Spear phishing o suplantación de la identidad, ransomware o secuestro de datos, descarga de software malicioso, etc. Estas amenazas a la ciberseguridad afectan a los empleados de todas las empresas, especialmente a los que teletrabajan. La concienciación sobre la ciberseguridad es ahora esencial.
Riesgos económicos y políticos
Los ciberataques contra las empresas y las administraciones públicas obedecen a intereses económicos y a veces políticos, según los sectores.
Los objetivos de los piratas informáticos pueden ser:
- Robar dinero a particulares o empresas;
- Captar la clientela de una empresa;
- Perjudicar la reputación de una empresa o de una personalidad o partido político;
- Poner en marcha un espionaje industrial, político o militar;
- etc.
Los empleados de una organización están en primera línea frente a estos riesgos de ciberseguridad cada vez mayores. Por tanto, las acciones de sensibilización son esenciales para que tomen conciencia de ellos y reaccionen en consecuencia.
Medidas de concienciación sobre la seguridad informática:
Programar sesiones de formación periódicas
Los cursos de formación sobre ciberseguridad conciernen a todos los empleados de la empresa y deben ofrecerse con regularidad. Es preferible organizarlos en pequeños grupos para fomentar el debate y, si es posible, adaptarlos a los perfiles profesionales.
Formar a contables o a profesionales de recursos humanos en ciberseguridad es diferente de formar a desarrolladores o comerciales. Segmentar los cursos por profesiones permite asimismo abordar temas precisos y concretos para cada problemática profesional (redes wifi en los desplazamientos, correos electrónicos fraudulentos, etc.). Lo ideal es que los módulos de formación sean breves, de no más de una hora. Más allá de esta duración, se corre el riesgo de generar cansancio y perjudicar la comprensión del mensaje.
Puede ser una buena idea concluir cada sesión de formación con la transmisión de un documento práctico y conciso que sirva de recordatorio al empleado. En cuanto al aspecto lúdico, también se pueden proponer cuestionarios después de las sesiones de formación, con recompensas al final, para animar a los empleados a interesarse lo más posible por el tema.
Utilización de la ludificación
El uso de la ludificación en los cursos de formación sobre ciberseguridad también está resultando muy eficaz. Varias organizaciones proponen juegos de escape o ciberjuegos sobre el tema de la seguridad informática, durante los cuales los empleados se ponen en la piel de un hacker, por ejemplo. Estos juegos de rol y sesiones de formación interactivas ayudan a tomar conciencia de los riesgos, al tiempo que reducen la ansiedad.
Recurrir a personas destacadas
En los cursos de formación de mayor envergadura, recurrir a una persona reconocida en el ámbito de la ciberseguridad es una buena manera de captar la atención del público, así como de beneficiarse de sus conocimientos avanzados. Puede tratarse de organizaciones especializadas en seguridad informática, investigadores universitarios o incluso expertos en ciberdefensa, en función del sector de actividad de la empresa y de las cuestiones en juego.
Reforzar la comunicación interna
Debe informarse periódicamente a los empleados de las noticias relacionadas con la ciberseguridad, tanto si afectan directamente a su empresa como si no. Dar ejemplos concretos de incidentes y sus consecuencias es una buena forma de sensibilizar.
Por ejemplo, los ataques de spear phishing están aumentando actualmente y afectan cada vez a más organizaciones. Este tipo de ciberataque se dirige específicamente a un empleado de la empresa con acceso a información sensible. Generalmente, este proceso se basa en la suplantación de identidad y una fuerte ingeniería social. El objetivo del hacker es enviar un correo electrónico coherente con la actividad de la persona o empresa a la que se dirige, animándola a hacer clic en un enlace malicioso o a abrir un archivo adjunto infectado. De este modo, pueden conocerse los datos del empleado. La tasa de éxito del spear phishing es elevada y preocupante. Es esencial comunicar este tipo de información a los empleados por correo electrónico, a través de una red social corporativa o en un registro interno. Estas comunicaciones pueden ir acompañadas de una serie de medidas prácticas que pueden adoptarse para evitar ser sorprendido.
Además, en caso de incidente, los empleados deben ser capaces de reaccionar rápidamente, sobre todo si su puesto de trabajo está infectado y, por tanto, inutilizable. Para ayudarles, se pueden imprimir y distribuir con antelación «fichas SOS» que cubran diferentes problemáticas encontradas (por ejemplo: «He hecho clic en un enlace perjudicial, ¿qué debo hacer?»). Los empleados encontrarán en ellas los datos de contacto del servicio de asistencia y algunas acciones sencillas que pueden llevar a cabo mientras esperan ayuda. Estas fichas son especialmente útiles para los empleados que teletrabajan, que están más solos en cuestiones de seguridad.
Realizar campañas de prueba
Por último, no hay nada como un (falso) ciberataque para concienciar. Las campañas de prueba de ciberseguridad conciernen a toda la empresa y tienen un doble objetivo: mostrar a los empleados que podrían verse afectados por ataques y medir su nivel de vigilancia. Por lo general, se organizan campañas de phishing, ya que este tipo de ataque por correo electrónico sigue siendo el más común. Al final de estas campañas de prueba, y en función de los resultados, habrá que proponer a los empleados módulos de formación complementarios.
Tres precauciones esenciales para concienciar sobre la ciberseguridad
Aprovechar al máximo la diversidad de acciones
Sacar tiempo para formarse no siempre resulta fácil, y la mayoría de los empleados se resisten a formarse en ciberseguridad. La clave, por lo tanto, es diversificar las formaciones, para abordar el tema desde diferentes ángulos, difundiendo información concreta y práctica. Sin olvidar los aspectos pedagógicos y lúdicos.
Adaptar la sensibilización a las profesiones específicas
Es importante que los empleados aprendan técnicas para protegerse, pero también y sobre todo que sean conscientes de que hoy en día todo el mundo es un objetivo más para los hackers. Es necesario sensibilizar al conjunto de los trabajadores al mismo tiempo que a los distintos perfiles profesionales.
Reforzar la formación de los teletrabajadores
Aunque todos los empleados necesitan formación en seguridad informática, la necesidad es aún mayor en el caso de los teletrabajadores. Desde la llegada del teletrabajo, los ciberataques se han disparado, y también su coste para la empresa. A las empresas les conviene maximizar la formación de los teletrabajadores, así como su asistencia a distancia en caso de incidente.