Estos son algunos de los temas más comunes que debería contener el programa de concientización sobre Seguridad en la empresa, por lo general este programa es desarrollado e impartido por el equipo Seguridad o de TI con la aprobación de la alta dirección.
1. Ataques de Phishing
El phishing sigue siendo una de las vías de ataque más eficaces para los ciberdelincuentes. Habiéndose duplicado en 2020, los ataques de phishing aumentaron constantemente a lo largo de 2021, y el trabajo remoto dificulta que las empresas se aseguren de que sus usuarios no sean víctimas.
Pero, ¿por qué el Phishing sigue siendo una amenaza para las empresas en 2023?
Un factor importante es cuán sofisticados se han vuelto estos tipos de ataques. Los atacantes ahora están utilizando técnicas más innovadoras para engañar a los empleados para que comprometan datos confidenciales o descarguen archivos adjuntos maliciosos.
Por ejemplo, comprometer el correo electrónico empresarial (Business Email Compromise - BEC) es una forma común de phishing que utiliza investigaciones previas sobre un individuo específico, como el alto ejecutivo de una empresa, para crear un ataque que puede ser increíblemente difícil de distinguir de un correo electrónico real.
Combine estos ataques más inteligentes con la idea errónea común de que el phishing es 'fácil de detectar'. Entonces, no es de extrañar que se pronostique que muchas empresas sufrirán una infracción relacionada con el phishing en 2023.
Los empleados necesitan capacitación regular sobre cómo detectar ataques de phishing que utilizan técnicas modernas e informar un ataque de phishing tan pronto como crean que han sido atacados.
2. Medios extraíbles
Otro tema de concientización sobre seguridad que las empresas utilizan a diario son los medios extraíbles. Los medios extraíbles son el medio de almacenamiento portátil que permite a los usuarios copiar datos en el dispositivo y luego eliminarlos de un dispositivo a otro y viceversa. Los dispositivos USB que contienen malware se pueden dejar para que los usuarios finales los encuentren cuando los conectan a su dispositivo.
"Unos Investigadores dejaron intencionalmente cerca de 300 memorias USB alrededor del campus Urbana-Champaign de la Universidad de Illinois. ¡Estudiantes tomaron el 98 % de estas unidades! Y el 45 % de ellos hicieron clic en los archivos que encontraron dentro".
Además de comprender los riesgos, sus empleados necesitan saber cómo usar estos dispositivos de manera segura y responsable en su negocio. Existen numerosas razones por las que una empresa decidiría utilizar medios extraíbles en su entorno. Sin embargo, con todas las tecnologías, siempre habrá riesgos potenciales. Además de los propios dispositivos, sus empleados deben proteger los datos de estos dispositivos. Ya sean personales o corporativos, todos los datos tienen algún tipo de valor.
Algunos ejemplos comunes de medios extraíbles que usted y sus empleados pueden usar en el lugar de trabajo son:
- Memorias USB
- Tarjetas SD
- Disco duro externo
- Teléfonos Inteligentes
Este tema de concientización sobre seguridad debe incluirse en su capacitación y cubrir ejemplos de medios extraíbles, por qué se usan en las empresas y cómo sus empleados pueden prevenir riesgos tales como dispositivos extraíbles perdidos o robados, infecciones de malware e infracciones de derechos de autor.
3. Contraseñas y autenticación
Un elemento sencillo, pero a menudo pasado por alto que puede ayudar a la seguridad de su empresa es la seguridad de las contraseñas. A menudo, los actores malintencionados adivinarán las contraseñas de uso común con la esperanza de obtener acceso a sus cuentas. El uso de contraseñas simples o tener patrones de contraseña reconocibles para los empleados puede facilitar que los ciberdelincuentes accedan a una amplia gama de cuentas. Una vez que esta información es robada, puede hacerse pública o venderse con fines de lucro en la web profunda.
La implementación de contraseñas aleatorias puede hacer que sea mucho más difícil para los actores maliciosos obtener acceso a una variedad de cuentas. Otros pasos, como la autenticación de dos factores (usuario y contraseña, y algún otro mecanismo como código PIN, huella digital, tarjeta inteligente, lectura de iris o reconocimiento facial), brindan capas adicionales de seguridad que protegen la integridad de la cuenta.
