La educación sobre seguridad cibernética es como rendir un examen. Aprendes y entiendes el tema al prepararte para el día del examen, pero, si no vuelves a usar ese conocimiento durante mucho tiempo, seguramente lo olvides. Es lo mismo que le sucede a los empleados con las capacitaciones sobre seguridad informática que suceden solo una o dos veces al año.
Este tipo de conocimientos debería actualizarse constantemente, sobre todo porque los ataques cibernéticos son cada día más sofisticados. Pero si logras que tus empleados estén atentos, van a convertirse en uno de tus controles de seguridad más efectivos.
¿Te gustaría saber cómo crear nuevas formas efectivas para capacitar a los empleados? Entrevistamos al Director de Seguridad de la Información de ESET, Daniel Chromek para acercarte sus mejores consejos.
—Muchos empleados aún no son capaces de detectar ciberataques. ¿Qué impide que las empresas resuelvan esta situación?
—En general, las empresas subestiman la educación sobre seguridad cibernética o le dan la misma importancia de siempre, mientras que los ciberataques mejoran, evolucionan y cambian con paso del tiempo.
Ya no podemos seguir basándonos en las características típicas de los correos electrónicos fraudulentos para reconocer los ataques, como la mala gramática o los errores lógicos. Tanto el contenido como la forma visual de estos ataques son cada vez más sofisticados. Creo que dentro de poco muchas personas ya no podrán distinguir el phishing de cualquier otro correo electrónico. Además, está en aumento vishing (phishing de voz), principalmente se utiliza para copiar la voz de un director ejecutivo y preparar un engaño para convencer al destinatario de que transfiera dinero.
—¿Cuáles son los obstáculos para enseñarles a los empleados a reconocer estos ataques?
—Cuando trabajé como consultor de TI hace unos años, noté que las empresas suelen pensar en la seguridad cibernética como un problema del departamento de TI. Pero los profesionales de TI no siempre pueden ofrecer una capacitación que la gente comprenda y en la que se interese, no es tan fácil como parece. No solo requiere conocimientos de seguridad (sobre aspectos como el phishing, la elección de contraseñas, el cifrado), sino también herramientas efectivas de enseñanza.
—¿Crees que los profesionales de TI deberían trabajar con psicólogos, por ejemplo?
—Desde luego, o con alguien que tenga algún título en pedagogía para adultos o simplemente sepa cómo lograr que una persona recuerde ciertos hechos y cambie hábitos de su comportamiento.
Las empresas más grandes a menudo resuelven este problema trabajando con los departamentos de TI y de Recursos Humanos en conjunto. La clave es encontrar a alguien que pueda entregar la información a los empleados en forma clara e interesante. Es por eso que en la actualidad se está usando cada vez más el enfoque de gamificación.
—¿Crees que la mayoría de las pequeñas y medianas empresas ya implementan algún tipo de capacitación para sus empleados?
—Sí. La mayoría hace al menos alguna capacitación básica sobre seguridad cibernética, por ejemplo, las que están disponibles en plataformas online. Pero, en mi opinión, deben hacer más si desean construir una cultura de concientización cibernética en la empresa. Si solo se capacita a los empleados una vez al año, olvidan rápidamente lo que aprendieron.
—¿Con qué frecuencia debe realizarse la capacitación?
—Tan seguido como sea posible. En mi opinión, tiene más sentido dividir la información que se necesita transmitir en partes más pequeñas que los empleados puedan absorber.
Por ejemplo, utilizar videos de 10 minutos que se centren en un solo tema. Luego, se sigue trabajando con ejemplos simplificados en forma periódica para recordarles a los empleados que es importante monitorear los problemas de seguridad. Y si hay un intento de ataque en la empresa, puede usarse como ejemplo para explicar cómo funciona ese ataque en particular.
—Imaginemos que quiero hacer que una empresa sea resistente a los ciberataques comenzando desde cero. ¿Qué deben saber todos los empleados?
—Primero, todos los empleados deben saber lo que la empresa espera de ellos. ¿Cómo deben utilizar la tecnología que les suministra la empresa y qué sanciones les esperan en caso de pérdida o daños? Estas preguntas deben responderse antes de que suceda algo, idealmente al inicio de la relación laboral.
Luego, hay algunos temas estandarizados que cubren las medidas de seguridad básicas: contraseñas seguras, autenticación en dos fases, reconocer el phishing y los sitios web fraudulentos. Los empleados también necesitan saber a quién deben informar cuando detectan actividades sospechosas, cómo utilizar software o servicios en la nube y cómo utilizar la tecnología de seguridad, como el programa de administración de contraseñas. También deben aprender a ser cuidadosos con aplicaciones y programas que descargan tanto en PC como móviles corporativos.
A fines del año pasado, por ejemplo, recibimos llamadas falsas de Microsoft: fue una oportunidad para informarles a nuestros empleados qué debían tener en cuenta y por qué estaba ocurriendo el ataque.
—¿Por qué la gerencia de una empresa no tiene que asustar a los empleados con las posibles consecuencias personales de los ciberataques?
—Porque cinco minutos después del susto los empleados dejan de escuchar y la única conclusión a la que se aferran es que cualquier cosa que hagan saldrá mal y terminarán despedidos o en la cárcel.
El peligro de crear una mentalidad tan derrotista es que puede generar que los empleados se den por vencidos desde un principio y piensen que no tiene sentido ser cuidadosos, ya que de todos modos se equivocarán. Por lo tanto, lo mejor es comunicarse de manera positiva, señalando las amenazas comunes y mostrando cómo evitarlas, no solo en el trabajo sino también en el hogar. Todos tenemos seres queridos, y cuando les enseñamos a los empleados cómo proteger no solo los intereses de sus empleadores sino también los de sus padres, parejas o hijos, estamos despertando su interés.
—¿Crees que la simulación es una buena forma de explicar todo esto a los empleados?
—Mientras se use sabiamente, sin ninguna duda. Si decides probar una simulación de phishing en una empresa, por ejemplo, tienes que pensarlo un poco. El objetivo no es atrapar a la mayor cantidad de víctimas como sea posible, sino darles la oportunidad de reconocer el ataque de phishing y "ganar" cuando derrotan al atacante. Cuando la gente sabe que lo ha hecho bien, se siente más fuerte.
Otro buen ejemplo sería una historia interactiva divertida en forma de historieta o con videos en los que el personaje principal realiza diferentes misiones y va ganando puntos a medida que logra los objetivos: los jugadores exitosos pueden obtener una pequeña recompensa.
—¿Es así como se crea una cultura de concientización cibernética?
—Hemos hablado de los pequeños pasos y cosas que ayudan a construirla. Todos los integrantes de la empresa deben conocer los problemas clave de seguridad, desde los empleados hasta la alta gerencia. El objetivo es poder fortalecer la seguridad y, por ende, la propia empresa. Cuando todos lo entiendan y estén atentos a lo que sucede a su alrededor, mejorará la resiliencia de toda la empresa.
Fuente original: datasecurityguide.eset.com/en-uk