Empleados y seguridad virtual de la información: ¿Qué deben saber las empresas?

Expertos en ciberseguridad coinciden en que el punto más débil de la seguridad de la información de una empresa son sus empleados. Entonces, ¿qué debe hacer las empresas en cuanto a la seguridad virtual? Si las organizaciones prescinden de un equipo de colaboradores conscientes de su vulnerabilidad, estarán siempre expuestas, aun cuando tomen acciones frente a las amenazas.

En este orden de ideas, podría afirmarse que las organizaciones se preocupan por los malwares, virus o vulnerabilidades que pueden sufrir sus sistemas y buscan protegerse a través de antivirus, firewalls, protección IP u otros métodos de bloqueo, pero se les olvida tener en cuenta el error humano como el riesgo principal.

¿Qué acciones de los empleados afectan la seguridad virtual de la organización?

Los empleados, la mayoría de las veces por desconocimiento, dejan su información al descubierto de diferentes maneras:

  • Abren correos electrónicos con una imagen aparentemente confiable.
  • Dan clic en links de ofertas a su nombre.
  • Envían información a su correo personal.
  • Escriben claves, contraseñas y números de cuentas bancarias en papeles que luego tiran a la basura (Phttps://www.forcepointblog.com/sa/blog/ciberseguridad-amenazas-vs-comportamiento-humano (práctica denominada dumpster diving).
  • Imprimen hojas con información confidencial en fotocopiadoras expuestas en pasillos.
  • Hacen mal uso de sus credenciales.
  • Ingresan y salen con dispositivos electrónicos de la compañía.
  • Dan información a un visitante sin darse cuenta.

Medidas preventivas para garantizar la seguridad virtual

Estos son algunos métodos para aumentar la seguridad virtual de las organizaciones.

1. Talleres de concienciación a largo plazo a través de plataformas

Seguramente su compañía ha realizado jornadas de seguridad virtual en las que se advierte sobre el uso de contraseñas, el comportamiento en la nube, la accesibilidad restringida a algunos usuarios o se dan recomendaciones para maniobrar los dispositivos de manera óptima.

Sin embargo, para Iván Ocampo, jefe nacional de ciberseguridad e informática forense del Grupo Atlas, estas capacitaciones, de momento, no tienen ningún efecto en la adopción de nuevos hábitos en pro de una cultura organizacional fuerte en ciberseguridad.

Por lo tanto, las empresas requieren de un plan de concienciación en seguridad de la información a largo plazo que incluya, además del equipo de seguridad informática, todas las áreas y departamentos.

Ante este escenario, la empresa de seguridad colombiana creó Atlas Cyber, una plataforma online que capacita a los empleados para evitar ser objetivo de ataques cibernéticos a través de actividades, campañas y pruebas durante todo un año.

Por medio de herramientas de educación, evaluación y auditoría, se hace un seguimiento continuo a los colaboradores para verificar que las lecciones sean aprendidas; de esta manera, se garantiza su efectividad.



2. Simulacros o simulaciones de ataques cibernéticos

Una manera de estar alerta y mantener la seguridad virtual es realizar simulaciones de los ataques de ciberseguridad más comunes.

El 97 % de los ataques informáticos corresponden al uso de técnicas de ingeniería social, mediante las cuales se hace una manipulación psicológica a los usuarios para que entreguen información de forma inconsciente.

Por sus características, estas son ideales para llegar a sus empleados y obtener las credenciales que protegen su información. Algunas de ellas son:

  • Phishing: suplantación de la identidad de una empresa, para usarla en un portal, correo electrónico, perfil social o mensaje de texto para robar información.
  • Vishing: suplantación de la identidad de compañías de servicios, gobierno u otra entidad para engañar a la víctima a través de llamadas telefónicas de manera que revele información privada.
  • Pretexting: creación de un escenario creíble para que la víctima dé acceso a su ordenador y así captar información o instalar un malware.

Ejemplo de simulación de phishing

Una simulación de phishing podría ser enviar al correo electrónico de todos sus colaboradores un comunicado aparentemente confiable de la entidad financiera en la que reciben su pago de nómina.

El correo confirmará la realización de una transacción exitosa, pero para su verificación se debe hacer clic en un botón o enlace.

Este tipo de simulacros se realizan, por lo general, a través de una empresa de seguridad de la información. Los expertos que aplican la prueba pueden comprobar qué empleados fueron engañados, hicieron clic o abrieron un archivo.

Así se podrá identificar cuáles son los puntos más vulnerables y en qué temas se debe trabajar.

 

 

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER