Mes de concientización sobre ciberseguridad: capacite a los empleados para que sean la primera línea de defensa


Este octubre se ve bastante diferente a años anteriores, ya que TI supervisa al personalized que ya no está ubicado en el centro, lo que crea una superficie de ataque más grande para los malos actores. La conciencia es clave, dicen los expertos.

istock-1165968532.jpg

Imagen: iStock / Blue Earth Studio

Mantener una buena higiene cibernética es siempre esencial para un departamento de TI, y es igualmente importante que TI recuerde a los empleados de la empresa la amenaza inminente de las infracciones cibernéticas. Marcas de octubre Mes de concientización sobre ciberseguridad, y es particularmente relevante este año, ya que muchas personas están trabajando de forma remota, dispersas en las amplias ubicaciones a las que llaman hogar, en lugar de estar alojadas en un edificio de la empresa. El mayor riesgo cibernético son los empleados, generalmente la fuente de las infracciones, no por razones malintencionadas sino por una ciber higiene laxa.

VER: Política de protección contra robo de identidad (TechRepublic Top quality)

Un experto en ciberseguridad advierte que durante el Mes de Concientización sobre Ciberseguridad es hora de que la empresa enfatice la capacitación que no solo evita que sus empleados pongan en riesgo el negocio, sino que «los capacita para convertirse en la primera línea de defensa de la organización».

«Necesitamos enfocarnos en lo que outline la conciencia», dijo Dan Callahan, director de capacitación cibernética de Capgemini North American. «¿Cómo pueden las acciones de un empleado afectar el bienestar de la empresa o de los compañeros de trabajo? Los líderes ejecutivos deben comunicar y educar constantemente a sus equipos sobre el riesgo cibernético en todas las unidades de negocio dentro de la empresa».

El mes de concientización sobre ciberseguridad del año pasado presentó un conjunto de problemas diferente al de este año. «El modelo Function From Household (WFH) presenta desafíos, ya que los empleados que pueden haber sido muy conscientes de las preocupaciones de seguridad cuando trabajaban en la oficina ahora pueden estar un poco más relajados o distraídos en casa», dijo Callahan. hogar, mayor es el panorama de amenazas, lo que brinda más oportunidades para que el adversario ataque «.

Seis estrategias de ciberseguridad

TechRepublic pidió a los expertos sus mejores consejos sobre cómo las empresas pueden mejorar o enfatizar la conciencia de la ciberseguridad.

  1. Utilice el Mes de concientización sobre la ciberseguridad para conectarse con los empleados sobre la ciberseguridad: «Es realmente importante proyectar una actitud positiva y optimista sobre la resiliencia de los empleados: use historias para ayudar a las personas a ver cómo la ciberseguridad se conecta con sus vidas, promueva narrativas positivas que permitan a las personas tomar el control de sus vidas digitales, en el trabajo y en el hogar, y usar el humor. para deleitar a la gente. ¿Por qué? ¡Porque es más possible que las personas encantadas escuchen lo que tienes que decir! Úsalos durante todo el año y haz que más personas se interesen en el papel que juega la ciberseguridad en sus vidas «, dijo Tom Pendergast, director de aprendizaje de MediaPro.

  2. Abra la comunicación entre TI y los empleados: «Nuestra investigación anterior indica que la mayoría (75%) de los empleados dicen que, por lo standard o casi siempre, siguen las recomendaciones de su departamento de TI. Los equipos de TI solo necesitan asegurarse de brindar esta guía de manera normal», dijo Andrew. Homer, vicepresidente de estrategia de seguridad de Morphisec.

  3. Invierte en personas, además de en productos: Las empresas deben esforzarse por lograr «la flexibilidad y la mejora constante, la estabilidad en la flexibilidad, la planificación y las soluciones implementadas de verdad», dijo Samantha Isabelle Beaumont, consultora senior de seguridad de Synopsys.

  4. Concéntrese en minimizar los riesgos y haga que el entrenamiento sea divertido: «Las sesiones deben ser entretenidas (y) tener contenido educativo y humorístico. Personalice la capacitación e incorpore el humor específico del equipo en el contenido. La capacitación debe ser digerible y consumible en sesiones breves. Divida una hora de capacitación en cinco a porciones de 10 minutos que el personal puede tomar a pedido. La capacitación debe conectarse con la vida private de la audiencia. Utilice ejemplos de seguridad personal en el hogar y privacidad de datos relacionados con los negocios y sus trabajos diarios «, dijo Rick Holland, jefe de seguridad de la información oficial, vicepresidente de estrategia en Electronic Shadows.

  5. Personalice la formación según los requisitos específicos del puesto: «Cada empleado debe estar equipado con los conocimientos y habilidades necesarios para identificar y responder adecuadamente a las amenazas específicas de cada función. Una inteligencia de amenazas sólida y una capacidad de gestión de incidentes pueden ayudar a informar las campañas de concientización sobre las amenazas emergentes y comunes que es probable que experimente cada función». El entrenamiento debe ser: Emocionalmente estimulante, identificable personalmente y arraigado en la memoria. Entregue con frecuencia microcontenido, utilizando aplicaciones, recordatorios por correo electrónico y carteles para entregar mensajes en dosis más pequeñas y digeribles, en lugar de abrumar al empleado «, dijo Daniel Norman, analista senior de soluciones en Information and facts Protection Discussion board.

  6. Haga que la conciencia cibernética sea pragmática y realista: «El liderazgo ejecutivo debe aceptar y defender la importancia de la ciberseguridad comunicándose directamente con los empleados. Muestre empatía al hablar sobre el modelo de la FMH, pero también brinde un sentido de urgencia para garantizar que los empleados sean conscientes de la situación de que sus acciones en el hogar aún pueden afectar a la empresa . Explique el punto de vista del adversario. ¿Cómo puede un empleado ser un objetivo? ¿Qué información en los perfiles de las redes sociales, «u otra información accesible», podría ser valiosa para un atacante? Deje de hablar en terminología basic y elimine las palabras de moda. ¿Cómo ¿Impacta el negocio o la misión de la empresa? Sea más específico en los impactos comerciales o de seguridad para la empresa, los empleados o la comunidad «, dijo Callahan.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

El impacto psicológico

Con una carga de trabajo adicional, más responsabilidades y la expectativa de garantizar que todo en la empresa esté actualizado, para todos los líderes y empleados, es probable que los a cargo de la ciberseguridad de la empresa estén sobrecargados. «A veces también nos olvidamos del impacto de la pandemia en los propios equipos de seguridad», dijo Callahan. «Si estuvieran trabajando en un centro de operaciones de seguridad (SOC) y prosperaron al estar dentro de una atmósfera de equipo, ¿cómo están lidiando con el modelo de la FMH? ¿Están agotados y cometiendo errores no forzados? No siempre se trata de las soluciones técnicas tradicionales o capacitación típica que se llevó a cabo en el pasado. Las organizaciones deben analizar más a fondo los impactos de esta interrupción en sus empleados en todos los puestos de trabajo «.

Trabajar desde casa es muy difícil para el personalized de TI. «El aumento de empleados de la FMH ha ejercido una gran presión sobre los departamentos de seguridad y TI. Los profesionales de la seguridad no solo tenían la tarea del desafío de crear rápidamente un entorno remoto, sino que también tenían que manejar la mayor superficie de ataque creada por tal trabajo estilo mientras trabajan ellos mismos de forma remota. Los atacantes están apuntando activamente a las vulnerabilidades creadas entre los equipos distribuidos «, dijo Homer.

Ver también



Enlace a la noticia initial