¿Cómo crear una cultura corporativa de seguridad cibernética?
Los empleados de su empresa se pueden convertir en uno de los controles de seguridad más efectivos frente a las amenazas en seguridad de la información. Fuente: ESET
La educación sobre seguridad cibernética es como rendir un examen. Aprendes y entiendes el tema al prepararte para el día del examen, pero, si no vuelves a usar ese conocimiento durante mucho tiempo, seguramente lo olvides. Es lo mismo que le sucede a los empleados con las capacitaciones sobre seguridad informática que suceden solo una o dos veces al año.
Este tipo de conocimientos debería actualizarse constantemente, sobre todo porque los ataques cibernéticos son cada día más sofisticados. Pero si logras que tus empleados estén atentos, van a convertirse en uno de tus controles de seguridad más efectivos.
Muchos empleados aún no son capaces de detectar ciberataques. ¿Qué impide que las empresas resuelvan esta situación?
En general, las empresas subestiman la educación sobre seguridad cibernética o le dan la misma importancia de siempre, mientras que los ciberataques mejoran, evolucionan y cambian con paso del tiempo.
Ya no podemos seguir basándonos en las características típicas de los correos electrónicos fraudulentos para reconocer los ataques, como la mala gramática o los errores lógicos. Tanto el contenido como la forma visual de estos ataques son cada vez más sofisticados. Creo que dentro de poco muchas personas ya no podrán distinguir el phishing de cualquier otro correo electrónico. Además, está en aumento vishing (phishing de voz), principalmente se utiliza para copiar la voz de un director ejecutivo y preparar un engaño para convencer al destinatario de que transfiera dinero.
¿Cuáles son los obstáculos para enseñarles a los empleados a reconocer estos ataques?
Cuando trabajé como consultor de TI hace unos años, noté que las empresas suelen pensar en la seguridad cibernética como un problema del departamento de TI. Pero los profesionales de TI no siempre pueden ofrecer una capacitación que la gente comprenda y en la que se interese, no es tan fácil como parece. No solo requiere conocimientos de seguridad (sobre aspectos como el phishing, la elección de contraseñas, el cifrado), sino también herramientas efectivas de enseñanza.
¿Crees que la mayoría de las pequeñas y medianas empresas ya implementan algún tipo de capacitación para sus empleados?
Sí. La mayoría hace al menos alguna capacitación básica sobre seguridad cibernética, por ejemplo, las que están disponibles en plataformas online. Pero, en mi opinión, deben hacer más si desean construir una cultura de concientización cibernética en la empresa. Si solo se capacita a los empleados una vez al año, olvidan rápidamente lo que aprendieron.
Fuente Eset Latinoamerica
Capacita a tu equipo con nuestro curso de seguridad gratuito en Seguridad de la información
Este curso está orientado a toda persona, empleado e interesado en conocer medidas de control desde los distintos medios de acción, para la reducción o mitigación de los riesgos a los que se encuentra expuesta la infraestructura tecnológica, datos e información. A través de este curso, conocerá los fundamentos y principios de la seguridad informática a nivel empresarial, y algunas medidas básicas que se pueden adoptar.
