Riesgos para los empleados: Cómo reforzar un comportamiento seguro en IT
Desde políticas más estrictas hasta pruebas más frecuentes, hemos esbozado las formas de mantener a los equipos debidamente alineados en materia de ciberseguridad.
Ninguna empresa está exenta del error humano. Ya se trate de procesar documentos judiciales con prisas, de actualizar un plan de clases en una escuela o de enviar por correo electrónico documentos de reestructuración empresarial, todos somos susceptibles de cometer algún error ocasional. Sin embargo, como hemos comentado recientemente, los errores de los empleados (también conocidos como amenazas internas) pueden dar lugar a graves violaciones de datos, con repercusiones perjudiciales tanto para la empresa como, potencialmente, para los clientes a los que se presta servicio.
Por suerte, hoy en día todos tenemos acceso a la tecnología más avanzada, que, si se configura correctamente, ofrece capas de defensa añadidas a nuestra postura de seguridad. Pero, además de la tecnología, las pequeñas y medianas empresas (pymes) deberían pensar en el nivel de formación de sus empleados sobre los riesgos de la ciberseguridad, y reforzar un comportamiento informático seguro siempre que sea posible. Encuestamos a 5.770 responsables de TI de pymes de toda Europa, y un tercio (28%) citó la falta de conocimientos o formación de los empleados como motivo de una mayor preocupación por la seguridad informática.
Antes de adentrarnos en las formas de reforzar un comportamiento informático seguro, analicemos por qué algunos empleados pueden ser candidatos más propensos que otros a sufrir amenazas internas.
Escala de riesgo para los trabajadores
Sus procedimientos actuales de formación en cyberseguridad y la diligencia general de sus empleados contribuirán a un comportamiento informático seguro. Sin embargo, algunos empleados supondrán un riesgo mayor. Los contratistas pueden no estar tan inmersos en las políticas de seguridad de la empresa como los empleados fijos y, por lo tanto, es posible que no conozcan todas las obligaciones más recientes. Los nuevos empleados, a medida que se acostumbran a múltiples sistemas, o revisan los correos electrónicos de remitentes de los que aún no recuerdan los nombres, podrían ser un objetivo.
El Hybrid work también es un factor de riesgo. ¿Los equipos están en constante movimiento o los individuos trabajan a menudo desde una cafetería local? Conectarse a redes externas y trabajar en espacios públicos podría ir en contra de las prácticas de seguridad habituales. Entonces, ¿cómo puede asegurarse de que todos los miembros de su empresa están alineados y adoptan un comportamiento informático seguro?
Consejos para reforzar la seguridad informática
Dar prioridad a la educación en ciberseguridad
Todo el personal, desde los empleados que trabajan a tiempo completo en la oficina hasta los que transportan mercancías desde y hacia un centro, debe estar informado sobre los niveles de riesgo. Por ejemplo, los programas maliciosos pueden infiltrarse en los sistemas de su empresa para interrumpir las operaciones, y los empleados pueden no saber que la descarga de software externo en los sistemas de la empresa puede dar a los ciberdelincuentes una vía de entrada.
El personal y los contratistas deben saber cómo identificar los ataques de phishing. Si un empleado recibe de repente una solicitud urgente de información personal, o instrucciones para ponerse en contacto con el remitente a través de una llamada telefónica o un mensaje instantáneo, esto debería despertar sospechas al instante. Los empleados deben recibir formación periódica sobre cómo identificar y responder a estos incidentes, incluido cómo analizar la dirección o el número del remitente y elevarlo automáticamente a los departamentos de TI. Los procedimientos de formación también deben incluir pruebas de simulación de ataques de phishing y malware, que demuestren la facilidad con la que un empleado puede ser blanco de un ataque y lo susceptible que es de sufrirlo.
Más allá de los ataques de phishing, la formación en seguridad de los empleados debe explorar temas como los ataques de smishing (mensajes de texto engañosos), los ataques de ingeniería social, el uso de las redes sociales, el intercambio seguro de archivos y la navegación segura por Internet.
Get strict with your cybersecurity policies
Cabe señalar que en el 74% de las brechas interviene un elemento humano. Y de los responsables de TI encuestados, un tercio (30%) está ahora más preocupado por los riesgos tecnológicos de seguridad debido al trabajo híbrido. Por lo tanto, es más importante que nunca implantar políticas cibernéticas sólidas, con una comunicación firme y transparente de arriba abajo.
Esto incluye garantizar que los empleados sepan cómo utilizar correctamente los dispositivos y sistemas de la empresa. Resulta alarmante que, según nuestro estudio, tres cuartas partes (76%) de la formación en seguridad de las pymes no cubra el uso de impresoras o escáneres, a pesar de la importancia de formar a los empleados sobre cómo utilizar estos dispositivos de forma segura.
Las políticas de ciberseguridad también deben incluir instrucciones claras sobre el uso de redes Wi-Fi públicas. Esto se debe a que las conexiones inseguras pueden dar lugar a ataques dañinos de malware, e incluso un empleado que se conecte para enviar unos cuantos correos electrónicos rápidos puede causar daños accidentalmente.
Además de esto, su política debe animar a los empleados a utilizar las VPN de la empresa y a configurar la autenticación multifactor (MFA) para una capa de identificación adicional durante el inicio de sesión. Además, debe advertir contra el acceso a plataformas relacionadas con el trabajo a través de dispositivos personales y recordar a los empleados que nunca compartan contraseñas.
Manténgase informado sobre los riesgos para los trabajadores
Nada de lo anterior puede ejecutarse eficazmente si los responsables políticos y los propios departamentos de TI no están bien informados sobre los últimos riesgos. Por supuesto, amenazas como los nuevos empleados o los que abandonan la empresa son perennes. Sin embargo, es importante estar al tanto de las amenazas emergentes, como el trabajo con nuevos contratistas o el uso por parte de los empleados de aplicaciones de terceros no reguladas.
Al mismo tiempo, los directivos deben fomentar un entorno de trabajo en el que el personal informático pueda recibir formación sobre ciberseguridad. También se debe animar a los empleados a que cuestionen o informen de cualquier problema de seguridad para que pueda ser resuelto, ya que esto puede ayudar a difundir la concienciación general sobre los tipos de amenazas a las que hay que estar atentos.
Tecnología y concienciación sobre los riesgos
La eficacia de su seguridad informática depende de su personal. Sin embargo, los directivos de las empresas y los profesionales de TI deben prestar mucha atención a cómo la tecnología puede ayudar a los trabajadores a prevenir los errores humanos.
Un tercio de los responsables de TI no confía especialmente (14%) o no confía (15%) en que los empleados tengan un conocimiento adecuado de los riesgos de seguridad informática. Pero esto no tiene por qué ser así. Siguiendo nuestros consejos, los empleados y contratistas pueden ampliar sus conocimientos sobre el panorama de riesgos y las implicaciones de sus acciones.
Para una capa adicional de apoyo, Sharp ofrece una familia completa de soluciones y servicios de seguridad a medida para mantener a las pymes protegidas de los errores humanos.
Find out more about how our Security services and solutions can support your business.