A la hora de abordar las amenazas a la ciberseguridad, las amenazas internas han pasado a primer plano y constituyen una de las principales causas de las filtraciones. Sin embargo, una amenaza interna no implica necesariamente que la persona implicada tenga intenciones maliciosas. En la mayoría de los casos, la amenaza es un usuario que, sin darse cuenta, comete un error, como responder a un correo electrónico de phishing, lo que a su vez provoca una filtración. Según la Encuesta sobre filtraciones de datos internas de 2021, el 94 % de las organizaciones sufrió una filtración de datos interna el año pasado, y el 84 % sufrió una filtración directamente a causa de un error humano. Las amenazas internas van más allá de caer en ataques de phishing. El Índice de Inteligencia de Amenazas IBM X-Force de 2019 señala que los sistemas, servidores y entornos en la nube mal configurados son una de las dos formas más comunes en que los empleados, de forma involuntaria, dejan a las organizaciones expuestas a ataques. No se puede eliminar el error humano, pero al proporcionar directrices claras de ciberseguridad y formación periódica a los empleados, se puede reducir la frecuencia y la gravedad de los incidentes.
El primer paso para reducir la influencia del error humano en los incidentes de ciberseguridad es establecer una política de ciberseguridad e impartir formación a los empleados para enseñarles lo que deben y no deben hacer en materia de ciberseguridad. A continuación, te ofrecemos una lista de diez puntos que puedes incluir en tu política para ayudarte a dar los primeros pasos.
1. Destacar la importancia de la ciberseguridad
Empieza explicando por qué es importante la ciberseguridad y cuáles son los riesgos potenciales. El robo de datos de clientes o empleados puede afectar gravemente a las personas implicadas, además de poner en peligro a la empresa. Es fundamental que los empleados sepan rápidamente dónde notificar un incidente de seguridad. No confíes en que el usuario recuerde en qué página interna debe buscar la información de contacto; asegúrate de que se encuentre en un lugar intuitivo. ¡Quizás podrías sustituir la contraseña escrita en la nota adhesiva por la información necesaria para notificar un incidente!
2. Enseñar a gestionar las contraseñas de forma eficaz
Las contraseñas pueden ser el punto fuerte o el punto débil del sistema de ciberseguridad de una empresa. Incluya directrices sobre los requisitos de las contraseñas. La Publicación Especial 800-63, Revisión 3, del NIST contiene cambios significativos en las directrices recomendadas para las contraseñas. Insista a los empleados en que no deben utilizar la misma contraseña en diferentes sitios web. Predique con el ejemplo. Si se espera que los empleados recuerden varias contraseñas, proporcióneles las herramientas necesarias para que les resulte más fácil. Un gestor de contraseñas resulta de gran utilidad. La autenticación multifactorial reduce el impacto de una contraseña comprometida, incluso si se trata de la contraseña maestra del gestor de contraseñas.
3. Enseñar a los empleados a identificar las estafas y a adoptar las mejores prácticas
Informe a los empleados sobre los distintos tipos de correos electrónicos de phishing y estafas, y enséñeles a detectar cualquier cosa sospechosa. Si los empleados reciben un correo electrónico que parece fuera de lo normal, incluso si parece un correo interno enviado por otro empleado, deben consultar primero con el remitente antes de abrir archivos adjuntos o hacer clic en enlaces. Lo mejor es verificar la autenticidad con el remitente por teléfono o en persona. Cuando se suplantan cuentas de correo electrónico, será el atacante quien responda a una consulta sobre la validez de la información contenida en el correo. Siempre que sea posible, acceda al sitio web de la empresa en lugar de hacer clic en un enlace de un correo electrónico. Por ejemplo, si un correo de LinkedIn contiene un enlace, escriba www.linkedin.com e inicie sesión en su cuenta para ver el mensaje.
Además, proporcionar conocimientos generales sobre ciberseguridad y las mejores prácticas para proteger archivos y dispositivos puede ayudar a reforzar las defensas de una organización. OPSWAT ofrece cursos gratuitos sobre estas mejores prácticas y está a disposición de cualquier persona que desee obtener más información sobre las tecnologías OPSWAT.
