1. Home Brother
  2. Blog Brother España
  3. Transformación Digital
  4. 2024
  5. Cómo crear una cultura de ciberseguridad sólida
b2313-banner 1170x500px

Cómo crear una cultura de ciberseguridad sólida

Comprende el factor humano en la ciberseguridad y sigue los seis pasos de Brother para construir una cultura de ciberseguridad sólida.

Según el Informe sobre Riesgos Mundiales del Foro Económico Mundial, el 95% de todas las violaciones en el campo de la ciberseguridad en 2022 se atribuyeron a errores humanos. Aunque la propia plantilla es la mayor amenaza para una organización, ¿cómo se les puede culpar de algo que no sabían o no entendían?

El error humano es un acto involuntario que suele producirse por falta de conocimientos, mientras que el factor humano es el modo en que una organización, una cultura, un puesto de trabajo y un individuo se combinan para dotar a las personas de estos conocimientos y mejorar su fiabilidad en el trabajo. Teniendo esto en cuenta, es importante que centremos nuestra atención en el factor humano, especialmente en relación con la ciberseguridad.

En este artículo de nuestra serie in[ctrl], exploramos cómo los profesionales de TI se encuentran en una posición única para ayudar a los equipos a mitigar la amenaza del factor humano. Sigue leyendo para descubrir nuestros prácticos consejos, que te ayudarán a implicar a tus compañeros para que se conviertan en la primera línea de defensa contra las amenazas de la ciberseguridad.

Riesgos de ciberseguridad en el trabajo a distancia: el factor humano

Esta forma de trabajar ha aportado muchas ventajas, como una mayor flexibilidad y productividad. Sin embargo, también ha expuesto a nuestros compañeros a retos de ciberseguridad sin precedentes hasta ahora. Trabajar desde casa puede provocar:

- Un entorno más relajado que hace que la plantilla esté menos alerta.

- Mayores distracciones que afectan a los niveles de atención.

- El cambio entre dispositivos personales y de trabajo, pudiendo uno infectar al otro.

- Uso no seguro de la red.

Tener en cuenta el factor humano puede ayudar a los profesionales de TI a identificar oportunidades para ayudar a los trabajadores a hacer frente a las amenazas y fomentar una cultura de ciberseguridad consistente.

¿Qué es la cultura de la ciberseguridad?

Una buena cultura de ciberseguridad se desarrolla cuando todos los empleados entienden cómo trabajar de la forma más segura posible.

El factor humano es la mejor defensa contra los ciberataques y, también, el eslabón más débil de la ciberseguridad. Son las personas, y no la tecnología, las que crean una cultura de ciberseguridad eficaz. La primera línea de defensa debe proporcionarla los empleados teniendo los conocimientos, el instinto y la conciencia necesarias para abordar los problemas de seguridad. Los departamentos de TI son los que facilitan una mano de obra experta en seguridad que garantice la resistencia de la empresa.

 

6 pasos para una sólida cultura de ciberseguridad

Si la cultura de una empresa no está a la altura, el factor humano en ciberseguridad puede convertirse en un riesgo importante. Dota a tus equipos de la confianza necesaria para crear una cultura de ciberseguridad resistente con estos seis sencillos pasos que te indicamos a continuación.

1. Evita el lenguaje técnico

El lenguaje técnico puede alejar a quienes se esfuerzan por entenderlo. Cuando eduques a tus compañeros sobre las mejores prácticas de ciberseguridad, mantén las cosas sencillas.

Comunícate con tus colegas fuera del departamento de TI utilizando un lenguaje fácil de entender. Puede que los contables, diseñadores y el personal de catering no comprendan el concepto de ransomware, troyanos, gusanos y malware. Pero entenderán la idea de que el software malicioso suele llegar a través de correos electrónicos falsos para infectar los sistemas informáticos.

No compliques demasiado tus mensajes. Los entresijos de los algoritmos de cifrado por bloques o el filtrado de salida no ayudarán a tus equipos a fomentar una cultura de ciberseguridad positiva. Sólo conseguirás confundir a la plantilla y generar una falta de confianza en la ciberseguridad.

Diles a tus compañeros lo que necesitan saber para implantar una forma de trabajar más cibersegura y para tomar medidas en caso necesario para evitar un ataque.

B2313-1

2. Comparte una lista de control de ciberseguridad

Una lista de verificación a la que todos los miembros de tu organización tengan acceso creará buenos hábitos de ciberseguridad.

Describe en un documento fácil de entender las medidas que todos deben tomar de forma proactiva, cuándo deben tomarlas y cómo deben hacerlo para reducir el riesgo de un ciberataque.

He aquí algunos ejemplos de lo que podrías incluir en una lista de verificación de ciberseguridad:

 

- Instalar protección antivirus y comprobar si hay actualizaciones cada dos semanas.

- Hacer copias de seguridad en la nube cada semana.

- Bloquear todas las pantallas de portátiles y dispositivos cuando trabajes en un espacio compartido o de coworking.

- Conectarse siempre una VPN corporativa.

- Utilizar contraseñas únicas y seguras para cada cuenta y dispositivo.

- Cambiar las contraseñas cada mes.

- Aplicar un enfoque de confianza cero a todos los correos electrónicos.

- Utilizar protección por contraseña y salas de espera para las reuniones virtuales.

- Desactivar bluetooth y el uso compartido de archivos cuando no sea necesario.

 

Es importante ser consciente de las amenazas a nivel de red, dispositivo y salida. El uso de una lista de verificación puede proporcionar este enfoque de triple capa para la seguridad y mantener a salvo los datos y activos.

Es recomendable añadir a la lista capturas de pantalla, enlaces o vídeos explicativos para mostrar cómo aplicar eficazmente cada medida. Este elemento visual proporciona una guía paso a paso y una herramienta de referencia. Algunos colegas pueden preferir este enfoque autoguiado.

B2313-2

3. Aumenta el conocimiento de los procedimientos de emergencia

Una lista de verificación es eficaz para garantizar que los compañeros siguen las mejores prácticas de ciberseguridad. Sin embargo, incluso las organizaciones más fuertes pueden ser víctimas de un ciberataque. Todos los miembros de la plantilla deben saber qué hacer si sospechan que algo no va bien.

Un ejemplo común que requeriría la puesta en marcha de procedimientos de emergencia es un correo electrónico sospechoso que llega a la bandeja de entrada de un compañero. Las personas deben saber qué hacer. En caso de duda, deben tener siempre la confianza de ponerse en contacto con el Equipo de primer nivel en materia de seguridad y, más importante aún: saber quién lo compone. Incluso puedes añadir una guía de procedimientos de emergencia a tu lista de verificación de ciberseguridad para tener todo el material en un solo lugar.

Aborda estos puntos en tu guía de procedimientos de emergencia:

- ¿Quién es el contacto del Equipo de primer nivel?

- ¿Cómo pueden ponerse en contacto con él los empleados?

- Horario de servicio.

- Qué hacer fuera de horario.

- Ejemplo de procedimientos de emergencia clave:

- No hacer clic en enlaces sospechosos.

- No abrir archivos adjuntos sospechosos.

- No reenviar a otras personas.

- No responder a correos electrónicos sospechosos.

- Ponerse en contacto con el Equipo de primer nivel lo antes posible.

B2313-3

4. Realización de un ejercicio sencillo de simulación

Aunque pueda parecer trivial, una rápida formación es una forma eficaz de ayudar a los compañeros a reflexionar sobre las vulnerabilidades humanas en el campo de la ciberseguridad. Llevado a cabo en toda la empresa, este ejercicio pondrá a prueba la comprensión de los empleados sobre diferentes cuestiones de seguridad, al tiempo que instruye de una manera no amenazante.

Incluyendo preguntas del tipo ¿qué harías? ayudarías a tus equipos a:

- Autoevaluar tus hábitos de ciberseguridad.

- Mantener la motivación para seguir las políticas de ciberseguridad.

- Recordar la lista de verificación de ciberseguridad.

- Aplicar lo aprendido a posibles situaciones de ciberseguridad con las que puedas encontrarte.

 

Puedes diseñar el ejercicio para poner a prueba aspectos concretos de la ciberseguridad, como por ejemplo, el trabajo a distancia. Un ejemplo de pregunta podría ser:  

A) Compartes documentos relacionados con el trabajo a través de servicios públicos de intercambio de archivos.

B) Mantienes la misma contraseña para varias cuentas online.

C) Utilizas una red privada virtual (VPN).

D) Dejas tus dispositivos de trabajo desbloqueados y desatendidos.

 

Respuesta: C es la respuesta correcta porque el uso de una Red Privada Virtual (VPN) proporciona una capa adicional de seguridad mientras se trabaja de forma remota, y protege los datos confidenciales de posibles amenazas en redes públicas.

 

Explicación:

La opción A es incorrecta porque compartir documentos relacionados con el trabajo utilizando servicios públicos de intercambio de archivos puede exponer información confidencial a personas no autorizadas.

La opción B es incorrecta porque utilizar la misma contraseña para varias cuentas en línea aumenta el riesgo de una brecha de seguridad si una cuenta se ve comprometida.

La opción D es incorrecta porque dejar los dispositivos de trabajo abiertos y desatendidos en lugares públicos puede dar lugar a accesos no autorizados y a posibles violaciones de datos.

 

Si explicas cada una de las posibles respuestas, añadirás al cuestionario un importante valor didáctico.

B2313-4

5. Celebra los éxitos en ciberseguridad

Una sólida cultura de ciberseguridad debe ser una extensión de la cultura de la organización. Celebrar los éxitos en ciberseguridad es una forma eficaz de crear un equipo seguro de sí mismo, inspirar y hacer que los compañeros se sientan valorados por sus esfuerzos en ciberseguridad.

Motiva a los compañeros con puntuaciones sobre seguridad que puedan actualizarse semanalmente. Relaciónalas con la formación, los cuestionarios y la detección de posibles amenazas. Incentivar de este modo crea una plantilla experta que considera la ciberseguridad como una parte importante de la seguridad de tu empresa.

Un simple póster en el tablón de anuncios de la oficina, un boletín semanal por correo electrónico o un mensaje de actualización rendirán homenaje a los héroes cibernéticos de la empresa que la hayan salvado de una amenaza potencial o de un costoso ataque. Esto anima a los demás a seguir los procesos de ciberseguridad y a detectar posibles amenazas.

B2313-5

6. Proporciona actualizaciones periódicas

La ciberseguridad no debe ser un tema que se trate de vez en cuando, sino que debe integrarse en el trabajo habitual de todos los equipos y departamentos de la empresa. Para que esto suceda, los profesionales de TI pueden proporcionar actualizaciones periódicas con el fin de mantener a los equipos informados sobre las últimas estafas de phishing y correos electrónicos sospechosos.

Puedes crear un correo electrónico mensual - Píldoras de seguridadEl reporte de phishing o algo similar- en el que se detallen todas las estafas más recientes a las que hay que prestar atención. Estas actualizaciones periódicas mantendrán la ciberseguridad en el orden del día y evitarán que los compañeros se duerman en los laureles.

La implantación de una cultura de ciberseguridad no lo abarcará todo: seguirá habiendo amenazas que engañen incluso a los más preparados. Aun así, el ransomware fue el principal tipo de ataque en Europa en los últimos años, lo que significa que los ciberataques siguen produciéndose.

Pero mediante la implementación de un enfoque centrado en el factor humano para la seguridad cibernética, y siguiendo los seis pasos de Brother para construir una sólida cultura de seguridad cibernética, los profesionales de TI pueden capacitar a sus colegas para reducir este riesgo.

B2313-6

Mas de Transformación digital

¿Te gustaría recibir alertas mensuales/periódicas por correo electrónico con contenidos como éste?

Serás el primero en enterarte de nuevas publicaciones, encuestas y conversaciones con expertos sobre los temas tecnológicos que interesan hoy y los que te podrán interesar mañana.

Suscríbete ya a nuestra newsletter de in[ctrl] y permanece en control de la tecnología.

Suscríbete

También podría gustarte

Volver arriba