Los ciberataques se adaptan a los empleados … Por qué …



Considere cuatro factores y comportamientos que impactan el riesgo de un empleado en individual, y cómo la capacitación en seguridad debe tenerlos en cuenta.

Las empresas están gastando importantes recursos tratando de reducir el riesgo de seguridad entre los empleados. Y gastan miles de millones cada año en capacitación, sin embargo, las principales violaciones de datos continúan en los titulares y el error humano sigue siendo la principal causa de una violación. ¿Dónde está la desconexión?

Un problema importante es que las empresas no han adaptado su formación en seguridad tan rápido como los ciberdelincuentes han desarrollado sus métodos de ataque. Los ciberdelincuentes se dirigen cada vez más a empleados específicos en función de factores en tiempo true como la antigüedad, el departamento y la ubicación para hacer que sus estafas sean más creíbles. Para protegerse contra estas amenazas, la capacitación en seguridad debe ser tan personalizada y sofisticada como los métodos de ataque.

Hay una serie de factores y comportamientos que afectan el riesgo de un empleado en particular. Aquí hay cuatro de ellos y cómo la capacitación en seguridad debe tenerlos en cuenta.

Departamento y función laboral
Los ciberdelincuentes crean estafas convincentes adaptándolas en función del departamento y la función de un empleado. Buscan plataformas como LinkedIn y sitios website de empresas para encontrar estos detalles.

La capacitación en seguridad debe adaptarse a la función laboral y proporcionar a los empleados ejemplos del mundo actual de las estafas que tienen más probabilidades de apuntar a ellos. Por ejemplo, el director financiero y el departamento de finanzas podrían ser blanco de más ataques de compromiso por correo electrónico empresarial, como el fraude por transferencia bancaria, y deben recibir capacitación sobre ellos en consecuencia.

El error humano también difiere según el departamento. Por ejemplo, los equipos de ventas suelen tener acceso a grandes cantidades de información particular. Capacite a estos equipos sobre cómo evitar riesgos de pérdida de datos, como enviar documentos o archivos adjuntos a sus correos electrónicos personales.

La formación individualizada permite a las empresas priorizar la formación de los empleados con acceso a datos confidenciales, como los números de seguridad social de los clientes y la información financiera, y de los departamentos a los que se dirige con mayor frecuencia. Por esta razón, la información sobre los roles y el acceso de los empleados debe actualizarse automáticamente.

Tenencia del empleado
Los hackers suelen atacar específicamente a los nuevos empleados, y las redes sociales facilitan esta tarea. Tessian descubrió que 93% de los encuestados estadounidenses publican sobre un nuevo trabajo en las redes sociales.

Debido a que los nuevos empleados están menos familiarizados con sus colegas y con los protocolos de seguridad de la empresa, a menudo son menos capaces de identificar solicitudes anormales. Los ciberdelincuentes lo saben y se aprovechan de ello. Por ejemplo, se harán pasar por un miembro del equipo de TI o un representante de servicio al cliente que solicita credenciales de inicio de sesión para configurar el application o los permisos de la cuenta.

La capacitación y las tácticas de seguridad deben centrarse en dónde se encuentran las vulnerabilidades de los nuevos empleados para que sepan qué buscar. Una revisión cuidadosa de las pautas de seguridad y las mejores prácticas debe integrarse en el proceso de incorporación desde el principio.

Trabajo remoto o en la oficina
La seguridad fue un desafío importante para muchas empresas durante la transición al trabajo remoto. Ahora enfrentarán nuevos obstáculos con un complejo cambio hacia el trabajo híbrido. Es muy probable que los ciberdelincuentes continúen apuntando a empleados remotos y aprovechen cualquier incertidumbre causada por el lugar de trabajo híbrido.

La distracción es un element de riesgo importante aquí. Más de la mitad (57%) de los empleados dicen que se sienten más distraídos cuando trabajan desde casa, mientras 47% citó la distracción como la principal razón para caer en una estafa de phishing. Las personas tienden a cometer más errores, como hacer clic en un enlace sin verificar el remitente de un correo electrónico, durante estas situaciones. También es más difícil verificar una solicitud legítima de un colega cuando no se encuentra en la misma ubicación.

Los empleados deben recibir capacitación sobre los riesgos de seguridad específicos que son exclusivos de trabajar desde casa, en una oficina o en un entorno híbrido.

Riesgo de error humano
La capacitación en seguridad a menudo se centra solo en riesgos como las estafas de phishing que tienen como objetivo engañar a los empleados. Pero los errores humanos simples también conducen a violaciones de datos, por ejemplo, cuando un empleado envía información confidencial al destinatario de correo electrónico equivocado. Las herramientas más efectivas marcarán este comportamiento en tiempo true cuando un empleado esté a punto de tomar una mala decisión. Los seres humanos aprenden mejor en contexto, por lo que la formación se imparte mejor en el momento que en módulos largos que se realizan una vez por trimestre.

La capacitación ofrece una oportunidad importante para que los empleados sean conscientes no solo de los riesgos generales de seguridad, sino también de mejorar sus comportamientos individuales con el tiempo. ¿Descargan grandes cantidades de datos confidenciales cuando solo necesitan acceder a una pequeña parte? ¿Tienen un historial de caer en estafas de phishing? Los recordatorios de seguridad deben adaptarse al comportamiento pasado y entregarse de manera coherente.

No se trata de avergonzar o castigar a los empleados individuales. El objetivo es dotarlos de conocimientos específicos y relevantes basados ​​en sus propios hábitos laborales.

Mejor para los empleados, mejor para las organizaciones
La formación personalizada es beneficiosa tanto para las organizaciones como para sus empleados. En lugar de pasar largas y aburridas sesiones de formación que interrumpen la productividad, el tiempo de los empleados puede dedicarse únicamente a la información más relevante. El entrenamiento se vuelve más atractivo y unforgettable. Mientras tanto, las organizaciones ahorran recursos al hacer que la capacitación sea más efectiva y eficiente. El objetivo remaining es crear una cultura de seguridad más amplia que deje a la organización mejor protegida en standard.

Los ciberdelincuentes están perfeccionando constantemente sus técnicas para engañar a los empleados, mientras que los trabajadores se hacen cargo de más y más datos a medida que las empresas se transforman digitalmente. De manera comparable, las técnicas de seguridad deben incorporar continuamente nuevos métodos y tecnologías. Al analizar los factores de riesgo únicos y hacer que la capacitación en seguridad sea tanto individualizada como automatizada, los líderes de seguridad pueden proteger a los empleados sin interrumpir su trabajo.

Tim es el director ejecutivo y cofundador de la empresa de seguridad de capa humana Tessian. Después de una carrera en banca de inversión, Tim y sus cofundadores comenzaron Tessian en 2013, creando una solución de ciberseguridad que utiliza el aprendizaje automático para proteger a las personas de los riesgos en el correo electrónico … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary