Los ciberdelincuentes usan una variedad de tácticas a la vez y están constantemente innovando. Las organizaciones deben hacer lo mismo y adoptar un enfoque multidimensional de la ciberseguridad porque los videos de capacitación de concientización de ciberseguridad no son suficientes para involucrar a los empleados o proteger su negocio.
¿Su estrategia de concientización de ciberseguridad está desconectando a los empleados?
Un mal actor robó $ 540 millones de una empresa de juegos NFT en julio, un ataque que comenzó con una oferta de trabajo falsa en LinkedIn. En casos como estos, la ingeniería social no parece un correo electrónico de phishing basado en el miedo que exige información de la cuenta bancaria en un plazo de 24 horas. En cambio, estos ataques se aprovechan de las ambiciones de las personas mientras buscan nuevas oportunidades.
Los ataques de ingeniería social pueden presentarse como correos electrónicos de (lo que parecen ser) amigos, que le solicitan información de la tarjeta de crédito o pueden ser ataques hiperpersonales en los que los estafadores clonan las cuentas de redes sociales de los miembros de la familia y usan fotos personales e información de ubicación para convencer. tú son reales.
Los ataques de ingeniería social pueden ser financiera y emocionalmente devastadores. Pero su organización no está indefensa: la mejor protección contra ellos es crear una cultura de alfabetización digital que escale con su organización.
Desafortunadamente muchas estrategias de capacitación en concientización de ciberseguridad no preparan a los empleados para escenarios como estos.
Por ejemplo los programas de concientización en seguridad cibernética que consisten en videos de capacitación bianuales a menudo promueven contenido uniforme y de alcance limitado. Estos videos tienden a transmitir el mismo mensaje cada seis meses con la misma rotación de preguntas de prueba.
Si bien estos programas son fáciles de implementar generalmente son secos y la naturaleza repetitiva del material desmotiva a los empleados lo que les dificulta internalizar o implementar la capacitación.
Amplíe su formación en ciberseguridad
El delito cibernético está evolucionando y la estrategia de capacitación en seguridad cibernética de su organización también debe evolucionar. Es importante identificar oportunidades de capacitación que no solo involucren a sus empleados sino que también protejan mejor a su empresa de la ingeniería social y otras estrategias de ataque.
Aquí hay cinco cosas que debe tener en cuenta a medida que expande su estrategia de capacitación.
1. Comenzar es la parte más difícil: no deje que se interponga en su camino
La buena noticia es que no necesita comenzar con una implementación completa de nuevas políticas y estrategias: dé un paso a la vez y amplíe su progreso.
Por ejemplo un punto de partida podría implicar la distribución de un recordatorio de seguridad el primer viernes del mes pidiendo a los empleados que actualicen sus dispositivos. A medida que este proceso se vuelve rutinario agregando otro paso: un recordatorio de respaldo al final del mes.
Continúe desarrollando su estrategia de ciberseguridad agregando nuevos elementos que aborden la ingeniería social y otros tipos de ataques. Antes de que se dé cuenta la alfabetización digital de su organización mejorará a medida que establezca un ciclo de capacitación más sólido e integral.
2. Cree políticas de seguridad cibernética claras y específicas
Cuando las organizaciones redactan sus políticas de seguridad cibernética a menudo aplican un enfoque único para todos. Pero dado que su organización consta de una variedad de equipos y roles un enfoque monolítico de las políticas de seguridad cibernética probablemente no cubrirá las preocupaciones de seguridad asociadas con cada rol. Por ejemplo las ciber amenazas a las que se enfrenta su departamento de finanzas pueden diferir de las que enfrenta RR. HH. o el equipo de TI: es probable que un empleado de RR. HH. sea más susceptible a una estafa de phishing que un empleado de TI por lo que necesitan diferentes énfasis en la capacitación.
Las políticas de ciberseguridad requieren un grado de personalización para roles y departamentos específicos. Comience por hacer preguntas como: ¿Cuáles son las necesidades de seguridad de cada departamento? ¿Y cómo cada departamento es más susceptible a los ataques de ciberseguridad?
3. Reconocer y abordar la fatiga (miedo)
La seguridad cibernética funciona como un seguro: no ve la recompensa porque sus acciones suelen ser proactivas en lugar de reactivas. Los empleados pueden sentirse frustrados por un proceso que no demuestra una recompensa inmediata por lo que es importante enfatizar el valor de la capacitación continua para prevenir ataques antes de que ocurran.
Tenga cuidado de no generar fatiga por miedo que ocurre cuando los empleados están constantemente expuestos a malas noticias o mensajes que se enfocan en resultados negativos. La formación en ciberseguridad que solo juega a temer como alertas constantes ante amenazas desmotiva a los empleados.
Cuando brinde capacitación relacionada con la ingeniería social u otros tipos de ataques logre un equilibrio entre comunicar las consecuencias reales de los ataques cibernéticos y mensajes más positivos como las mejores prácticas y las rutinas de higiene cibernética.
4. Gamifica tu formación La gamificación
presenta una oportunidad importante para mejorar la alfabetización digital porque mejora el compromiso. En lugar de ver un video y realizar un cuestionario de rutina la capacitación en seguridad cibernética se lleva a cabo en una plataforma competitiva donde se ganan puntos donde los empleados desarrollan sus habilidades junto con otros. En última instancia la gamificación hace que el aprendizaje sea divertido y es más probable que las lecciones se mantengan.
Solo asegúrese de que mientras gamifica la capacitación en seguridad cibernética todavía está elaborando estrategias. Y tenga en cuenta el contexto: si bien puede ser divertido crear ejercicios de capacitación temáticos en torno a celebraciones como Halloween el esquema de phishing de April Fool puede parecer vulgar o cruel.
5. Empodere a sus empleados
Su objetivo principal es empoderar a sus empleados a través de la capacitación y los recursos. Cuando se trata de ciberseguridad uno de los recursos que su organización debe utilizar por completo es su equipo de TI.
Su equipo de TI tiene más conocimientos sobre ciberseguridad y ciberataques y está mejor equipado para comunicar las mejores prácticas a su fuerza laboral. Pero la comunicación es una calle de doble sentido: los equipos de TI confían en que los empleados se comuniquen con ellos cuando ocurren ataques de phishing inusuales o problemas de seguridad cibernética.
Los empleados son su primera línea de defensa. Es importante priorizar su rol en la ciberseguridad y prevenir brechas causadas por ingeniería social u otro tipo de ataques. Los ciberataques y los ingenieros sociales más efectivos utilizan todo el arsenal de herramientas a su disposición y usted debe hacer lo mismo. Capacite a su fuerza laboral con oportunidades de capacitación diversas y continuas e implemente prácticas de ciberseguridad que conviertan a sus equipos en su mejor defensa.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad