Video: Cómo motivar a los profesionales de tu empresa en 10 minutos | Alfonso Alcantara | TEDxLeon (Noviembre 2024)
Mantener a su empresa a salvo de un ciberataque no es tan simple como implementar un software de protección de punto final. Querrá capacitar a todos y cada uno de los empleados para saber qué buscar antes, durante y después del trabajo todos los días. Cosas como el phishing, el robo físico y el spam pueden dañar dramáticamente su negocio.
Hablé con Michael Kaiser, Director Ejecutivo de la Alianza Nacional de Seguridad Cibernética, sobre las muchas formas en que las empresas deberían proporcionar a los trabajadores información y herramientas para mantenerse alertas sobre posibles ataques cibernéticos. Una vez que haya capacitado a su equipo, depende de usted o de su departamento de TI proporcionar el software de compañías como Bitdefender, Kaspersky Lab y Symantec que ayudan a mantener la seguridad de la red y los dispositivos.
1. Ofrecer formación sobre phishing y spam
Business Email Compromise (BEC) ataca a empresas objetivo con mensajes de estafa que extraen información de destinatarios desconocidos. Un excelente ejemplo de un ataque BEC es un correo electrónico fraudulento enviado por alguien que finge ser el CEO de la compañía al departamento de recursos humanos (HR) de la compañía. Sin darse cuenta de que él o ella está siendo estafado, un gerente de recursos humanos voluntariamente envía datos personales de los empleados a un estafador.
Puede capacitar a sus empleados para que busquen estos correos electrónicos o cualquier otro tipo de ataque de spam para que puedan alertar a TI si reciben algo que parece sospechoso. También puede comprar herramientas de capacitación de simuladores de phishing que intentan engañar a sus empleados para que hagan clic en los tipos de correo electrónico incorrectos. Los empleados que hacen clic en correos electrónicos de simulación de ataque obviamente necesitarán capacitación y educación adicional.
2. Crear una política de uso aceptable
Sus empleados no necesariamente deben tener un reinado libre sobre cómo usan los dispositivos de la empresa mientras trabajan. Por ejemplo, enséñeles a qué sitios web tienen permitido ir. Enséñeles qué archivos pueden descargar. Hágales saber qué redes inalámbricas son emitidas por la compañía y seguras para su uso.
Una vez que tenga una política establecida, es importante restablecer periódicamente la política con su equipo. Si no enfatiza constantemente el protocolo aceptable, entonces sus empleados podrían olvidarlo o volverse complacientes.
3. Proporcionar entrenamiento de contraseña segura
"La nueva sabiduría es no cambiar las contraseñas con demasiada frecuencia porque cada vez que se cambian, las nuevas contraseñas se vuelven cada vez más débiles", dijo Kaiser. Por lo tanto, hable con su departamento de TI para obtener una frecuencia de cambio de contraseña razonable (variará de una compañía a otra) y comience a usar esa frecuencia de inmediato.
Además, querrá capacitar a sus empleados para crear contraseñas seguras. Cualquier cosa que contenga más de 7 caracteres, una letra mayúscula, un número y un símbolo debe ser lo suficientemente fuerte como para evitar ataques casuales. Sin embargo, querrá aconsejar a sus empleados que simplemente no cambien uno de esos caracteres cuando se les solicite que creen una nueva contraseña; en cambio, deberían comenzar desde cero con una nueva secuencia de letras, números y símbolos.
4. Enseñe a los empleados a informar problemas
Incluso si su empleado hizo clic o descargó algo que no debería tener, es importante que se informen todas las amenazas. Si hace que sus empleados se sientan seguros al informar infracciones para revertir el daño o evitar la intrusión, entonces su equipo tendrá muchas más probabilidades de presentarse.
"Hay que crear una atmósfera de no culpar donde las personas puedan presentar problemas, incluso si cometieron un error", dijo Kaiser. "Es más importante para la empresa saber que hay un problema potencial de lo que es".
5. Utilice la gestión adecuada de dispositivos
El software de administración de dispositivos móviles (MDM) lo ayudará en caso de que el software deba actualizarse manualmente, un empleado se haya vuelto deshonesto o si necesita limpiar de forma remota un dispositivo perdido o robado. Pero, si su empresa es demasiado pequeña o tecnológicamente poco capacitada para mantener una flota completa de dispositivos, entonces querrá capacitar a sus empleados para que cuiden adecuadamente sus dispositivos, tanto física como digitalmente.
Asegúrese de que sus empleados sepan que necesitan actualizar todo el software cuando haya nuevas actualizaciones disponibles. Estas actualizaciones generalmente contienen correcciones de vulnerabilidad de seguridad. Sin la actualización, la vulnerabilidad continuará existiendo, dando así a los hackers acceso al dispositivo y posiblemente a toda su red.
"Asegúrese de que siempre estén conscientes de la seguridad física de los dispositivos", dijo Kaiser. "Asegúrese de que no estén dejando el dispositivo desatendido y que el dispositivo esté almacenado correctamente cuando esté en un vehículo para que no sea visible". Kaiser también dijo que es importante capacitar a sus empleados para comprender las limitaciones físicas de sus dispositivos. ¿Son impermeables? ¿Son a prueba de polvo? ¿Cuáles son los umbrales seguros de alta y baja temperatura para el dispositivo?
Además, exija que todos los dispositivos que contienen datos de la empresa se codifiquen o abran mediante lectura biométrica. Esta es una regla simple que todos deben seguir, incluso con dispositivos personales, pero vale la pena reiterarla para sus empleados más ingenuos o tercos.
6. Dar acceso remoto y entrenamiento de Wi-Fi
Si le preocupa la seguridad (que debería ser absolutamente), configure una red privada virtual (VPN) de inmediato. Si algún empleado trabaja de forma remota, entonces él o ella debería estar usando esa VPN en todo momento para todas las actividades.
También debe instituir políticas y procedimientos sobre cómo los empleados usan Wi-Fi cuando están fuera de la oficina. Las redes Wi-Fi a las que acceden deben estar protegidas con contraseña y contar con una sólida configuración de seguridad. Cuando sus empleados usan teléfonos inteligentes y tabletas, siempre deben optar por usar el plan de datos móviles del dispositivo en lugar de una red Wi-Fi desconocida.