4. Seguridad Física
Si eres de los que dejan sus contraseñas en notas adhesivas en su escritorio, quizás quieras tirarlas. Aunque es probable que muchos ataques ocurran a través de medios digitales, mantener seguros los documentos físicos confidenciales es vital para la integridad del sistema de seguridad de su empresa.
El simple conocimiento de los riesgos de dejar documentos, computadoras desatendidas y contraseñas en el espacio de la oficina o en el hogar puede reducir el riesgo de seguridad. La implementación de una política de "escritorio limpio" puede reducir significativamente la amenaza de robo o copia de documentos desatendidos.
5. Seguridad de dispositivos móviles
El panorama cambiante de las tecnologías de TI ha mejorado la capacidad para entornos de trabajo flexibles y ataques de seguridad más sofisticados. Dado que muchas personas tienen la opción de trabajar sobre la marcha utilizando dispositivos móviles, esta mayor conectividad conlleva el riesgo de violaciones de seguridad. Para las empresas más pequeñas, esta puede ser una forma efectiva de ahorrar presupuesto; sin embargo, la responsabilidad del dispositivo usuario es un aspecto cada vez más relevante de la capacitación en 2023, principalmente para los trabajadores que viajan o trabajan en forma remota. La llegada de aplicaciones móviles maliciosas ha aumentado el riesgo de que los teléfonos móviles contengan malware que podría conducir a una brecha de seguridad.
Los cursos en línea de mejores prácticas para trabajadores de dispositivos móviles pueden ayudar a educar a los empleados para evitar riesgos sin protocolos de seguridad de alto costo. Los dispositivos móviles siempre deben tener información confidencial protegida por contraseña, encriptada o con autenticación biométrica en caso de pérdida o robo del dispositivo. El uso seguro de dispositivos personales es una formación necesaria para cualquier empleado que trabaje con sus propios dispositivos.
La mejor práctica comunitaria es asegurarse de que los trabajadores tengan que firmar una política de seguridad móvil.
6. Trabajar de forma remota
En 2021, la aparente necesidad del trabajo remoto, combinada con la creciente aceptación, llevó a muchas empresas a tomar medidas drásticas hacia políticas de trabajo desde el hogar a tiempo completo. El trabajo remoto puede ser positivo para las empresas y empoderar a los empleados, promoviendo una mayor productividad y un excelente equilibrio entre la vida laboral y personal. Sin embargo, esta tendencia representa una mayor amenaza para las brechas de seguridad cuando no se educa de manera segura sobre los riesgos del trabajo remoto. Los dispositivos personales utilizados para el trabajo deben permanecer bloqueados cuando no estén supervisados y tener un software antivirus instalado. Si una empresa quiere ofrecer este incentivo, debe centrarse en educar a los empleados remotos sobre prácticas de trabajo seguras.
Al entrar en 2023, es probable que esta tendencia continúe. Si bien esperamos ver la reapertura de las oficinas y el regreso a la vida laboral cotidiana, las empresas han contratado cada vez más trabajadores remotos, y aquellos que se han adaptado al estilo de vida de Trabajar desde Casa pueden preferir trabajar de esta manera. La necesidad de capacitar a los empleados para comprender y administrar su ciberseguridad es evidente.
Como hemos visto, existe un panorama de amenazas cada vez mayor dirigido a estas personas. Asegurarse de que la seguridad sea una prioridad es un tema clave de 2023.
7. Wi-Fi público
Algunos empleados que necesitan trabajar de forma remota, cuando viajan o están en traslados, pueden necesitar capacitación adicional para comprender cómo usar los servicios públicos de Wi-Fi de manera segura. Las redes Wi-Fi públicas falsas, que a menudo se hacen pasar por Wi-Fi gratuitas en las cafeterías, parques o centros comerciales, pueden hacer que los usuarios finales sean vulnerables a ingresar información en servidores públicos no seguros.
Educar a sus usuarios sobre el uso seguro de Wi-Fi público y las señales comunes para detectar una posible estafa aumentará la conciencia de la empresa y minimizará el riesgo. La revista WIRED proporciona una guía útil para evitar los riesgos de las redes Wi-Fi públicas.
