Todos los días hay un nuevo informe de violación de datos y, antes de que comenzara la pandemia de Covid-19, los ataques cibernéticos eran rampantes, incluso los conglomerados más grandes como GE han tenido sus defensas rotas en los últimos meses.
Ahora que las organizaciones se ven obligadas a adoptar rápidamente prácticas laborales remotas como norma, los ciberdelincuentes se frotan las manos con alegría. Los empleados que trabajaban en una red interna ya eran un blanco suave para los cibercriminales. Después de todo, más del 90% de todas las violaciones de datos son causadas por errores humanos, mal capacitados en riesgos de ciberseguridad y amenazas potenciales. Y ahora, las empresas con una fuerza laboral remota son aún más vulnerables. Con empleados en la naturaleza, los ciberdelincuentes apuestan por la fiebre del oro que acompaña al Salvaje Oeste virtual.
La necesidad de capacitación en ciberseguridad
El problema es que, como le dirán muchos informáticos asediados, ni siquiera las mejores soluciones técnicas del mundo pueden proteger su infraestructura de TI. Un solo clic de empleado ausente en un correo electrónico de phishing puede derribar incluso el sistema más sofisticado y técnicamente robusto. Los departamentos de TI que trabajan arduamente acordarán que uno de sus mayores desafíos es ayudar a los usuarios de la red a comprender los riesgos, cómo se ve un ciberataque y qué hacer en caso de un ataque. Aquí es donde las organizaciones de hoy necesitan convertir este problema en una solución: hacer de su personal el mayor activo de seguridad que tienen en la red al capacitarlos y educarlos en seguridad cibernética, literalmente mientras trabajan y críticamente no solo en un horario de entrenamiento, y apoyándolos mientras enfrentan estas amenazas en tiempo real. Esto efectivamente construye el "firewall humano".
Las vulnerabilidades más comunes comienzan con Business Email Compromise (BEC) y Email Account Compromise (EAC), donde los ataques han costado a las organizaciones más de € 26 mil millones desde 2016 (reportado por el FBI). De hecho, el FBI acaba de informar un aumento en el fraude BEC relacionado con Covid-19 con delincuentes que usan el virus como una excusa para reprogramar o cambiar pagos o hacer otros cambios comerciales para robar dinero y datos . Los principales culpables vienen en forma de correos electrónicos de phishing que parecen provenir de fuentes conocidas o confiables. Los delincuentes se vuelven más sofisticados cuando usan la psicología del momento explotando las circunstancias, haciéndose pasar por CEOs y asesores de confianza y engañando incluso a los empleados más conscientes de la seguridad en ataques bien ejecutados y dirigidos .
La mayoría de las empresas reconocen que la capacitación de los empleados es esencial, y para los problemas de ciberseguridad, la mentalidad empresarial está cambiando y las compañías ahora están tratando la ciberseguridad no solo como un problema de TI sino como un problema comercial real.
La educación y capacitación en ciberseguridad, incluso en el sitio, requiere tiempo y esfuerzo: la capacitación en planificación y programación lleva tiempo y puede ser como rebaños de gatos y simplemente no puede responder a esos quienes no asisten a una sesión. Los empleados van y vienen y es difícil evaluar el nivel de conocimiento en una fuerza laboral cambiante.
![]()
(Crédito de la imagen: Pexels)
Construye tu firewall humano
Hoy en día, es importante reconocer que con la evolución de las prácticas laborales, como el trabajo remoto, la capacitación también debe evolucionar, en particular con la capacitación en concientización sobre seguridad cibernética. Los enfoques anteriores, como el entrenamiento programado o los ataques de phishing simulados al azar, son un buen primer paso, pero no resuelven completamente el problema. Los cibercriminales siempre están un paso por delante. Por lo tanto, es esencial revisar cualquier metodología de capacitación existente y, en la mayoría de los casos, debe ir más allá. Mantenerse con las mismas metodologías conducirá al mismo resultado neto: una red comprometida.
La capacitación en ciberseguridad debe ser parte de la configuración básica de seguridad en cualquier red: cada computadora, cada dispositivo de comunicación es una puerta abierta para un criminal y, en todo momento, los empleados ignorantes no solo abren la puerta - involuntariamente la apoyan. e invitarlos. Todos los empleados de una organización, grandes o pequeños, deben recibir capacitación en ciberseguridad sobre cómo identificar y responder a los riesgos.
Lo básico sigue siendo: los manuales de los empleados y las políticas de la compañía deben adaptarse, en mensajes fáciles de entender, impactantes y digeribles para garantizar que los empleados tomen en serio las amenazas cibernéticas. La capacitación debe implementarse horizontal y verticalmente. A los cibercriminales no les importa a qué nivel de empleados se dirigen o en qué departamento trabajan.
Por último, pero no menos importante, especialmente con una fuerza laboral remota, la capacitación debe ser continua y en tiempo real: esto es crucial y clave para las mejores prácticas de seguridad. Las simulaciones de ciberataques deberían ejecutarse automáticamente y monitorear cómo responde el empleado remoto con alertas de vulnerabilidad simultáneas. Las mejores redes permiten a los empleados alertar automáticamente a TI sobre cualquier actividad extraña o sospechosa con solo tocar un botón, poniendo en cuarentena un ataque. Tomar medidas como estas crea la base para una cultura de ciberseguridad dentro de una organización y, en última instancia, el "firewall humano". También es más fácil de lo que podría pensar implementarlo y desplegarlo con una sobrecarga mínima de recursos.
El resultado final: el firewall humano es la protección más rápida y efectiva para cualquier empresa, especialmente ahora que los empleados están distribuidos en múltiples ubicaciones y áreas geográficas. Todas las organizaciones deben reconocer la ciberseguridad como un riesgo comercial real exacerbado por la presencia de una fuerza laboral remota.
Invertir en tus empleados
Como hemos visto en eventos recientes, reducir los costos a corto plazo es una pérdida a largo plazo. La capacitación en concientización sobre seguridad cibernética en tiempo real es económica en comparación con los enormes presupuestos invertidos en soluciones de software empresarial. La investigación ha demostrado que el costo por empleado es un 44% más barato usando una plataforma de capacitación automatizada en tiempo real, en comparación con los programas de capacitación programados. La intervención proporciona capacitación reactiva inmediata sobre el comportamiento de los empleados, lo que elimina el tiempo y el costo de la evaluación de riesgos y las acciones correctivas a través de la capacitación programada y la finalización continua del personal. También está completamente automatizado en varios idiomas, se integra fácilmente con las sofisticadas instalaciones de seguridad de red existentes, se puede implementar de forma rápida y sin problemas y maximiza el retorno de la inversión de la inversión general en seguridad de red.
Realmente no hay excusa, especialmente considerando la reducción en los costos administrativos. Las empresas no pueden atajar la seguridad, especialmente cuando la fuerza laboral está tan fragmentada y los ataques se están volviendo más sofisticados. ¡Dé a sus empleados una conciencia del riesgo cibernético y conviértalo en su primera línea de defensa!