pasos, como la autenticación de dos factores, proporcionan capas adicionales de seguridad que protegen la integridad de la cuenta.

4. Seguridad física

Si eres alguien que deja sus contraseñas en notas adhesivas sobre su escritorio, es posible que quieras tirarlas. Aunque es probable que muchos ataques se produzcan a través de medios digitales, mantener los documentos físicos sensibles protegidos es vital para la integridad del sistema de seguridad de tu empresa.

Ser consciente de los riesgos de dejar documentos, ordenadores desatendidos y contraseñas en la oficina o en casa puede reducir el riesgo de seguridad. Si se aplica una política en materia de " escritorio despejado ", puede reducirse significativamente la amenaza de que se roben o copien documentos desatendidos.

5. Seguridad de los dispositivos móviles

La evolución del panorama de las tecnologías de la información ha mejorado la capacidad de los entornos de trabajo flexibles, y con ello los ataques a la seguridad más sofisticados. Dado que muchas personas tienen ahora la opción de trabajar sobre la marcha utilizando dispositivos móviles, este aumento de la conectividad ha traído consigo el riesgo de que se produzcan fallos de seguridad. Para las empresas más pequeñas, esto puede ser una forma eficaz de ahorrar presupuesto; sin embargo, la responsabilidad de los usuarios de los dispositivos es un aspecto cada vez más relevante de la formación en 2023, especialmente para los trabajadores itinerantes o remotos. La llegada de aplicaciones móviles maliciosas ha aumentado el riesgo de que los teléfonos móviles contengan malware que podría conducir a una brecha de seguridad.

Los cursos online de buenas prácticas para trabajadores con dispositivos móviles pueden ayudar a educar a los empleados para evitar riesgos, sin necesidad de protocolos de seguridad de alto coste. Los dispositivos móviles deben tener siempre la información sensible protegida por contraseña, encriptada o con autentificación biométrica en caso de pérdida o robo del dispositivo. El uso seguro de los dispositivos personales es una formación necesaria para cualquier empleado que trabaje con sus propios dispositivos.

La mejor práctica comunitaria es asegurarse de que los trabajadores tengan que firmar una política en materia de seguridad móvil.

6. Trabajar a distancia

En 2023, la necesidad obvia de trabajar a distancia, combinada con el aumento de su uso, llevó a muchas empresas a tomar medidas drásticas hacia sistemas de trabajo a tiempo completo desde casa. El trabajo a distancia puede ser positivo para las empresas y empoderar a los empleados promoviendo una mayor productividad y un mayor equilibrio entre la vida laboral y personal. Sin embargo, esta tendencia supone una mayor amenaza de violaciones de la seguridad si no se educa de forma segura sobre los riesgos del trabajo a distancia. Los dispositivos personales que se utilicen con fines laborales deben permanecer bloqueados cuando no estén vigilados y tener instalado un software antivirus. Si una empresa quiere ofrecer este incentivo, debería centrarse en educar a los empleados remotos sobre las prácticas de trabajo seguras..

Es probable que esta tendencia continúe en 2023/2024. Aunque esperamos ver la reapertura de oficinas y la vuelta a la vida laboral normal, las empresas han contratado cada vez más a trabajadores remotos, y es posible que los que se han adaptado al estilo de vida de teletrabajo prefieran trabajar de esta manera. La necesidad de formar a los empleados para que entiendan y gestionen su propia ciberseguridad es evidente. Como hemos visto, existe un panorama de amenazas cada vez más amplio dirigido a estas personas. Garantizar que tengan la seguridad en mente es un tema clave para 2023.

7. Wi-Fi público

Algunos empleados que necesitan trabajar a distancia, viajar en tren y trabajar sobre la marcha pueden necesitar una formación adicional para saber cómo utilizar de forma segura los servicios de Wi-Fi públicos. Las redes Wi-Fi públicas falsas, que a menudo se hacen pasar por Wi-Fi gratuito en las cafeterías, pueden dejar a los usuarios finales en situación de vulnerabilidad al introducir información en servidores públicos no seguros.

La educación de los usuarios sobre el uso seguro de las redes Wi-Fi públicas y las señales comunes para detectar una posible estafa aumentará la concienciación de las empresas y minimizará el riesgo. La revista WIRED ofrece una guía útil para evitar los riesgos del Wi-Fi público.  

8. Seguridad en la nube

La computación en la nube ha revolucionado las empresas y la forma de almacenar y acceder a los datos. Estas aplicaciones digitales están transformando las empresas, pero el hecho de que grandes cantidades de datos privados se almacenen de forma remota conlleva el riesgo de que se produzcan hackeos a gran escala. Muchas grandes empresas están trabajando en la protección de datos, pero si se elige el proveedor de servicios en la nube adecuado, el almacenamiento en la nube puede ser una forma mucho más segura y rentable de almacenar los datos de la empresa.

Al igual que en los otros temas mencionados, la piratería interna es una amenaza mucho mayor que para las empresas de la nube a gran escala. Gartner predice que para el próximo año, el 99% de los incidentes de seguridad en la nube serán culpa del usuario final. Por lo tanto, la formación en ciberseguridad puede ayudar a guiar a los empleados en el uso seguro de las aplicaciones basadas en la nube. 

9. El uso de las redes sociales

Todos compartimos gran parte de nuestras vidas en las redes sociales: desde las vacaciones hasta los eventos y el trabajo. Pero compartir en exceso puede hacer que la información sensible esté disponible, lo que facilita que un actor malicioso se haga pasar por una fuente de confianza ( consulta: la ingeniería social).

Educar a los empleados en la protección de la configuración de privacidad de sus cuentas de redes sociales y evitar la difusión de información pública de su empresa reducirá el riesgo de la ventaja potencial que los hackers pueden obtener de este acceso a la red personal.

10. Uso de Internet y del correo electrónico

Algunos empleados pueden haber estado ya expuestos a filtraciones de datos, al utilizar correos electrónicos simples o repetidos para varias cuentas. Un estudio reveló que el 59% de los usuarios finales utilizan la misma contraseña para todas las cuentas. Esto significa que si una cuenta se ve comprometida, un hacker puede utilizar esta contraseña en las cuentas del trabajo y de las redes sociales para acceder a toda la información del usuario en estas cuentas.

A menudo los sitios web ofrecen software gratuito infectado con malware. Descargar aplicaciones sólo de fuentes de confianza es la mejor manera de proteger tu ordenador de la instalación de cualquier software malicioso. Educar a los empleados en los hábitos de seguridad en Internet debe ser una parte clave de cualquier inducción de TI, aunque algunos pueden ver esta formación como algo obvio, es un elemento fundamental de la seguridad de cualquier programa de seguridad.

Muchos grandes sitios web han tenido grandes filtraciones de datos en los últimos años, si tus datos han sido introducidos en estos sitios, podrían haberse hecho públicos y exponer tus datos privados.

11. Ingeniería social

La ingeniería social es una técnica común que los actores maliciosos utilizan para ganarse la confianza de los empleados, ofreciéndoles señuelos valiosos o utilizando la suplantación de identidad para acceder a información personal valiosa. Los empleados necesitan ser educados en temas de concienciación de seguridad que cubran las técnicas de ingeniería social más comunes y la psicología de la influencia (por ejemplo: escasez, urgencia y reciprocidad), para combatir estas amenazas.

Por ejemplo, haciéndose pasar por un cliente viable u ofreciendo incentivos, se puede entregar información privada a estos actores maliciosos sin saberlo. Aumentar la conciencia de los empleados sobre la amenaza de estas suplantaciones es fundamental para reducir el riesgo de la ingeniería social.

12. Seguridad en el hogar

Desafortunadamente, la amenaza de los actores maliciosos no desaparece cuando se abandona el lugar de trabajo. Muchas empresas permiten a sus empleados utilizar sus dispositivos personales, lo que supone un gran ahorro de costes y permite un trabajo flexible, sin embargo, existen riesgos asociados a ello. Las aplicaciones descargadas involuntariamente con malware en los dispositivos personales pueden poner en riesgo la integridad de la red de la empresa si, por ejemplo, se comprometen los datos de acceso.

Además, la creciente red de recursos digitales a disposición de los trabajadores y las empresas ha aumentado la conectividad y la productividad. Sin embargo, estas aplicaciones también suponen un riesgo para el usuario: un estudio de Propeller descubrió que las campañas de phishing dirigidas a Dropbox tenían un porcentaje de clics del 13,6%. Aumentar el conocimiento de los empleados, compartir archivos encriptados y autenticar las descargas reducirá el riesgo. 

Otros temas de formación sobre seguridad informática

Además de formar a los empleados en temas de concienciación sobre seguridad, a medida que se imponen nuevas normativas, el curso de cumplimiento es cada vez más necesario para los empleados. El cumplimiento del RGPD en la UE ha dado lugar a nuevas normas relativas al correo electrónico, que pueden requerir una nueva formación para muchos empleados. El incumplimiento de estas normas puede dar lugar a fuertes multas, sobre todo en los hoteles BA y Marriott.

Los empleados también deben estar al corriente de los cambios en la normativa financiera, la protección de datos y los impuestos, entre otros aspectos. Al inscribirte en plataformas automatizadas en línea para la gestión de políticas, puedes mantener a tus empleados al día con los últimos cambios en la política y asegurarte de que están al tanto.

Cómo conseguir una buena formación en materia de seguridad para los usuarios finales

Todas las empresas tienen requisitos diferentes, por lo que garantizar un curso de concienciación sobre ciberseguridad flexible que se ajuste a los objetivos de tu em es vital para conseguir la formación adecuada para tu personal. 

Al promover una cultura de conversación y concienciación en tu empresa de forma regular a través de la formación en materia de seguridad para usuarios finales, puedes mantener a tus empleados al día con los requisitos para mantener su información personal y empresarial segura.

 

Empieza a transformar a los humanos en tu línea de defensa más fuerte

usecure es la solución de gestión de riesgos humanos que permite a las empresas reducir los incidentes de seguridad relacionados con los usuarios, crear una plantilla ciberresistente y alcanzar los estándares de cumplimiento mediante programas de formación de usuarios automatizados.

Con la confianza de los principales profesionales de TI y proveedores de servicios gestionados (MSP), usecure analiza, reduce y supervisa el riesgo cibernético humano a través de programas de formación de concienciación de seguridad basados en el riesgo, campañas de phishing simuladas, gestión simplificada de políticas y supervisión continua de infracciones en la web oscura, todo ello desde una sola plataforma.

Más información sobre usecure