Si piensa en su organización como una fortaleza medieval, entonces su sistema de administración de seguridad de la información son los muros de su fortaleza y sus empleados son las puertas de la fortaleza; todos y cada uno de los empleados son una puerta. ¿Siente que sus paredes de repente se volvieron significativamente menos impenetrables gracias a todas esas puertas? ¡Pues tiene razón!
No importa cuán buenos o costosos sean sus sistemas de TI y cuánto pensó en su programa de prevención de pérdida de datos para fortalecer esos muros, su organización es un juego justo a menos que sus puertas estén debidamente cerradas.
Basta de metáforas. Sus empleados necesitan vivir y respirar con una mentalidad de seguridad primero mientras trabajan porque esa es la única forma de proteger los datos confidenciales de su organización, sus socios y proveedores. Eso es mucho peso para poner sobre los hombros de los empleados que no están preparados, así que echemos un vistazo a cómo educarlos de manera efectiva.
¿ Por qué educar a sus empleados sobre ciberseguridad?
Los números no mienten:
Según el análisis de violación de datos del primer trimestre de 2022 del ITRC , el 92 % de los incidentes que pusieron en peligro los datos fueron el resultado de un ataque cibernético, y el phishing y el ransomware fueron las dos causas principales de los compromisos de datos. Según el Informe de investigaciones de violación de datos de Verizon de 2022 , la causa del 82 % de todas las violaciones de datos involucró al elemento humano.
No se puede negar. Debe educar a sus empleados sobre ciberseguridad, porque el conocimiento es poder. Si sus empleados conocen las amenazas cibernéticas potenciales, estarán en una mejor posición para detectar un ataque y evitar que suceda.
Phishing y otras amenazas de ingeniería social son las formas más comunes en que un ciberdelincuente puede intentar infiltrarse en su organización, y están dirigidas precisamente a humanos desprevenidos. Accederán a información confidencial que luego les permitirá piratear el correo electrónico del empleado y usarlo para solicitar transferencias de fondos, por ejemplo. O podrían acceder a la base de datos de socios o proveedores de su organización, que generalmente incluye todo tipo de información confidencial, causando daños no solo a usted, sino también a terceros.
Si sus empleados saben cómo reconocer los signos de este tipo de ataques, son menos susceptibles a caer en ellos.
El aumento del trabajo remoto también ha hecho que sea más importante centrarse en la conciencia de seguridad cibernética entre los empleados, porque seamos realistas: en un entorno no corporativo, es más fácil volverse laxo con las reglas. Tiene mucho menos control sobre los dispositivos propiedad de los empleados y las redes que utilizan, por lo que necesita que estén al tanto de todas sus políticas de seguridad, sin importar desde dónde trabajen.
Cómo explicar la seguridad de los datos a los empleados
Desea que sus empleados entiendan por qué y cómo cuidar sus datos y los de la organización. Aquí hay algunos consejos sobre cómo hacerlo de manera efectiva:
Humanicelo
No se limite a enviar un correo electrónico, hable con ellos en persona. Realice una presentación, haga un video, muestre su entusiasmo.
Deje que el jefe hable
Si la gerencia está involucrada, todos lo tomarán más en serio. El CEO no necesita hacer una presentación completa, pero si muestra su participación en la causa, será mucho mejor recibido que si solo el departamento de TI está haciendo solicitudes.
Haga que se identifiquen
Las personas están más dispuestas a seguir reglas que tengan sentido para ellas. Los ejemplos de la vida real, como las historias de filtraciones de datos en empresas conocidas, demuestran de lo que está hablando, y hablar de manera "humana" en lugar de aburrir a todos con lenguaje técnico le ayudará a entender su punto de vista.
La práctica hace al maestro
En este caso, práctica significa repetición. Los ataques cibernéticos están en constante evolución, por lo que debe asegurarse de que sus empleados tengan información actualizada. Envíe breves actualizaciones de seguridad de datos, mencione noticias cibernéticas en reuniones regulares del equipo o encuentre otras formas de mantener la seguridad de datos al frente de la atención de sus empleados en todo momento.
Corto y simple
Manténgalo corto y simple. La verdad es que los humanos tienen la capacidad de atención de un pez dorado, así que una vez que los pierdes, se van. Intente brindar a los empleados la mayor cantidad de información posible en el menor tiempo posible. Puntos de bonificación por hacerlo divertido.
Políticas de seguridad que funcionan
Supongamos que ha realizado una reunión de seguridad de datos atractiva, incluso entretenida, y se está preparando para enviar un correo electrónico que resume las políticas de seguridad de su organización. Sus empleados están entusiasmados y dispuestos a asumir su parte de responsabilidad sobre la seguridad cibernética de la organización...
¡Pero aún no están del otro lado! Podría perder su compromiso más rápido de lo que puede decir violación de datos si sus políticas no son:
- Fácil de entender . Utilice un lenguaje sencillo, no jerga técnica.
- Fácil de implementar . No quiere reglas que atrofien la productividad.
- Fácil de recordar . Una guía paso a paso o imprimible facilita la revisión de las reglas.
También deberá dejar en claro con quién pueden hablar sus empleados en caso de que necesiten ayuda para explicar o aplicar cualquiera de las políticas.
Debe incluir no solo políticas sobre las mejores prácticas de los empleados para la prevención de pérdida de datos, sino también abordar cómo deben reaccionar ante un encuentro de amenazas y a quién dentro de la organización deben informar las amenazas y cómo.
Safetica CISO presenta un enfoque listo para usar
Hacer un curso de eLearning una vez al año no suele ser suficiente para recordar todas las medidas. Sin embargo, eLearning es un buen comienzo, y hay más que puede agregar a su programa de concientización sobre seguridad:
- Campaña de correo electrónico: envíe un correo electrónico breve y simple que explique una regla de seguridad cada dos semanas.
- Pósteres y visuales LED: difunda mensajes de seguridad por la oficina.
- Folletos de seguridad : distribuya folletos explicando los fundamentos a sus colegas actuales y recién llegados.
- Fondos de pantalla de inicio de sesión: muestra mensajes de seguridad en las computadoras portátiles de los empleados.
- Campeones de la seguridad: nomine a algunos evangelistas de la seguridad de cada departamento que actuarán como PoC para el tema de la seguridad.
Las políticas de seguridad son importantes desde la perspectiva regulatoria. Sin embargo, si las empresas quieren que sus empleados las sigan, es necesario no complicarlo demasiado. Encontrar el equilibrio adecuado es clave cuando se trata de seguridad de datos.
dice Radim Trávníček
CISO de Safetica
Cómo encaja Safetica en su organización
Safetica es fácil de implementar e integrar y simple de usar. Esto significa que no genera molestias adicionales para su departamento de TI ni para sus empleados. La solución se ejecuta silenciosamente en segundo plano y supervisa sus datos confidenciales.
Si un empleado está a punto de realizar una operación potencialmente riesgosa, aparece una ventana emergente que le notifica el riesgo de seguridad. Safetica es una solución inteligente que le permite definir lo que debería estar sucediendo en cualquier escenario. En este ejemplo, hay varias opciones:
- Safetica notifica al empleado, pero puede proceder si lo desea.
- Safetica notifica al empleado y bloquea la operación.
- Safetica notifica al empleado y registra la operación en silencio, de modo que si sucede algo, usted sabe exactamente qué.
- Safetica notifica a su empleado y también a su departamento de TI.
Ya ve, hay un montón de opciones. Pero no se preocupe, incluso si esto suena complicado, ofrecemos algunas plantillas predefinidas que le ayudarán con todas las configuraciones.
Cuando decida utilizar las notificaciones, su gente comprenderá mejor qué tipo de operaciones pueden ser riesgosas. La seguridad de los datos es tan compleja que es fácil perder la pista. Safetica está aquí para ayudarlo con eso.
Sabemos que la gente comete errores y Safetica lo respalda.