La concienciación en ciberseguridad
La concienciación en ciberseguridad es uno de los numerosos desafíos que se le presenta a una empresa, es decir, este tipo de cultura es uno de los objetivos más importantes y difíciles de alcanzar.
Es por ello que este tipo de aprendizaje requiere de una planificación pormenorizada en el tiempo, evitando que para los trabajadores el proceso resulte molesto.
En este mundo digitalizado en el que las empresas, de una u otra manera, están inmersas en la transformación digital, la falta de concienciación en ciberseguridad supone una gran facilidad para que los denominados “ciberdelincuentes” proliferen y tengan éxito, por lo que considerar este aspecto es de suma importancia para sustentar la continuidad de una organización…
Por ello, los primeros en implicarse deben ser los directivos de la organización, ya que son los principales profetas de la cultura interna, y en consecuencia, encargados de saber y dar ejemplo sobre cómo prevenir y reaccionar en el caso de que la entidad sufra un ciberataque.
Esta necesidad de concienciación en ciberseguridad, ante el contexto actual, debe comenzar por los primeros eslabones de la cadena jerárquica, y debe fundamentarse en la importancia de salvaguardar el conjunto de datos por los que responde una organización, esto es, la información como principal activo de la empresa.
No obstante, se suele considerar que la inversión en este tipo de preparación es, no solo un gasto innecesario, sino que no implica la obtención de beneficios tangibles a los ojos de la dirección o gerencia.
De hecho, y más allá de las percepciones internas de una organización con respecto a la formación en ciberseguridad, la realidad es que el Reglamento de Protección de Datos (RGPD) establece que esta es de obligado cumplimiento para que los empleados sepan cómo gestionar correctamente información que contenga datos de carácter personal, y, por tanto, sensible.
¿La concienciación en ciberseguridad es igualitaria?
La respuesta es no, ya que depende del puesto de trabajo que ocupe el empleado, de sus funciones y de sus responsabilidades. Por ejemplo, un técnico requerirá de un alto nivel/grado de especialización en ciberseguridad, mientras que otro empleado que maneje la información de manera superflua y no sensible, solo deberá ser formado es aspectos más generales.
Por otra parte, la propia identidad de la organización en su conjunto influye, ya que si esta posee un alto grado de dependencia tecnológica, el proceso de formación no solo debe ser continuo, sino mucho más específico.
De ahí que la concienciación en ciberseguridad no solo suponga la asistencia a eventos específicos de esta índole o un contacto frecuente con proveedores especializados; sino una formación incisiva con píldoras informativas periódicas al conjunto de los empleados, sobre, por ejemplo, cómo detectar los casos más comunes de ciberataque.
También es muy usual realizar campañas de ciberataques mediante técnicas de ingeniería social como el phishing, para poner a prueba los conocimientos adquiridos durante las formaciones y para tener a los empleados “siempre alerta”.
Esta última metodología no es técnica ni especializada, está más bien dirigida a todo tipo de público (dirección, empleados, técnicos, etc.), lo que refleja que esta enseñanza se adapta, efectivamente, a su interlocutor, sus roles y funciones y su conocimiento técnico.
¿Cuáles son los principales ámbitos de la concienciación en ciberseguridad?
- Cómo detectar y evitar los ciberataques denominados de “ingeniería social”, en particular los más habituales como el phishing
- Protección de las herramientas ofimáticas como el correo electrónico, repositorios de información, chats, etc.
- Cómo navegar por Internet de manera segura
- Como hacer un uso seguro de las contraseñas
- Aplicación de controles de acceso a la información.
- Manejo correcto y seguro de los dispositivos móviles (tablets, smartphones…)
- Uso seguro de páginas web externas y aplicaciones de terceros.
Técnicas que se conocen en la concienciación en ciberseguridad
- Phishing: técnica de ingeniería social que hace uso de la suplantación de identidad utilizando el correo electrónico como medio más común para ejecutar el ciberataque.
- Vishing: phishing que utiliza como medio las llamadas telefónicas.
- Smishing: variante del phishing a través de los SMS.
- Spear phishing: Ataques de phishing personalizados, mucho más dirigidos y focalizados a una víctima en concreto.
Beneficios de la concienciación en ciberseguridad
- Se aumenta en nivel de ciberseguridad global de la organización, al ser los propios empleados parte del sistema de detección y protección de los sistemas de información.
- Se protege la información sensible y confidencial, evitando, por ejemplo , la corrupción o el robo de datos.
- Se evita la ejecución de malware, como el ransomware, así como la apertura de “puertas traseras” o “caballos de Troya” que deriven en el control por parte de un tercero de los sistemas de información.
- Se asegura el uso seguro de dispositivos como PCs, portátiles, móviles, tablets, etc.
La concienciación en ciberseguridad, una prioridad para SECUORA
- Realizamos campañas de Concienciación en Ciberseguridad a medida y mediante el uso de plataformas tecnológicas que combinan formación y campañas de ingeniería social.
- Preparamos a tus empleados para hacer frente a los ciberataques más habituales (phishing, ingeniería social, CEO fraud, etc.).
- Formamos a tu equipo técnico en una administración segura de sistemas, auditoría interna y en desarrollo seguro de software.
- Te ayudamos a conocer las buenas prácticas del sector de la ciberseguridad.
- El SOC de SECUORA en la Red Nacional de SOC - 28 de septiembre de 2022
- SECUORA certifica su SOC en la ISO 27001 - 23 de septiembre de 2022
- SECUORA certifica su SOC en el nivel medio del Esquema Nacional de Seguridad (ENS) - 20 de septiembre de 2022