8. Seguridad en la nube
La computación en la nube ha revolucionado los negocios y la forma en que se almacenan y se accede a los datos. Estas aplicaciones digitales están transformando las industrias; sin embargo, el riesgo de hackeo a gran escala viene con grandes cantidades de datos privados que se almacenan de forma remota. Muchas grandes empresas están trabajando en la protección de datos. Aún así, al elegir el proveedor de servicios en la nube adecuado, el almacenamiento en la nube puede ser una forma mucho más segura y rentable de almacenar los datos de su empresa.
Al igual que con los otros temas mencionados, el hackeo interno es una amenaza mayor que las empresas en la nube a gran escala. Gartner predice que el 99% de todos los incidentes de seguridad en la nube serán culpa de los usuarios finales para el próximo año. Por lo tanto, la capacitación en concientización sobre seguridad cibernética puede ayudar a guiar a los empleados a través del uso seguro de las aplicaciones basadas en la nube.
9. Uso de las redes sociales
Todos compartimos gran parte de nuestras vidas en las redes sociales: desde vacaciones hasta eventos y trabajo. Pero compartir en exceso puede hacer que la información confidencial esté disponible, lo que facilita que un actor malicioso se haga pasar por una fuente confiable (ver ingeniería social).
Educar a los empleados sobre la protección de la configuración de privacidad de sus cuentas de redes sociales y evitar la difusión de información pública sobre su empresa reducirá el riesgo de la ventaja potencial que los piratas informáticos pueden obtener de este acceso a su red.
10. Uso de Internet y correo electrónico
Algunos empleados pueden haber estado expuestos a filtraciones de datos al usar correos electrónicos simples o repetidos para varias cuentas. Un estudio encontró que el 59% de los usuarios finales usan la misma contraseña para cada cuenta. Esto significa que, si una cuenta se ve comprometida, un hacker informático puede usar esta contraseña en cuentas de trabajo y redes sociales para obtener acceso a la información de todos los usuarios en estas cuentas.
A menudo, los sitios web ofrecen software gratuito infectado con malware, y las aplicaciones descargadas solo de fuentes confiables son la mejor manera de proteger su computadora de la instalación de cualquier software malicioso. Educar a los empleados sobre hábitos seguros de Internet debe ser una parte clave de cualquier inducción de TI; Sin embargo, algunos pueden ver este entrenamiento como algo evidente; es una parte clave de la seguridad de cualquier programa de seguridad.
Muchos sitios web grandes han sufrido filtraciones de datos significativas en los últimos años; si su información se ha ingresado en estos sitios, podría haberse hecho pública y estar expuesta a su información privada.
11. Ingeniería social
La ingeniería social es una técnica común que utilizan los actores maliciosos para ganarse la confianza de los empleados, ofreciendo señuelos valiosos o utilizando la suplantación de identidad para obtener acceso a información personal valiosa. Para combatir estas amenazas, los empleados deben ser educados en temas de seguridad que cubran las técnicas de ingeniería social más comunes y la psicología de la influencia (por ejemplo: engaño, extorción o falsas promesas).
Por ejemplo, al hacerse pasar por un cliente viable u ofrecer ganar dinero, la información privada puede entregarse sin darse cuenta a estos actores malintencionados. Aumentar la conciencia de los empleados sobre la amenaza de estas suplantaciones es fundamental para reducir el riesgo de ingeniería social.
12. Seguridad en el hogar
Lamentablemente, la amenaza de los malintencionados no se detiene cuando abandona el lugar de trabajo. Muchas empresas permiten que sus empleados usen sus dispositivos, lo cual es un excelente método de ahorro y permite un trabajo flexible; sin embargo, existen riesgos asociados con esto. Sin saberlo, las aplicaciones descargadas de malware en dispositivos personales pueden poner en riesgo la integridad de la red de la empresa si, por ejemplo, los datos de inicio de sesión se ven comprometidos.
Además, la creciente red de recursos digitales disponibles para trabajadores y empresas ha aumentado la conectividad y la productividad. Sin embargo, estas aplicaciones también suponen un riesgo para el usuario; un estudio realizado por Propeller descubrió que las campañas de phishing dirigidas a Dropbox tenían una tasa de clics del 13.6 %. Aumentar el conocimiento de los empleados, compartir archivos cifrados y autenticar las descargas reducirá el riesgo.