Dejemos de culpar a los empleados por nuestras violaciones de datos



Asumir que los empleados quieren robar secretos comerciales los enfrenta a sus equipos de seguridad, crea estrés y lessen la productividad.

Cuando los datos salen de una purple confiable, puede ser una respuesta predeterminada suponer que hay intenciones maliciosas involucradas. Vemos titulares de noticias sobre empleados que roban datos y, como resultado, nos estamos condicionando para llegar a la conclusión de que las fugas de datos suelen ser maliciosas. En algunos casos, podría resultar ser un robo intencional, pero cuando se trata de datos que se derraman de la purple por parte de nuestros empleados de confianza, debemos tomarnos un tiempo para profundizar un poco más para obtener más información, especialmente porque los casos de exfiltración de datos son muy frecuentes. debido a un mistake o negligencia del empleado.

La gran mayoría de sus empleados son personas bien intencionadas y trabajadoras que nunca tienen la intención de crear un problema de ciberseguridad. De hecho, en 2020, el 17% de todas las violaciones de datos fueron causado por error humano, el doble de lo ocurrido en 2019.

Tal vez un nuevo empleado agregue su unidad iCloud private a su dispositivo de trabajo para que su información individual esté más disponible, sin darse cuenta de que existe una configuración predeterminada que termina cargando automáticamente los datos de la empresa en su cuenta de iCloud. O un miembro del equipo que trabaja de forma remota durante la pandemia puede acceder a un archivo desde su computadora portátil individual cuando su computadora de trabajo no se está cargando. De cualquier manera, el empleado no tenía la intención de causar un problema. Que los equipos de seguridad lleguen a la conclusión de que el daño intencionado por parte del empleado no evitará la pérdida de datos en el futuro.

De hecho, asumir que los empleados quieren robar su propiedad intelectual o secretos comerciales enfrenta a sus equipos de seguridad y empleados entre sí y podrían contribuir a estrés innecesario relacionado con la seguridad. Necesitamos un mejor enfoque, uno que comience asumiendo que sus empleados solo están tratando de hacer su trabajo y que sus acciones provienen de un lugar de intención positiva.

La construcción de una cultura de seguridad con intención positiva comienza el primer día de trabajo de un empleado. Incorpora la seguridad a tu proceso de incorporación, incluso si solo lo discutes durante cinco minutos. Use ese tiempo para establecer el tono de que su equipo de seguridad no está dispuesto a atraparlos y que necesita la ayuda de los empleados para proteger los activos de la empresa. También debe sentar las bases de cómo los empleados pueden trabajar mejor con el equipo de seguridad: ¿A dónde van si necesitan ayuda, tienen preguntas o necesitan informar cualquier problema o inquietud?

También es esencial brindar capacitación en ciberseguridad regular y efectiva que posicione a sus empleados como héroes de la seguridad en lugar de adversarios. En lugar de centrarse solo en el robo de datos maliciosos, eduque a su equipo sobre las formas comunes en que los datos se filtran involuntariamente para crear conciencia y evitar que suceda en el futuro.

Al igual que con cualquier entrenamiento, también debes asegurarte de que se pegue. ¿Cómo haces eso? Haga que la capacitación en sí sea atractiva. Cambie el formato y hágalo interactivo cuando sea posible. Presente sus ejercicios de phishing como desafíos de seguridad en los que pueden trabajar para aumentar su puntuación de no hacer clic y notificar los correos electrónicos de prueba, y ser transparente sobre por qué ofrece capacitación en phishing. Por lo normal, les avisamos a los nuevos empleados de que realizaremos pruebas de phishing, no como un truco, sino para ayudarlos a aprender a reconocer y denunciar correos electrónicos sospechosos. No podemos esperar que sean excelentes en algo que nunca tienen la oportunidad de practicar.

La transparencia recorre un largo camino en ambas direcciones. En Code42, también pedimos a nuestros empleados que nos avisen cuando tengan un motivo comercial o own para mudarse o compartir un archivo. Por ejemplo, un empleado que se marchaba notificó recientemente a nuestro equipo de seguridad que planeaba transferir algunas fotos personales que había guardado en su unidad de trabajo a una unidad individual. Este comportamiento proactivo es útil porque podría acortar los tiempos de investigación y permite que nuestro equipo de seguridad sugiera métodos de transferencia más seguros, como una unidad encriptada.

Todavía existe la posibilidad de que se encuentre con un empleado que exfiltra datos de forma maliciosa. Aún así, es mejor abordar cada fuga de datos asumiendo que la persona detrás de ella tenía intenciones positivas, ya que ese es a menudo el caso. Al comunicarse con un empleado sobre un paso en falso o un mistake de seguridad, el lenguaje y la redacción que use pueden ser de gran ayuda para demostrar que está allí para ayudar y hacer que el empleado se sienta cómodo y dispuesto a trabajar con su equipo.

Por ejemplo, si observa una transferencia de archivo sospechosa, puede enviarle al empleado una nota como «Notamos una transferencia de archivo a una cuenta de correo electrónico individual. ¿Puede confirmar si está al tanto de esto?» – en lugar de «Recibimos un aviso de que transfirió un archivo a una cuenta de correo electrónico private, por lo que estamos bloqueando su computadora». O si alguien no ha completado la capacitación de seguridad requerida, puede decir: «Nuestros registros muestran que su capacitación de seguridad está atrasada, ¿puede confirmarlo?» La mayoría de las veces, esto dará lugar a una respuesta del empleado preguntando dónde encontrar la capacitación, lo que indica que se trata de un problema de educación / comunicación en lugar de negligencia.

Los problemas de seguridad pueden causar mucho estrés, tanto para los empleados como para los equipos de seguridad. Necesitamos reescribir y fortalecer la narrativa de seguridad para enfatizar que la mayoría de los empleados tienen buenas intenciones. Hacerlo les mostrará a los empleados que su equipo los ve como socios de seguridad confiables y permitirá que la empresa sea más eficiente y proactiva con respecto a su enfoque de seguridad.

Chrysa ha estado en seguridad corporativa durante 13 años. Ha creado programas de concienciación sobre la seguridad desde cero en varias industrias, incluidas la venta minorista, la tecnología y la atención médica. Chrysa es actualmente Gerente de Conciencia de Seguridad en Code42. Le apasiona presumir … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic