Mejores prácticas para formar a los empleados en ciberseguridad

En la economía móvil y de cloud actual, las defensas perimetrales dejan de tener sentido, ya que los atacantes están desviando su objetivo de la tecnología a las personas. Las amenazas en seguridad explotan actualmente las vulnerabilidades humanas, en vez de las técnicas, y más del 99% de los ciberataques requiere de la intervención de los usuarios.

El phishing de credenciales es uno de los ejemplos que entraña más riesgos, porque hoy esas credenciales son mails, datos confidenciales, agenda y contactos, es decir, las claves de todo en el entorno empresarial. Además, este tipo de ataques va en aumento: según el último informe State of the Phish de Proofpoint, un 83% de los encuestados afirmó haber sufrido phishing en 2018, lo que supone una subida del 76% respecto a 2017, mientras que los casos de credenciales comprometidas se incrementaron un 70% en solo un año y un 280% desde 2016

La tecnología de ciberseguridad disponible puede ayudar a descubrir quiénes son las personas más atacadas dentro de una organización, a los que llamamos VAP (Very Attacked People), y ofrecerles protección para el correo electrónico, como principal vector de los ataques. Esta sólida defensa debe complementarse también con sesiones de formación para empleados, a fin de que puedan detectar y reportar mensajes fraudulentos, entre otras amenazas mediante ingeniería social.

Esta concienciación sobre ciberseguridad para empleados suele abordarse de manera diferente en cada organización. Desde Proofpoint, se anima a las empresas a que elaboren su propia estrategia en torno a estas iniciativas de educación para el usuario, a fin de que incorporen elementos específicos de su cultura corporativa. Aun así, existen determinados aspectos que son comunes entre los programas de mayor efectividad en esta materia, y que pueden tomarse como referencia a la hora de planificar estas acciones:

Hacer partícipe a toda la empresa

Contar con un enfoque integral es la mejor manera, si no la única, de construir una cultura de ciberseguridad en toda la organización, en la que las mejores prácticas en este sentido formen parte del día a día de los usuarios finales. Si se excluye a ciertos grupos o individuos de estos programas de formación, resultará más difícil fomentar entre los empleados esa conciencia cibernética a todos los niveles por igual.

Comunicar de forma clara

Los ejecutivos de nivel C, miembros de la junta directiva y otros gerentes deben estar al tanto del programa de ciberseguridad con cierta anticipación y periodicidad. No obstante, también se debe considerar a los usuarios finales como parte implicada en este proceso, algo que muchas organizaciones pueden pasar por alto.

Es fundamental, por tanto, que los empleados comprendan el valor y el objetivo de esta formación antes de iniciar cualquier sesión de capacitación. Además, a medida que se desarrolla este programa, los usuarios finales deben tener claro qué está ocurriendo y, lo más importante, por qué sucede y cuál es su papel al respecto.

Medir el grado de vulnerabilidad

Al establecer un sistema de evaluación por puntuaciones sobre los conocimientos en ciberseguridad y la susceptibilidad al phishing, se puede saber cuál es el punto de partida del usuario y su progreso dentro del programa de formación de ciberseguridad. Asimismo, antes de comenzar con la capacitación de los empleados, conviene tener en cuenta otras métricas, como índices de infecciones por malware o ataques de phishing. Poco a poco, debería constatarse una reducción de estos incidentes entre los empleados, lo que además indicaría el éxito del plan formativo.

Evaluar y formar a los empleados continuamente

Para cambiar la mentalidad de los usuarios, así como reducir posibles errores y riesgos asociados a su comportamiento, la ciberseguridad debe convertirse en una práctica habitual dentro de la organización. Si se realizan simulaciones de phishing o sesiones de formación puntualmente, solo una o dos veces a lo largo del año, no se consigue concienciar a los empleados acerca de las mejores prácticas en ciberseguridad. Para que sea verdaderamente efectivo, estos necesitan disponer de recursos educativos de forma regular y así poder aprender conforme avanza el tiempo.

Enlazar la evaluación con la formación

En nuestra metodología de formación continua, hacemos una clara distinción entre los periodos de evaluación y formación. Estas dos acciones funcionan mejor si se llevan a cabo conjuntamente. Por ejemplo, una simulación de ataque de phishing puede ser una manera excelente de motivar a los empleados para que realicen un curso de capacitación. Sin embargo, es imprescindible que estas iniciativas queden vinculadas entre sí con un margen estrecho de tiempo, ya que, si se envía una prueba y, meses después, se programa una formación al respecto, se pierde la conexión lógica entre ambas. A partir de ahí, las organizaciones deben extraer datos de valor y obtener el conocimiento necesario para tomar mejores decisiones en ciberseguridad.

Reforzar mensajes clave

Cuando se revisa la ciberseguridad con mayor regularidad y se incorporan sesiones de formación continuamente, estamos ayudando a que los empleados tengan en mente cuáles son las mejores prácticas frente a amenazas. Si no se refuerzan los mensajes clave, siempre tendremos la sensación de partir de cero, en vez de construir sobre una base de conocimiento en la materia.

Motivar al usuario final

Varias organizaciones están utilizando técnicas de gamificación para generar un mayor compromiso y mejores resultados en sus empleados. En Proofpoint creemos que este sistema de recompensas y refuerzos en positivo aumenta el interés y la participación de los usuarios. De hecho, nuestra plataforma educativa sobre seguridad está diseñada para ayudar a las empresas a la hora de hacer un seguimiento sobre la evolución de sus empleados a nivel individual o por departamentos, así como para aplicar de forma sencilla la gamificación en sus programas.

A medida que las ciberamenazas crecen en alcance y sofisticación, las organizaciones tienen que establecer como prioridad la formación a sus empleados en este tema, ayudándose de los anteriores consejos o bien creando una guía propia, para conseguir hacer frente a los atacantes en su intento de comprometer la seguridad del usuario final.

Firmado: Fernando Anaya. Responsable de desarrollo de negocio de Proofpoint para España y Portugal.