Inicio
Inicio
Solicite una demostración

Conocimientos de ciberseguridad que todo empleado debe tener

Compartir
  • Cayley Wetzig, Jefe de Comunicaciones de Marketing

A medida que aumentan los ataques de la ciberdelincuencia, también aumenta la importancia de la ciberseguridad. La tecnología conectada expone cada vez más a las empresas a mayores riesgos, y ninguna empresa, grande o pequeña, es inmune a los ciberataques. ¿Cuáles son los principales conocimientos de ciberseguridad que debe tener todo empleado?

Tanto si le interesan los productos "imprescindibles" como las sugerencias más sólidas e innovadoras en materia de ciberseguridad, a continuación le ofrecemos información al respecto.

 

Argumentos a favor de la ciberseguridad en 2023

Según Statista2021 ha sido el peor año registrado, desde 2005, en lo que respecta al riesgo de pérdida de datos en Estados Unidos. Datos similares sitúan 2022 como el año más costoso hasta la fecha para las organizaciones estadounidenses, en términos de impacto financiero derivado de las filtraciones de datos.

Las empresas que sufren una violación no sólo se enfrentan a un daño potencial para su reputación. También se enfrentan a la perspectiva de importantes costes para su cuenta de resultados.

IBM destacó cómo el coste medio de una violación de datos ha aumentado hasta situarse en torno a los 4,35 millones de dólares en 2022.

¿Cree que no afectará a su organización? Se equivocaría casi siempre.

Para la gran mayoría de las organizaciones, no se trata de si se verán afectadas, sino de cuándo. Nombra una marca y lo más probable es que haya sufrido una brecha.

Esto incluye a Google, Microsoft, Apple y muchos otros grandes nombres de la tecnología, que ya disponen de miles de millones para invertir en ciberseguridad.

Está claro que es imperativo contar con las mejores medidas y procesos de ciberseguridad para prevenir las ciberamenazas y minimizar el riesgo de costosas infracciones.

También es crucial rectificar las infracciones lo antes posible, ya que los costes aumentan día a día si no se resuelven. Una brecha de seguridad media le cuesta a su empresa 7,20 dólares por minuto sin resolver.

Tanto si trabajas para una pyme como para una gran empresa, estas son las mejores habilidades y prácticas de ciberseguridad que debes conocer en 2023 y más allá.

Ampliación de la legislación

Cabe señalar que las amenazas a la ciberseguridad van de la mano de una legislación sobre privacidad de datos que se extiende rápidamente y que regulará aún más la forma en que su empresa maneja sus datos.

La actual legislación estadounidense sobre privacidad de datos es una combinación de leyes federales y estatales que ofrecen protecciones específicas a determinados grupos de personas o empresas.

Sin embargo, California ha promulgado recientemente la Ley de Privacidad del Consumidor de California, que aumenta el escrutinio sobre las empresas y la forma en que manejan -y protegen- sus datos. Leyes similares han surgido en Colorado, Connecticut, Virginia y muchos otros estados.

Los legisladores se están dando cuenta rápidamente de la importancia de endurecer las leyes de privacidad de datos a raíz del GDPR europeo y de las infracciones a gran escala, como se vio con Clearview AI. No es una tendencia de la que quieras quedarte atrás.

¿Cuáles son las mejores prácticas de ciberseguridad para las empresas?

La ciberseguridad es un tema complejo, y existen herramientas de protección del consumidor para proteger a los particulares, e infraestructuras de redes corporativas y software para proteger a las empresas.

También hay algunos puntos en común. Por ejemplo, las personas deberían emplear herramientas como la autenticación multifactor tanto en su vida personal como laboral. Más adelante hablaremos de ello con más detalle.

Si es un experto en ciberseguridad, visite nuestro blog para leer más prácticas recomendadas innovadoras.

1. Uso de la autenticación multifactor

La autenticación multifactorial, a menudo llamada MFA (por sus siglas en inglés) o autenticación de dos factores (2FA), es la práctica de pedir a las personas que se verifiquen a sí mismas a través de un segundo medio además de su nombre de usuario y contraseña habituales.

La MFA es un método de seguridad sencillo pero eficaz. Incluso en el caso de que un atacante haya conseguido adivinar su contraseña (es decir, mediante un ataque de ataque de fuerza bruta) o la haya obtenido mediante un ataque de phishing o malware, existe una capa adicional de seguridad que le impide acceder al sitio.

La mayoría del software MFA utiliza un smartphone como medio secundario de autenticación. Aunque el correo electrónico es una opción, suele ser menos segura. La probabilidad de que un atacante obtenga tanto tus credenciales y y su dispositivo personal en un ataque específico y dirigido es mínima o nula.

Otra información utilizada en el AMF puede ser:

  • Información que sólo tú conoces: un PIN, un patrón o una contraseña adicional
  • Biometría: su iris/retina, su cara o una huella dactilar
  • Algo que tienes físicamente en tu posesión: un dongle USB, o un teléfono
 

Según Microsoft, MFA bloquea el 99,9% de los ciberataques automatizados a sus sistemas. Por tanto, la autenticación multifactor es una herramienta que usted y sus empleados deberían utilizar, además de en su vida personal.

competencias en ciberseguridad, competencias para la ciberseguridad

2. Imponer contraseñas seguras

El meteórico aumento de los ciberataques ya es bastante chocante. Pero casi más sorprendente es la grave falta de seguridad de las contraseñas que aún se practica en gran parte del mundo.

Una cuarta parte de los estadounidenses sigue utilizando una contraseña como "abc123," "111111," "Admino "Qwertyentre otros. Al otro lado del charco, la situación no es muy diferente: según el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, 23,2 millones de víctimas de la ciberdelincuencia utilizaban "123456" como contraseña.

En resumen, todos estos datos son cruciales porque nos dicen que no puedes confiar necesariamente en que tus empleados elijan una contraseña segura. En su lugar, deberías definir una política de contraseñas seguras, como hacen ahora la mayoría de empresas y servicios, que exija a los usuarios:

  • Especifique una contraseña de longitud mínima
  • Elija una contraseña que no utilice caracteres repetidos
  • Utilizar caracteres alfanuméricos y símbolos en su contraseña
  • Cambiar su contraseña con regularidad, de acuerdo con los plazos establecidos.
 

Los gestores de contraseñas seguras pueden añadir una capa adicional de resistencia, almacenando todas tus contraseñas detrás de una única contraseña maestra protegida por MFA. Por eso es, de nuevo, una solución perfecta tanto para empleados como para particulares en su vida personal.

3. Formación sobre ciberseguridad

Imagine una situación en la que uno de sus empleados ha tenido problemas para conciliar el sueño y, como consecuencia, está agotado. Al acceder a su bandeja de entrada de correo electrónico a primera hora de la mañana, ve un correo importante de un cliente con una factura adjunta, que requiere atención inmediata.

En realidad, ese correo electrónico se hacía pasar por un cliente, y la factura es un archivo de malware .exe (ejecutable) que se propaga rápidamente por tu red, permitiendo a terceros acceder a tus datos más sensibles, o algo peor. Basta un despiste y un solo clic.

Estos escenarios no son en absoluto descabellados. La suplantación de identidad suele ser la principal causa de filtración de datos, y toda la plantilla debe ser consciente de los riesgos.

Aquí es donde las habilidades de seguridad cibernética, y específicamente, la formación en ciberseguridad, entra en juego. Además de simulaciones realistas de phishing, este tipo de formación asesorará a sus empleados sobre otros riesgos importantes, como los ataques de ingeniería social y las amenazas internas.

4. Vigilancia de las amenazas internas

Las amenazas internas son exactamente lo que su nombre indica: personas integradas en su organización que pueden suponer un riesgo para su seguridad. Las amenazas internas pueden ser involuntarias y accidentales, o malintencionadas.

Por ejemplo, si un empleado es objeto de un ataque de ingeniería social, en el que un actor malintencionado le obliga a entregar información confidencial de la empresa, podría proporcionar a los ciberdelincuentes una vía para burlar sus defensas. Este es otro caso de uso de la formación en ciberseguridad.

Proteger sus instalaciones físicas también es crucial, ya que en una situación similar un empleado podría ayudar a un tercero a eludir los puntos de entrada seguros. Los locales deben estar debidamente protegidos mediante puntos de acceso seguros, además de estar vigilados siempre que sea posible, y debe poder accederse a un registro de auditoría en caso de infracción.

5. Garantizar actualizaciones y parches a tiempo

Los ciberdelincuentes suelen explotar debilidades en software y programas que han sido parcheados con una corrección de seguridad. En 2017, por ejemplo, Equifax sufrió una importante brecha de datos que comprometió la información de 143 millones de usuarios, porque la organización no actualizó su marco de servidor de código abierto, a pesar de que había un parche disponible.

Se trata de un problema que sigue asolando a las organizaciones en la actualidad. En 2022, muchas de las vulnerabilidades más explotadas (Log4Shell, ProxyShell, ZeroLogon, por ejemplo) no eran nuevos descubrimientos; estas vulnerabilidades se descubrieron hace al menos un año.

¿Por qué? Aunque esta práctica parece sencilla, puede ser difícil de poner en práctica si se dispone de muchos dispositivos diferentes, cada uno con una serie de programas distintos y software variado. Peor aún, la revolución del trabajo desde casa que hemos visto desde COVID-19 ha aumentado enormemente el número de dispositivos personales que acceden a las redes de la empresa. Por eso es crucial contar con una práctica adecuada de gestión de parches en su empresa.

Asegúrese de comprobar periódicamente si hay actualizaciones y dedique algo de tiempo a instalarlas en cuanto estén disponibles. Su política informática debe garantizar que los empleados no puedan retrasar indefinidamente la gestión de parches; envíe recordatorios periódicos y revoque el acceso tras un plazo determinado si no se ha aplicado el parche de seguridad.

6. Implantación de la gestión de identidades y accesos (IAM)

La implantación de la IAM es muy importante para garantizar una práctica adecuada de la ciberseguridad en toda la empresa. La IAM consiste esencialmente en garantizar que solo las personas adecuadas en el momento adecuado tengan acceso a la información crítica de la empresa.

Para ello, la IAM tiene tres funciones principales:

  • IdentificaciónEl usuario que solicita la información debe poseer una identidad que demuestre que tiene derecho a la información.
  • Autenticación: el proceso de demostrar la identidad y si el titular de la identidad tiene derecho a la información solicitada.
  • Autorización: Determina si el propietario de la identidad está autorizado a acceder a la información, así como su nivel de permisos.
 

Una buena infraestructura IAM es muy importante para garantizar que la empresa disponga de un entorno seguro y, al mismo tiempo, reducir el coste de la ciberseguridad. Elimina la necesidad de invertir en equipos y soluciones de software, y minimiza el riesgo de costes financieros.

7. Aplicación de un enfoque de la seguridad basado en los riesgos

Las prácticas de cumplimiento normativo de las que hemos hablado anteriormente no siempre bastan por sí solas para proteger sus datos y su ciberseguridad en general. Cada empresa e industria tiene sus propios riesgos, únicos y a menudo ocultos. Por lo tanto, centrarse en el cumplimiento y simplemente satisfacer todos los requisitos mínimos estándar de cualquier sector puede no ser suficiente.

Preste atención a los riesgos únicos a los que está expuesta su empresa en términos de ciberseguridad. Por ejemplo:

  • Los acreedores y otras organizaciones de servicios financieros corren un mayor riesgo de fraude, que cada vez es más fácil gracias a la gran cantidad de información personal que se comparte en línea y al auge de determinados programas informáticos, como la tecnología de reconocimiento facial, muy poco regulada.
  • Los fabricantes militares deben tener cuidado con el aumento del riesgo de amenazas internas, que podrían incluir la manipulación algorítmica por parte de agentes malintencionados.
 

Puede que tenga que aplicar una evaluación de riesgos para comprender plenamente su exposición. En general, sin embargo, debe identificar sus activos más valiosos que son vulnerables a las amenazas de ciberseguridad y el estado actual de la ciberseguridad en su empresa.

Identifique los puntos más débiles de sus prácticas de ciberseguridad y ajústelas en consecuencia. Además, mantente al tanto de las últimas técnicas y métodos de pirateo que surjan, así como de cuándo hay nuevas medidas de seguridad disponibles que puedan adoptarse en tu ecosistema de ciberseguridad.

8. Establecer una política para mantener un alto nivel de aptitud en el comportamiento de seguridad, de las funciones individuales, mediante la formación a través de la práctica.

Reforzar continuamente los conocimientos existentes y aumentar simultáneamente los conocimientos que conducen a un mayor nivel de conciencia de la situación. Adoptar la mentalidad del atacante y dar prioridad al aprovechamiento de las vulnerabilidades.

La organización debe estar preparada para librar la lucha que está experimentando en la actualidad, armando la mente de cada miembro de la capa de seguridad humana con el fin de mejorar el rendimiento del comportamiento de seguridad deseado.

9. Utilizar un proveedor de servicios gestionados (MSP)

Incluso con las mejores habilidades de ciberseguridad como prioridad, el error humano, aunque abatable, es inevitable. Los errores de los usuarios finales, principalmente, pueden gestionarse con éxito empleando los servicios de un MSP.

Si utiliza los servicios de un MSP que ofrezca gestión de dispositivos móviles (MDM), podrá localizar o borrar de forma remota la memoria de su dispositivo perdido para evitar cualquier filtración de datos a través del dispositivo perdido.

Los piratas informáticos ejecutan muchos ataques tras obtener información crucial a través de dispositivos perdidos. Si obtiene información sobre la ubicación de su dispositivo, podrá localizarlo manualmente e implicar a las autoridades competentes en estos casos.

10. Establecer y mejorar continuamente la política de ciberresiliencia y copias de seguridad

No se puede garantizar la prevención, por lo que la respuesta rápida y la recuperación de los sistemas de misión crítica son cruciales. La capacidad de recuperar sus datos es el factor que más contribuye a su ciberresiliencia general.

La mayoría de las organizaciones no hacen suficientes copias de seguridad de sus datos y, en consecuencia, no pueden garantizar la integridad, confidencialidad y disponibilidad de sus copias de seguridad.

Resumen

A medida que la tecnología siga avanzando, también lo hará la ciberdelincuencia. Es inevitable.

Por lo tanto, es imperativo que sigamos aplicando las mejores prácticas de ciberseguridad posibles para prevenir ciberataques y violaciones.

Las empresas que no se mantienen al día con las tendencias y soluciones de ciberseguridad se enfrentan a un escrutinio cada vez mayor por parte de los reguladores, y a las crecientes sanciones económicas que de ello se derivan. Pero si sigue las prácticas de esta lista, tendrá muchas más posibilidades de minimizar el riesgo para su organización, su reputación y su cuenta de resultados.

ThriveDX puede proporcionarle toda la formación necesaria que usted y su equipo necesiten para aumentar sus conocimientos de ciberseguridad, cumplir la normativa y estar preparados.

El método de aprendizaje continuo de ThriveDX le da acceso a los mejores programas de formación en seguridadincluyendo la información y la tecnología más recientes que ayudarán a su organización a evitar las ciberamenazas y a sortear los apuros legales. Póngase en contacto hoy mismo para ver cómo podemos ayudarle.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido