¿Su organización toma en serio la seguridad? ¿Sus usuarios saben cómo defenderse de los ataques de ingeniería social? ¿Los dispositivos portátiles de su organización tienen habilitado el cifrado de datos? Si respondió "no" o "no sé" a cualquiera de estas preguntas, entonces su organización no está brindando una buena capacitación de concienciación sobre seguridad.
Wikipedia define la conciencia de seguridad como el conocimiento y la actitud que poseen los miembros de una organización con respecto a la protección de los activos físicos y de información de la organización.
En pocas palabras: los labios sueltos hunden los barcos. Esa es realmente la esencia de lo que se trata la conciencia de seguridad, Charlie Brown.
Si usted es responsable de los activos de información de su organización, entonces definitivamente debe desarrollar e implementar un programa de capacitación en conciencia de seguridad. El objetivo debe ser hacer que sus empleados estén conscientes del hecho de que hay personas malas en el mundo que quieren robar información y dañar los recursos de la organización.
Un buen programa de capacitación sobre concienciación sobre la seguridad inculcará un sentido de orgullo en la propiedad de los datos y recursos de su organización. Los empleados verán las amenazas a su organización como amenazas a sus medios de vida. Un mal programa de entrenamiento de conciencia sobre la seguridad hará que las personas paranoicas y resentidas.
Veamos algunos consejos para crear un programa efectivo de capacitación en concientización sobre seguridad:
Educar a los usuarios sobre los tipos de amenazas del mundo real que pueden encontrar
La capacitación en concientización sobre seguridad debe incluir educar a los usuarios sobre conceptos de seguridad como reconocer ataques de ingeniería social, ataques de malware, tácticas de suplantación de identidad (phishing) y otros tipos de amenazas con las que es probable que se encuentren. Visite nuestra página de Lucha contra la ciberdelincuencia para obtener una lista de amenazas y técnicas de cibercrimen.
Enseñar el arte perdido de la construcción de contraseñas
Si bien muchos de nosotros sabemos cómo crear una contraseña segura, todavía hay muchas personas que no se dan cuenta de lo fácil que es descifrar una contraseña débil. Explique el proceso de descifrado de contraseñas y cómo funcionan las herramientas de descifrado fuera de línea, como las que usan Rainbow Tables. Es posible que no entiendan todas las especificaciones técnicas, pero al menos verán lo fácil que es descifrar una contraseña mal construida y esto podría inspirarles a ser un poco más creativos cuando sea el momento de crear una nueva contraseña.
Enfoque en la protección de la información
Muchas compañías les dicen a sus empleados que eviten hablar de los asuntos de la compañía mientras están almorzando porque nunca se sabe quién puede estar escuchando, pero no siempre les dicen que vean lo que dicen en los sitios de redes sociales. Una simple actualización de estado de Facebook acerca de lo loco que está de que el producto en el que está trabajando no se publique a tiempo podría ser útil para un competidor que pueda ver su publicación de estado, en caso de que su configuración de privacidad sea demasiado permisiva. Enseñe a sus empleados que los tweets perdidos y las actualizaciones de estado también hunden los barcos.
Las compañías rivales pueden rastrear las redes sociales en busca de empleados de su competencia para obtener la ventaja sobre la inteligencia de productos, quién está trabajando en qué, etc.
Los medios sociales siguen siendo una frontera relativamente nueva en el mundo de los negocios y muchos gerentes de seguridad están teniendo dificultades para lidiar con eso. Los días de solo bloquearlo en el firewall de la compañía han terminado. Las redes sociales son ahora una parte integral de los modelos de negocios de muchas empresas. Eduque a los usuarios sobre lo que deben y no deben publicar en Facebook, Twitter, LinkedIn y otros sitios de redes sociales.
Respalde sus reglas con posibles consecuencias
Las políticas de seguridad sin dientes no valen nada para su organización. Obtenga la participación de la administración y cree consecuencias claras para las acciones o la inacción del usuario. Los usuarios deben saber que tienen el deber de proteger la información que se encuentra en su poder y hacer todo lo posible para evitar que se dañe.
Hágales saber que existen consecuencias civiles y penales por divulgar información confidencial y de propiedad exclusiva, alterar los recursos de la empresa, etc.
No reinventar la rueda
No tienes que empezar de cero. El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha escrito literalmente el libro sobre cómo desarrollar un programa de capacitación para la conciencia de la seguridad, y lo mejor de todo es que es gratis. Descargue la Publicación especial 800-50 de NIST - Creación de un programa de capacitación y concientización sobre la seguridad de la tecnología de la información para aprender a crear el suyo propio.
