La pandemia de Covid-19 ha planteado muchos retos de seguridad. Las empresas de todo el mundo se han adaptado al trabajo desde casa y al distanciamiento social, al tiempo que se enfrentan a las nuevas amenazas planteadas por los ciberdelincuentes que explotan el miedo y la curiosidad.
A pesar de que las empresas se han enfrentado a estos retos, las ciberamenazas tradicionales han seguido siendo tan frecuentes como siempre, lo que ha hecho que el panorama de las amenazas sea cada vez más difícil.
La mitigación del error humano debe ser la clave de la ciberseguridad empresarial en 2021, y en esta guía veremos las mejores formas de hacerlo.
En esta guía, abordaremos ⬇️ |
|
¿Quieres más consejos? Consigue ahora el libro electrónico gratuito " |
Entre las principales ciberamenazas, el malware sigue siendo un peligro importante. La filtración de datos de WannaCry que costó a las empresas de todo el mundo hasta 4.000 millones de dólares, todavía está en la memoria reciente, y cada día se descubren otras nuevas cepas de malware. El phishing también ha visto un resurgimiento en los últimos años, con muchas nuevas estafas inventadas para aprovecharse de las empresas desprevenidas. Solo una variante, la estafa por correo electrónico CEO Fraud, costó a las empresas del Reino Unido 14,8 millones de libras esterlinas en 2018.
El personal que trabaja desde casa está fuera de la supervisión directa de los equipos de soporte de TI, y a menudo tiene dificultades para hacer frente a las ciberamenazas y proteger adecuadamente la información de la empresa. El hecho de no actualizar el software y los sistemas operativos, el envío de datos a través de redes inseguras y la creciente dependencia del correo electrónico y la mensajería en línea han hecho que los empleados sean mucho más susceptibles a amenazas que van desde el malware hasta el phishing.
Aunque las soluciones técnicas como los filtros de spam y los sistemas de gestión de dispositivos móviles son importantes para proteger a los usuarios finales, con el número de amenazas y la multitud de sistemas y comunicaciones a través de los cuales el personal realiza su trabajo, el único factor de riesgo unificador que hay que abordar para mejorar fundamentalmente la seguridad es el papel del error humano.
Casi todas las infracciones cibernéticas que tienen éxito comparten una variable en común: el error humano. El error humano puede manifestarse de múltiples maneras: desde no instalar a tiempo las actualizaciones de seguridad del software hasta tener contraseñas débiles y ceder información sensible a los correos electrónicos de phishing.
Accede ahora: La Guía Completa de Concienciación sobre Seguridad 2021 [eBook gratis] →
En 2014, IBM llevó a cabo un estudio sobre las brechas cibernéticas que se produjeron entre miles de sus clientes en más de 130 países. Este estudio fue la mirada más amplia sobre las causas de las ciberinfracciones que se había realizado hasta ese momento, pero sus resultados han sido corroborados desde entonces por estudios similares.
El error humano fue una de las principales causas que contribuyeron al 95% de las infracciones.
Informe del Índice de ciberseguridad de IBM
Una de las principales conclusiones del estudio de IBM fue que el error humano fue una de las principales causas que contribuyeron al 95% de todas las infracciones. En otras palabras, si el error humano no hubiera sido un factor, lo más probable es que 19 de cada 20 filtraciones analizadas en el estudio no se hubieran producido.
Dado que el error humano desempeña un papel tan importante en las infracciones cibernéticas, abordarlo es fundamental para reducir las posibilidades de que tu empresa sea atacada con éxito. También te permite proteger a tu empresa de una gama mucho más amplia de amenazas de lo que podría hacer cualquier solución técnica por sí sola, y puede capacitar a tu personal para que busque e informe activamente de las nuevas amenazas que pueda encontrar. La mitigación del error humano debe ser la clave de la ciberseguridad empresarial en 2021, y en la siguiente sección veremos las mejores formas de hacerlo.
Para que el error humano se manifieste es necesario que concurran dos factores:
Oportunidad significa que hay una situación en la que se permite a un humano cometer un error: por ejemplo, dejar que los usuarios finales se encarguen de las actualizaciones de software en lugar de forzar las actualizaciones de seguridad con la gestión de parches. Decisión es la acción del individuo: en este caso, la falta de acción al instalar las actualizaciones de seguridad cuando están disponibles.
Un esfuerzo integral de mitigación incluye tanto la reducción de las oportunidades de error como la mejora de las decisiones tomadas por los usuarios finales. Actuar en ambas áreas es esencial para garantizar que se aborda a fondo el error humano.
En el caso de la aplicación de parches, por ejemplo, una medida técnica como la introducción de la gestión de parches puede reducir al mínimo la posibilidad de que se produzcan errores humanos en la mayoría de los casos, pero sigue siendo esencial tener en cuenta las situaciones en las que las soluciones técnicas tienen un lapso temporal, o si se introduce una nueva situación, como una política BYOD en la que se permite a los usuarios utilizar sus propios dispositivos sin gestión de parches.
En otros casos, como el de los correos electrónicos de phishing, las medidas técnicas, como los filtros de spam y el software de detección de infracciones, tienen un efecto muy limitado a la hora de reducir las posibilidades de error ante un ataque dirigido. En esos casos, la única forma eficaz de mitigar el error humano es enseñar a los usuarios finales a tomar mejores decisiones.
Para que los usuarios finales hagan un juicio correcto en una situación de seguridad, tienen que estar presentes cuatro factores diferentes.
4 pilares para reducir el error humano: |
|
El primero de ellos es bastante sencillo: el usuario tiene que reconocer que se encuentra en una situación en la que la seguridad está potencialmente en juego. Sin reconocer la situación como tal, el usuario puede ni siquiera darse cuenta de que está tomando una decisión por su inacción.
En segundo lugar, el usuario tiene que saber cuál es el curso de acción correcto. Esto no requiere necesariamente que el usuario entienda completamente la amenaza, sino que a menudo es tan sencillo como informar de la situación a una persona del departamento de TI o de seguridad que pueda investigarla.
En tercer lugar, el usuario debe saber por qué es importante la seguridad, para que comprenda la importancia de no ignorar los procedimientos de seguridad y sea consciente de las posibles implicaciones de una filtración. Aunque estos tres factores son esenciales para mejorar los resultados de la seguridad, es en este punto crucial donde las empresas suelen fallar. Para que se tomen mejores decisiones en situaciones reales, también debe entrar en juego el cuarto factor: evitar el daño.
Cuestiones como la escasa seguridad de las contraseñas y la falta de aplicación de parches en el software persisten en organizaciones de todo el mundo, a pesar de que muchos usuarios de ordenadores comprenden por qué estas cuestiones son fundamentales para la seguridad. La razón por la que no se toman medidas a pesar del conocimiento se debe a lo que denominamos la prevención del daño. Tener una contraseña única y fuerte requiere más tiempo para crearla, y más esfuerzo para recordarla, que una contraseña corta, débil o reutilizada.
Accede ahora: La guía completa de concienciación sobre la seguridad 2021 [eBook gratis] →
A pesar de que el usuario lo sabe mejor, este "dolor" causado por la creación de una contraseña fuerte es a menudo lo suficientemente fuerte como para hacer que el usuario vaya en contra de su mejor juicio. Esto se agrava por el hecho de que, a pesar de que muchos usuarios toman la acción correcta en circunstancias óptimas, las situaciones de trabajo ocupadas y urgentes, así como el estrés, pueden hacer que las medidas de seguridad se sientan aún más "dolorosas" para los usuarios.
Este último factor sólo puede resolverse mediante un cambio cultural. Los usuarios finales tienen que sentir que el dolor causado por seguir las mejores prácticas de seguridad es menor que la satisfacción obtenida por no hacerlo.
