Inicio
Inicio
Solicite una demostración

Los cuatro pilares de la concienciación sobre la ciberseguridad

Compartir
  • Palo Stacho - Cofundador de Lucy Security, adquirida por la división empresarial de ThriveDX

El 95 por ciento de los ataques en línea contra organizaciones que tienen éxito requieren la participación involuntaria o intencionada de los empleados de esa organización (la mayoría de las veces son participantes involuntarios / involuntarios en algo que ni siquiera saben que está ocurriendo). 

Este artículo esboza lo que hay que hacer para asegurar el comportamiento de los empleados. Además, expone los cuatro (4) pilares de los criterios de éxito de dicho plan. Al fin y al cabo, si no podemos medir la eficacia de un programa, ¿cómo podemos saber si funciona?

Los cuatro pilares de la concienciación sobre ciberseguridad

La concienciación NO es (sólo) formación

Muchas empresas piensan que las medidas de concienciación en materia de ciberseguridad consisten en impartir formación sobre seguridad informática. Sin embargo, esto no es del todo exacto. Hace ya 25 años, el NIST estableció el siguiente principio, que sigue siendo válido hoy en día: 

"La concienciación no es sólo formación. El objetivo de las presentaciones de concienciación es simplemente llamar la atención sobre la seguridad".

Por tanto, se trata de un comportamiento fundamentalmente seguro por parte de todos los empleados de una organización. 

Entonces, ¿cómo se pone en práctica la concienciación sobre la ciberseguridad? Basándonos en una combinación de cientos de proyectos de concienciación en ThriveDX junto con el análisis de datos de un estudio globalhemos podido deducir las mejores prácticas de concienciación en materia de ciberseguridad. La mejor manera de conseguir una respuesta sostenible de los empleados y un comportamiento cada vez más seguro en el trato con Internet y el correo electrónico es con la ayuda de:

 

  1. Simulaciones de ataque
  2. Formación en seguridad informática
  3. Un "botón de denuncia de phishing" y con
  4. Evaluaciones de la infraestructura del ordenador de trabajo

Simulaciones de ataques

Estas simulaciones, a menudo también llamadas phishing, smishing y vishing son la forma más eficaz de concienciar sobre los riesgos cibernéticos. La gran ventaja de estas campañas de simulación es su carácter realista. Sin embargo, hay que tener cuidado de que, por ejemplo, los correos electrónicos de una simulación de phishing se adapten al contexto de la organización y se escriban también en el "lenguaje de la empresa". Hoy en día, la mayoría de los empleados no prestan atención a un simple escenario de phishing o smishing del tipo "Le regalamos una tableta". Por otro lado, los intentos de phishing deben ser siempre reconocibles como tales. Hemos descubierto que las sofisticadas campañas de phishing que atrapan a muchos empleados pueden tener "momentos de aprendizaje", pero por lo demás corren el riesgo de ser demasiado inteligentes a medias y, en general, contraproducentes.

Formación en seguridad informática

Aunque la formación en seguridad informática presenta menos situaciones de la "vida real" y, por tanto, es menos eficaz, el valor de este módulo de formación en el mercado es indiscutible. Construye y refuerza los conocimientos teóricos de los empleados. Los diplomas de formación sirven como prueba de la formación y también pueden utilizarse para las evaluaciones individuales de aprendizaje. Esto es particularmente útil en el espacio legal del GDPR, donde las simulaciones de ataques se realizan a menudo de forma anónima, sin implicar a ningún individuo. Al no revelarse las víctimas, no se pueden sacar conclusiones sobre el individuo.

El "botón de denuncia de phishing

Los llamados botones de phishing son una herramienta de seguridad informática sencilla pero increíblemente eficaz. En esencia, proporcionan a los empleados un botón eficiente "de una sola pulsación" para informar de correos electrónicos sospechosos. . Estos son analizados posteriormente por el equipo de infoseguridad y el empleado recibe una respuesta sobre la criticidad del mensaje denunciado. Esto fomenta el compromiso individual, activando el "cortafuegos humano". El departamento de TI se beneficia de los informes cualificados sobre correos sospechosos, mientras que los empleados más débiles ganan mucha más seguridad en su trabajo diario. Es importante que el empleado reciba una respuesta a sus mensajes. Si esto no ocurre, el compromiso y la dedicación de los empleados decaen.

Evaluación de la infraestructura de los ordenadores de trabajo

La concienciación en materia de ciberseguridad no sólo afecta a la persona, sino también a su ordenador de trabajo. Si se quiere obtener una visión de 360º sobre la concienciación y la seguridad de los empleados, tienen sentido las simulaciones de malware y las pruebas de filtro de correo y de web en el ordenador del empleado. Una simulación de malware responde a preguntas del administrador del sistema como "hasta dónde podría llegar un ataque de ransomware en el ordenador posiblemente infectado y en la red de la empresa". De este modo, se pueden detectar y cerrar/mitigar las vulnerabilidades. La prueba de los filtros de correo y de la web responde a la pregunta del administrador: "¿Qué archivos adjuntos de correo electrónico pasan por los filtros de seguridad de la empresa? También en este caso se pueden identificar mejor los riesgos. Sobre la base de estos resultados, también es posible llevar a cabo simulaciones de phishing basadas en archivos con las mismas extensiones de archivo para reducir el riesgo mediante la formación del personal.

Estado de la aplicación de las medidas de concienciación sobre ciberseguridad en la práctica

En un amplio estudio, se encuestó a unos 1900 especialistas sobre el uso de medidas de concienciación en 2022. Revela que las simulaciones de ataques -especialmente las de phishing- han alcanzado a la formación de concienciación. Los botones de incidentes de phishing fueron utilizados por menos de la mitad de los encuestados y el uso de las evaluaciones de la infraestructura no es evidente.

En conclusión,si se quiere llevar a cabo una concienciación holística en materia de ciberseguridad, hay que apoyarse en los 4 pilares simulaciones de ataque, formaciones en seguridad informática, botón de phishing y evaluaciones de la infraestructura.

 

En ThriveDX, le ayudamos a reorientar a los empleados para que esos gastos ahorrados vuelvan a su cuenta de resultados. Si está interesado en saber más sobre cómo las soluciones de ThriveDX pueden adaptarse a su empresa, estaremos encantados de hablar de ello con más detalle.

La mejor formación de concienciación sobre la seguridad para los empleados: Guía de aprendizaje electrónico

Palo Stacho ha sido empresario, orador público y líder de opinión en el sector de las tecnologías de la información. Tiene un Diploma Federal Suizo en Informática y un posgrado en Gobierno Corporativo de la HSG. Tras pasar varios años trabajando en ciberseguridad, Palo se unió a Lucy Security como cofundador para ayudar a construir la empresa en 2015. Como gestor de proyectos y consultor de soluciones, Palo tiene experiencia en docenas de proyectos de concienciación sobre ciberseguridad, ya sea en Lufthansa, Bosch, Mobiliar Insurance, OMV, Swisscom y otros. En 2022, Lucy Security fue adquirida por la división empresarial de ThriveDX y ha permanecido como asesor de la empresa.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido