Con amenazas digitales cada vez más sofisticadas, concientizar a los empleados sobre las mejores prácticas de seguridad de la información y protección de datos es la forma más efectiva de ahorrar tiempo, prevenir brechas de seguridad y eliminar riesgos.
Se estima que cerca del 95% de las infracciones de seguridad informática se producen como causa del error humano. Este número se puede reducir de forma significativa con programas de formación sobre seguridad de la información y protección de datos. Pero para ello, es preciso que estos programas de formación aborden los temas indicados.
El año 2022 plantea un escenario particular: el retorno a la normalidad, conservando una proporción importante de teletrabajadores. Muchas organizaciones encontraron en esta práctica de excepción, oportunidades, beneficios y una forma de reducir costes y problemas originados por las relaciones entre empleados. Pero este escenario plantea mayores riesgos para la seguridad de la información y protección de datos.
En 2022, tendremos un número alto de trabajadores desde casa, y no porque alguna medida restrictiva obligue a ello. La tendencia puede ser hacia el crecimiento de esta modalidad de empleo, lo que reafirma la necesidad de formar a los trabajadores en seguridad de la información y protección de datos. Estos serán los temas clave:
Seguridad de la información y protección de datos – 12 temas clave para la formación en 2022
Todos los empleados, presenciales y teletrabajadores, deben tener un conocimiento importante sobre temas de seguridad de la información y protección de datos, que los lleve a aplicar un pensamiento crítico en la realización de sus tareas diarias. Esto es especialmente importante debido a la entrada en vigor de normas como el Reglamento General de Protección de Datos en Europa.
Hay 12 puntos críticos que no pueden quedar fuera de cualquier programa de capacitación o entrenamiento:
1. Acceso seguro, permisos y contraseñas
La necesidad y la obligatoriedad de crear contraseñas seguras, cambiarlas de forma periódica, y conceder niveles de acceso de acuerdo con los requerimientos del trabajo, son temas que aún no son comprendidos por los empleados. El uso de contraseñas personales para “proteger” accesos corporativos, sigue siendo una práctica común, que implica muchos riesgos.
Las contraseñas son la primera línea de defensa contra el acceso no autorizado a información y datos que deben estar protegidos, y por ello, es un tema que no puede estar ausente en los programas de formación para empleados en 2022.
2. Medios extraíbles
Los empleados en teletrabajo tienen mayor necesidad de utilizar medios extraíbles como dispositivos USB, tarjetas SD, CDs, o discos duros externos. Este tipo de dispositivos ofrecen una mayor facilidad para conducir malware o virus.
Además de la forma correcta de tratar estos dispositivos, es importante capacitar a los empleados para que adopten las mejores prácticas para proteger la información que ellos contienen. Es un tema ineludible en cualquier capacitación que debe abordar el riesgo de difusión inadecuada de la información, la pérdida de los dispositivos, la infección de malware o la violación a los derechos de autor.
3. Conexiones a Internet públicas
El uso de una red inalámbrica de Internet pública, implica la posibilidad de acceso no permitido con fines delictivos. Los infractores tienen acceso a los datos que circulan por este tipo de redes, lo que incluye correos electrónicos con información sensible. La configuración de una VPN – Red Privada Virtual -, y en general, las medidas preventivas que es preciso adoptar para usar redes de Internet públicas, son temas de capacitación imprescindibles.
4. Redes Sociales
Uno de los riesgos que supone el trabajo desde casa es que el empleado alterne sus labores profesionales con su interacción personal en Redes Sociales. Esto implica bajar la defensa y eventualmente compartir información confidencial que permita a los ciber-delincuentes aparecer como una fuente confiable y acceder a bases de datos, cuentas de e-mail e información confidencial.
5. Ingeniería social
Conocemos como ingeniería social una serie de prácticas que acuden a interacciones sociales, para manipular a una persona y llevarla a realizar acciones no deseadas, sin que realmente tenga una comprensión exacta de lo que está haciendo y de las consecuencias que tendrá. Es un punto realmente esencial en cualquier formación sobre seguridad de la información y protección de datos.
Los empleados deben aprender a identificar las señales de un ataque de ingeniería social y cómo detenerlo. La solicitud insistente y perentoria de información confidencial, invitaciones a salir de la línea o de los procedimientos establecidos, son algunas de las más representativas de esta modalidad delictiva.
2022 será un año crítico para la #SeguridadInformación y protección de datos. Estos 12 temas clave deben ser parte de la #formación a empleados #SGSI #ISO27001 #SeguridadInformática #Ciberseguridad Clic para tuitear6. Teletrabajo y sus riesgos
El teletrabajo llegó para quedarse. Por supuesto, 2022 tendrá una leve y temporal disminución de teletrabajadores, en comparación con las cifras presentadas en 2020 y 2021. Esto es entendible. Pero muchas organizaciones conservarán un número importante de trabajadores bajo esta modalidad, y buscarán los medios para, en lo posible, migrar a esta forma de trabajo en su totalidad. No todas las organizaciones, por razones entendibles, llegarán al 100%. Pero lo intentarán.
Los riesgos para la seguridad de la información y protección de datos aumentarán, pero una forma efectiva de minimizarlos o eliminarlos es formando y concientizando a los empleados. Por eso este es uno de los temas esenciales que no podrán faltar en los programas de formación en seguridad de la información en el próximo año.
7. Ataques de phishing
La emergencia sanitaria, que aún no superamos, ha sido un campo fértil para el progreso de esta modalidad intrusiva que ataca la información y los datos de las organizaciones. Es claro que el phishing ha evolucionado y se ha sofisticado en los dos últimos años. Las organizaciones y los especialistas en la materia son conscientes de ello y por eso promueven este tema como uno de los más importantes en capacitaciones, charlas, foros y todo tipo de programas de formación.
El “spearphishing” es el resultado de la evolución de esta práctica criminal. Mediante ella, los ciber-delincuentes pretenden legitimar un correo electrónico, para un grupo definido de destinatarios. En este correo, aparentemente dirigido desde un supuesto alto cargo u organismo validado, se esconde un archivo de malware. Capacitar a los empleados para identificar este tipo de amenazas y denunciarlas, se mejora en forma substancial la seguridad informática.
8. Seguridad móvil
La conexión desde dispositivos móviles aumenta de forma exponencial. Los dispositivos móviles, aún los personales de los empleados, forman parte de la estructura tecnológica de la organización, y se convierten en uno de los puntos más vulnerables para la seguridad de la información.
Los empleados deben entenderlo así, conocer los riesgos y entender la importancia de limitar su uso y, de ser necesario el mismo, hacerlo siguiendo un protocolo estándar diseñado e implementado por el área de TI. Protocolos y procedimientos que forman parte del programa de capacitación esencial para 2022.
9. Ransomware – Secuestro de datos
Ransomware es un software malicioso que cifra los datos en un ordenador, impidiendo el acceso del legítimo propietario de la información, hasta que se pague una cantidad exigida de dinero. Es una de las amenazas más comunes a las que están expuestas hoy las organizaciones en todo el mundo. La mejor manera de defenderse contra ella es impidiendo que suceda. Y para ello, es necesario que este tema esté en la agende de capacitaciones sobre seguridad de la información y protección de datos de 2022.
10. Seguridad en la nube
La nube es tan segura como lo sean los controles que apliquen las organizaciones que trabajan en ella. Y uno de esos controles es verificar la capacidad y los controles que ejerce el proveedor del servicio. La capacitación y la formación sobre el tema serán factores determinantes para que empleados, organizaciones y usuarios finales, hagan de la nube un lugar seguro para la información y los datos.
11. Navegación en Internet y uso de cuentas de Correo Electrónico
Son varios los temas que deben abordar los programas de capacitación sobre seguridad de la información y protección de datos, en este apartado en particular: el uso repetido de la misma contraseña para acceso a información de la organización, Redes Sociales personales, cuentas de e-mail corporativas y personales, aplicaciones…
Pero también el acceso a páginas comerciales, de entretenimiento u ocio, desde el mismo ordenador o dispositivo, o a través de la misma red. Estas prácticas crean brechas de seguridad para la información, que facilitan la tarea de los piratas informáticos.
12. Seguridad en el hogar
Hasta ahora hemos considerado que los riesgos para la seguridad de la información y protección de datos están exclusivamente relacionados con el uso de prácticas inadecuadas en la operación de dispositivos, ordenadores, medios extraíbles…
Pero el tema va mucho más allá, sobre todo cuando hablamos de la seguridad de la información en casa del teletrabajador. Una nota adhesiva sobre la pantalla del ordenador con información confidencial, documentos en papel a los que tienen acceso familiares y amigos, personas escuchando conversaciones confidenciales… Todo ello representa amenaza para la seguridad de la información y protección de datos. Por ello, y aunque hablemos de él al final, este puede ser el tema más importante en cualquier programa de formación enfocado hacia la seguridad de la información y protección de datos.
Esto, por supuesto, requiere un enfoque mucho más amplio. El enfoque que proporciona un Sistema de Gestión de Seguridad de la Información, con los controles, procesos y procedimientos adecuados para tan importante tarea.
Diplomado en Seguridad de la Información – ISO 27001
ISO 27001 es el estándar internacional reconocido y aceptado para la gestión de la seguridad de la información. Esta norma ofrece, además de un marco seguro para la implementación de procesos, un Anexo de Controles que abordan todas las contingencias que hemos mencionado hoy, y otras adicionales.
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de excelencia que forma profesionales expertos en la planificación, implementación, auditoría y mejora de un Sistema de Gestión basado en este estándar.
Y hoy tienes muchas oportunidades para impulsar tu carrera con este Diplomado: la suscripción al Club Alumni permite obtener importantes descuentos y acceso a programas en exclusiva.
Además, nuestro programa de becas Excellence, también aplica para este programa. Consulta si puedes beneficiarte.