Las medidas técnicas, como los gestores de contraseñas, son esenciales en este sentido, ya que facilitan enormemente la actuación segura: si los empleados no tienen que crear o recordar sus propias contraseñas, no tienen motivos para no utilizarlas de forma segura. Al mismo tiempo, hay que reducir el umbral para realizar la acción correcta mediante un cambio cultural. Esto significa que la seguridad debe estar en el primer plano de la toma de decisiones, y que los usuarios nunca sientan que están "perdiendo el tiempo" al tomar las precauciones de seguridad adecuadas.
La seguridad debe ser objeto de debate entre los empleados, y hay que prestar atención y recompensar las preguntas y puntos que los usuarios finales plantean sobre cuestiones de seguridad en sus propias funciones. Esto ayuda a que los usuarios sientan que la seguridad no es algo secundario, sino algo a lo que siempre vale la pena dedicar tiempo.
Una formación eficaz en materia de seguridad no aborda uno de estos factores, sino los cuatro.
Una formación eficaz en materia de seguridad no aborda uno de estos factores, sino los cuatro. Esto significa identificar las situaciones en las que los datos o los sistemas podrían verse comprometidos, comprender las mejores prácticas, saber cuáles son las posibles consecuencias de las filtraciones y, por último, ayudar a impulsar un cambio cultural para crear un entorno en el que las consideraciones de seguridad se tengan siempre en cuenta en la toma de decisiones.
La respuesta global a la pandemia de Covid-19 ha provocado muchos cambios en los lugares de trabajo. El cambio que ha tenido un impacto más significativo en la seguridad ha sido la transformación de muchas empresas para que la mayor parte o la totalidad de su personal pase a trabajar desde casa en un corto periodo de tiempo, lo que ha provocado que muchos usuarios finales corran un mayor riesgo de sucumbir a las amenazas online.
Los empleados que no estaban acostumbrados a trabajar desde casa antes de la pandemia descubrieron rápidamente algunos de los problemas que esto provocaba: tener que cuidar de los niños y las mascotas, lidiar con una mala conectividad a Internet y aguantar todas las demás molestias que pueden producirse en casa. En medio de todos estos nuevos cambios en el entorno de trabajo, la seguridad se ha quedado con demasiada frecuencia al final de la lista de prioridades de los usuarios.
Los usuarios finales que trabajan desde casa están fuera de la supervisión del departamento de soporte de TI, y pueden tener dificultades para resolver problemas simples relacionados con la tecnología. Además, las tareas de seguridad esenciales, como la actualización del software y los sistemas operativos, la actualización del firmware del router y la seguridad de la red, se pusieron de repente en manos de los usuarios finales. Por eso no es de extrañar que los ciberdelincuentes no hayan perdido tiempo en aprovechar las circunstancias de la pandemia para idear nuevas formas de estafa y ciberdelincuencia.
El equipo de soporte informático no puede estar en casa de todos los usuarios finales, por lo que es esencial asegurarse de que, además de tener el equipo adecuado, los usuarios finales sean conscientes de sus responsabilidades individuales en el mantenimiento de la seguridad. Los usuarios finales deben saber que son responsables de garantizar que sólo acceden a la información y a las redes de la empresa en dispositivos y redes que están actualizados y son seguros.
La formación en materia de seguridad es fundamental para garantizar que los usuarios finales sepan cómo mantener la seguridad. Lo mejor es dividir la formación en componentes pequeños y digeribles, ya que así se garantiza que los usuarios no se sientan abrumados. La formación también debe realizarse con regularidad -una vez al mes, como mínimo- para garantizar que se retenga el aprendizaje clave y que los usuarios no se olviden de la seguridad en cuanto llegue el siguiente proyecto de trabajo que agite la lista de prioridades. Por último, es importante poner a prueba a los usuarios finales. Hay que dejar claro que no se trata de juzgar o penalizar a los usuarios que tienen problemas con su formación, sino de identificar las principales lagunas de seguridad en la plantilla, y abordarlas antes de que puedan ser explotadas por los ciberdelincuentes.
