¿Cómo concienciar a los trabajadores en ciberseguridad?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cómo concienciar a los trabajadores en ciberseguridad?

¿Cómo concienciar a los trabajadores en ciberseguridad?

ciberseguridad...

Ciberseguridad

Las estrategias de ciberseguridad deben estar presentes también en la educación y la concienciación de los usuarios. Si tenemos en cuenta que más de 80% de las incidencias de seguridad comienzan por una acción que lleva a cabo el empleado, estas hubieran sido completamente evitables.

El 95% de los ataques a las redes empresariales son el resultado de un spear phishing. El usuario es el eslabón más débil en la seguridad de las empresas, es necesario dedicar tiempo y recursos. Es un dinero bien invertido, ya que disminuimos la posibilidad de sufrir ataques, por lo que en múltiples ocasiones evitamos el peligro y hay una enorme cantidad de casos en los que es posible.

Debemos tener presente que, en ciberseguridad la mejor tecnología y los presupuestos ilimitados no pueden garantizar por si solos el éxito. Una buena estrategia de formación y concienciación de los usuarios pueden hacernos ahorrar dinero a todos los niveles.

Una manera de actuar, dentro de la estrategia, puede ser la siguiente:

  • Conocer y comprender el panorama actual, interno y externo, al que nos enfrentamos.
  • Definir un plan inicial de formación para los empleados.
  • Comprobar, mediante simulaciones, la efectividad de la formación impartida y los resultados obtenidos de ella.
  • Analizar la información, definir procesos de mejora y repetir el proceso desde el punto

Conocer y comprender el panorama actual al que nos enfrentamos

En esta etapa inicial, debemos averiguara de qué punto partimos, cual es el nivel actual de concienciación de los usuarios, en los puntos en los que necesitan mejorar, etc.

Es muy importante bajar al detalle y segmentar los usuarios tanto que pueda resultar práctico. No todos los empleados se enfrentan a las mismas amenazas, manejan la misma información, ni tienen el mismo nivel de riesgo.

  • El personal de IT tiene que estar perfectamente formado en cómo identificar y defenderse, incluso de las formas de amenazas más sofisticadas. Estos empleados suelen tener credenciales privilegiadas que permitirían al hipotético atacante acceder a gran parte de la organización.
  • Los comerciales y personal de marketing, reciben una gran cantidad de emails del exterior, que pueden contener amenazas de todo tipo.
  • Personal administrativo: Por regla general, tiene un riesgo más bajo que el de los grupos anteriores, ya que la información que manejan no suele ser tan crítica. El problema real es que una incidencia que afecte a estas personas puede tener graves consecuencias llegando a paralizar áreas determinadas de la empresa.
  • Personal de alto riesgo por la información que maneja y por el daño que podría producir un atacante.
  • Dirección y ejecutivos de la compañía: Manejan una información de la compañía extremadamente sensible y tienen un gran poder de decisión.
  • Personal externo. En muchas compañías hay personal que no pertenece a la propia compañía. En este caso, tendremos que aplicar una política adecuada a cada caso.

Definir un plan inicial de formación para los empleados

Ya conocemos los riesgos de cada grupo de usuarios, podemos definir la formación que necesitan. Quizá queramos generar un módulo de formación para todos los empleados, otro para los directivos que les ayude a identificar como proteger su información.

Acciones de formación

La formación se puede hacer de diferentes formas, aunque la tendencia y la forma que mejores resultados suele dar es la formación online y que cada empleado puede elegir hacerla cuando mejor le convenga.

El contenido de la formación debe ser adecuada al trabajo real de cada persona. No tiene sentido que se ofrezca formación a los comerciales sobre los riegos y mejores prácticas de proteger los diseños de un área de ingeniería, o una formación en profundidad sobre GDPR a una persona que no tiene acceso ni forma datos personales.

Comprobar la efectividad de la formación impartida y los resultados obtenidos

Durante esta etapa es muy importante ya que aquí comprobamos el nivel de educación y concienciación de los usuarios y sabremos si estamos alcanzando los objetivos marcados.

En estas campañas se envía a todos los trabajadores o grupos determinados especialmente preparados para ellos, mediante una plataforma de simulación e intentar que los empleados la realicen.

Las campañas pueden estar directamente conectadas con la plataforma de formación, de forma que sí, un empleado lo realiza en un tipo determinado de ataque mediante la ingeniería social, deberá quedar recogido en el sistema que necesita un refuerzo en esta área y sea redirigido de inmediato a la plataforma para mejorar sus capacidades para resistir este tipo de ataques.

Software ISO 27001

El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...