La formación para la concienciación en materia de seguridad no es toda igual. La forma en que se realiza, se estructura y se presenta la formación tendrá un efecto importante en su eficacia para mejorar realmente los resultados de seguridad en tu empresa. En esta sección, analizaremos cuál es exactamente la mejor manera de realizar la formación en materia de seguridad para los usuarios finales.
La formación en materia de seguridad solía consistir en hacer que los usuarios finales asistieran a una sesión anual de horas de conferencias y presentaciones de diapositivas. La idea era que los usuarios recordaran algo de lo que veían y oían y, en el peor de los casos, al menos se podía marcar la casilla de "educar a los usuarios". Sin embargo, ¿cómo ha mejorado realmente los resultados en materia de seguridad? No funcionó, y todo el mundo lo odiaba.
Hay varias razones por las que este tipo de formación anual basada en conferencias no es eficaz. La primera de ellas es que en una sesión de formación anual, simplemente habrá demasiada información a la vez para que cualquier empleado pueda digerirla y recordarla. Aunque los usuarios reciban material de aprendizaje para llevar consigo o se les envíen recordatorios ocasionales, lo más probable es que se olvide la mayor parte del material de la formación en apenas unos instantes.
Las conferencias y las presentaciones de diapositivas no son formatos atractivos para que los usuarios finales aprendan.
Las conferencias y las presentaciones de diapositivas simplemente no son formatos atractivos para que los usuarios finales aprendan. No logran despertar el interés de los empleados de la misma manera que el vídeo y el contenido interactivo, y con demasiada frecuencia están llenos de información innecesaria que no es relevante para todos los usuarios finales. Las diapositivas llenas hasta el borde de texto pequeño seguramente harán que cualquier empleado se duerma a mitad de la sesión.
La última y principal razón por la que la formación tradicional no es eficaz es que no aprovecha el aprendizaje por repetición. Si hay un año entre las sesiones de aprendizaje, los usuarios simplemente no recordarán lo que han aprendido, y la conciencia de los problemas de seguridad en general caerá en picado en los días y semanas posteriores a la formación. La seguridad no puede ser algo puntual, sino que debe serlo durante todo el año para que sea eficaz.
La formación en materia de seguridad se ha desplazado cada vez más hacia las soluciones de software como servicio en línea. La formación en la nube ofrece algunas ventajas inmediatas respecto a los métodos tradicionales, pero no es necesariamente la respuesta definitiva a la concienciación en materia de seguridad, a menos que ofrezca resultados en determinadas áreas que son esenciales para mejorar realmente la seguridad.
Tener un programa de formación de concienciación de seguridad realmente eficaz es posible, pero hay algunos criterios importantes que debe seguir para hacer que sus usuarios participen de verdad.
7 pasos para el éxito de la formación en materia de seguridad: |
|
Hay una cantidad limitada de información que una persona puede absorber a la vez. Esto es especialmente cierto cuando se trata de temas sobre los que la mayoría de los empleados no tienen muchos conocimientos previos. Para que la cantidad de material de aprendizaje no abrume a los usuarios finales, tiene que estar adecuadamente dividido en segmentos, cada uno con su propio mensaje claro y sencillo que se presenta a los usuarios de forma sencilla.
Otra ventaja de desglosar el material de aprendizaje es que permite que el aprendizaje sea fácilmente continuo, en lugar de algo único. La división del aprendizaje en partes permite que estas secciones se envíen regularmente a lo largo del año, lo que ayuda a mantener la concienciación sobre la seguridad en la mente de los usuarios finales. Como la repetición es la clave del aprendizaje, esto es crucial para garantizar que los usuarios recuerden realmente lo que se les ha enseñado.
Es esencial que el contenido de aprendizaje sea relevante para los usuarios finales para asegurarse de que se mantengan interesados. Cuando a un usuario final se le presenta una información que no le parece relevante, empezará a perder rápidamente el interés y a prestar menos atención. El material didáctico no sólo debe evitar la jerga y los términos técnicos, sino que debe tener en cuenta situaciones reales que el usuario final medio se encontraría en su vida laboral cotidiana. Por ejemplo, la mayoría de los empleados no necesitan conocer los detalles de las normativas o los ataques de malware, sino simplemente cómo comportarse de manera que se reduzcan esos riesgos, y cómo informar adecuadamente de los riesgos que puedan encontrar.
Está muy bien enseñar a los empleados los riesgos que existen y cómo se pueden contrarrestar, pero lo esencial es que los empleados salgan de la formación con medidas reales en mente que puedan poner en práctica inmediatamente en sus actividades laborales diarias. Dar a los empleados la oportunidad de poner a prueba su formación de inmediato también ayuda a construir la memoria - y se puede lograr utilizando herramientas como la simulación de phishing.
No todos los contenidos son iguales. El contenido basado en el texto cansa rápidamente a los usuarios, y sólo debe utilizarse cuando se complementa con contenido visual más atractivo. Los vídeos son excelentes para mantener a los usuarios interesados, siempre que sean de alta calidad y agradables de ver. El humor puede utilizarse con gran efecto para hacer que los vídeos de concienciación sobre la seguridad sean más atractivos para los usuarios finales. El contenido interactivo también es ideal para atraer a los usuarios. Mucha gente aprende haciendo, respondiendo a preguntas o participando en su aprendizaje, y el contenido interactivo también puede dar a los usuarios una sensación de logro por haber superado un curso.
Es esencial que, tras las sesiones de formación, los usuarios sean examinados sobre lo que han aprendido. Esto permite saber que los usuarios han aprendido los puntos clave y se marchan habiendo aprendido algo, pero también ayuda al proceso de aprendizaje de los usuarios, ya que recuerdan la información que acaban de aprender de su propia memoria.
Sin embargo, la parte más esencial de la eficacia de un programa de formación en materia de seguridad tiene tanto que ver con los factores externos a la formación como con la propia formación. Para que la formación sea eficaz, tiene que formar parte de una cultura de la seguridad en la que ésta se tenga siempre en cuenta y en la que se anime activamente a los usuarios a plantear sus dudas y preguntas. Un buen programa de concienciación sobre la seguridad contribuye a ello presentando la seguridad como algo continuo y activo, en lugar de puntual y pasivo, pero es esencial que la organización apoye este esfuerzo también fuera de la formación.
Accede ahora: La Guía Completa de Concienciación sobre la Seguridad
2021 [eBook gratis] →
La formación en materia de seguridad no será eficaz para mejorar los resultados de seguridad si no va acompañada de un cambio cultural. Una formación exhaustiva enseñará a los usuarios finales a reconocer las situaciones de riesgo para la seguridad y a tratarlas adecuadamente, pero estos conocimientos no se pondrán en práctica a menos que el usuario sienta que la seguridad se valora en su cultura.
La formación en materia de seguridad no será eficaz si no va acompañada de un cambio cultural.
Con el creciente número de amenazas presentes, así como la creciente complejidad de los servicios empresariales y el acceso a los datos y sistemas desde los dispositivos móviles, es imposible saber dónde puede aparecer la próxima amenaza o filtración accidental para tu empresa. Por ello, la seguridad no debe consistir en asegurarse de que los usuarios finales elijan contraseñas seguras o sigan otros pasos específicos, sino en capacitarlos para que sean guardianes activos de la empresa, los sistemas, dispositivos y datos.
La cultura tiene que ver con los valores. Para que los empleados se preocupen por la seguridad, es necesario destacarla como un valor en toda la empresa. Esto significa garantizar que la seguridad no se vea como una responsabilidad del equipo de TI o de infoseguridad, sino como una responsabilidad compartida por todos los empleados.
El cambio cultural y los valores de la empresa tienen que venir de arriba. La alta dirección tiene un papel importante a la hora de destacar el papel de la seguridad en la empresa, pero es esencial que haga crecer la nueva cultura, en lugar de dictarla. Esto significa animar a los empleados a tomar un papel activo, pidiéndoles que planteen sus preocupaciones en relación con sus propias funciones, y animándoles a hacer preguntas y a comprometerse con las cuestiones de seguridad.
De este modo, los usuarios se sienten implicados en el proceso de seguridad y empiezan a pensar activamente en las consideraciones de seguridad en sus propias funciones. Es posible que un directivo o alguien del departamento de informática no esté completamente familiarizado con todos los procesos del flujo de trabajo de un empleado, por lo que es esencial que los propios usuarios comprendan que deben tomar medidas para garantizar la seguridad de los datos y los sistemas.
La alta dirección también tiene un papel en el establecimiento de prioridades para la empresa. Cualquiera que trabaje en una compañía aérea te dirá que la seguridad es siempre, sin excepción, la máxima prioridad. Todo lo demás viene en segundo lugar. Aunque en la mayoría de las demás empresas la seguridad no es una cuestión de vida o muerte, es importante recordar lo perjudicial que puede ser para una empresa cualquier infracción.
Si los clientes ya no sienten que pueden confiar en una organización con su información personal o su negocio, podría ser el fin de la empresa. Hay que dejar claro a todos los empleados que la seguridad es siempre lo primero, y que siempre es mejor preguntar y asegurarse que lamentarse después.
Para un entorno empresarial seguro, un principio arraigado de mínimos privilegios contribuirá en gran medida a proteger los activos, los datos y los sistemas de la empresa. Aunque el principio de mínimos privilegios se considera a menudo una medida técnica -limitando a cada usuario sólo a los privilegios que necesita para sus funciones específicas-, también debe integrarse directamente en la cultura corporativa. Esto significa animar a los usuarios a informar activamente cuando tienen acceso a más datos o sistemas de los que necesitan, lo que ayuda a limitar las posibilidades de infracción.
En cuanto a las medidas físicas, elementos como los pósteres pueden ser útiles para crear una cultura de seguridad, y también contienen recordatorios útiles sobre temas como la seguridad de las contraseñas. Sin embargo, es importante recordar que pegar un póster en la pared no es suficiente, sino que debe servir para iniciar un debate o complementar el material de formación con el que los usuarios ya están comprometidos.
Por último, es importante asegurarse de que los empleados sientan que sus contribuciones a la seguridad son valoradas. Cuando los empleados hacen preguntas, siempre hay que dedicarles tiempo y consideración, y asegurarse de que entienden perfectamente la respuesta y por qué es importante para la seguridad. Cuando los usuarios plantean problemas de seguridad, siempre deben ser recompensados por prestar atención y trabajar para ayudar a mantener la seguridad de la empresa.
Lo importante no es sólo el formato de la formación en materia de seguridad, sino lo que se incluye en ella. La formación debe agotar todos los temas esenciales, sin que resulte abrumadora para los usuarios. Aunque cada organización y cada puesto de trabajo tendrán requisitos diferentes, hay algunas áreas esenciales que vale la pena asegurar que cada usuario final conozca, aunque sea brevemente.
Las mejores elecciones de usecure: |
|
Creemos que los usuarios finales no son el eslabón más débil, sino la primera línea de defensa.
usecure ofrece una formación de concienciación sobre la seguridad de tamaño reducido que está diseñada para mantener a los usuarios interesados. Los vídeos entretenidos y el contenido interactivo garantizan que los usuarios finales estén siempre a la espera de su próximo módulo de formación, mientras que la automatización inteligente en el corazón de la plataforma usecure mantiene el tiempo de administración al mínimo.
Accede ahora: La guía completa de concienciación sobre la seguridad 2021 [eBook gratis] →