4. Instalar actualizaciones y parches
Los sistemas operativos modernos, los programas antimalware, los navegadores web y otras aplicaciones se actualizan periódicamente, pero no todos los programas lo hacen. Cuando los empleados instalan software no autorizado, es posible que el departamento de TI no sea consciente de la existencia de aplicaciones vulnerables sin parches en sus activos. Verificar que los sistemas operativos y las aplicaciones estén al día en cuanto a parches y versiones es responsabilidad del departamento de TI. El hecho de no garantizar el estado de los terminales y los servidores entra dentro del ámbito de las amenazas internas involuntarias que plantean la configuración incorrecta del sistema, etc. Se deben realizar análisis de vulnerabilidades y auditorías del sistema de forma periódica.
5. Proteger la información de identificación personal
Los atacantes suelen ir tras datos confidenciales, como datos de tarjetas de crédito, nombres de clientes, direcciones de correo electrónico y números de la Seguridad Social. Al enviar esta información fuera de la organización, es importante que los empleados comprendan que no pueden limitarse a enviarla por correo electrónico. Se debe utilizar un sistema seguro de transferencia de archivos que cifre la información y solo permita el acceso al destinatario autorizado. Para mayor seguridad, tecnologías como el DLPOPSWAT pueden ayudar a prevenir posibles fugas de datos e incumplimientos normativos al detectar y bloquear datos sensibles y confidenciales en archivos y correos electrónicos, incluidos números de tarjetas de crédito y números de la seguridad social.
6. Bloquear ordenadores y dispositivos
Cuando los empleados se ausenten de sus puestos de trabajo, deben bloquear la pantalla o cerrar la sesión para evitar cualquier acceso no autorizado. Los empleados son responsables de bloquear sus ordenadores; sin embargo, el departamento de TI debe configurar tiempos de espera por inactividad como medida de seguridad adicional. Los ordenadores portátiles también deben bloquearse físicamente cuando no se utilicen.
7. Media Secure
La pérdida o el robo mobile supone una amenaza importante para el propietario y sus contactos. Es fundamental utilizar el bloqueo de pantalla en estos dispositivos. Los dispositivos de almacenamiento, como las tarjetas MicroSD externas y los discos duros de los ordenadores portátiles, deben estar cifrados. Al traer soportes portátiles, como USB y DVD, es importante analizar estos dispositivos en busca de malware antes de acceder a recursos como los ordenadores del trabajo y la red. MetaDefender KioskOPSWAT ofrece una solución sencilla para verificar la seguridad de los soportes portátiles.
8. Notificar la pérdida o el robo de dispositivos
Informe a los empleados de que los dispositivos robados pueden servir de puerta de entrada a los atacantes para acceder a datos confidenciales y de que deben comunicar inmediatamente la pérdida o el robo de cualquier dispositivo. A menudo, el departamento de TI puede borrar de forma remota el contenido de los dispositivos, por lo que detectarlo a tiempo puede marcar la diferencia.
9. Asume un papel activo
Explique a los empleados que deben actuar con sentido común y desempeñar un papel activo en materia de seguridad. Si observan alguna actividad sospechosa, deben comunicarla al administrador de TI. Si los empleados detectan un error, incluso después de que se haya producido, comunicarlo al departamento de TI permite que aún se puedan tomar medidas para mitigar los daños. La ciberseguridad es un asunto que concierne a todos en la empresa, y cada empleado debe desempeñar un papel activo para contribuir a la seguridad de la empresa. Si un empleado teme perder su trabajo por informar de un error, es poco probable que lo haga. Asegúrese de que los empleados se sientan cómodos a la hora de informar de incidentes.
10. Aplicar la configuración de privacidad
Informe a los empleados de que es muy recomendable que apliquen la configuración de privacidad más estricta en sus cuentas de redes sociales, como Facebook y Twitter. Pídales que se aseguren de que solo sus contactos puedan ver su información personal, como la fecha de nacimiento, la ubicación, etc. Limitar la cantidad de información personal disponible en línea reducirá la eficacia de los ataques de spear phishing. Mantén una vigilancia especial ante cualquier cosa, aunque sea ligeramente sospechosa, que provenga de un contacto de LinkedIn. La cuenta comprometida de un contacto de LinkedIn puede dar lugar a algunos de los ataques de ingeniería social más sofisticados.
La orientación para los nuevos empleados debe incluir documentación e instrucciones sobre las políticas de ciberseguridad. Imparte formación periódica en materia de ciberseguridad para garantizar que los empleados comprendan y recuerden las políticas de seguridad. Una forma amena de asegurarse de que los empleados comprenden la política es realizar un cuestionario que evalúe su actuación en situaciones hipotéticas.
Además de informar y formar a los empleados, las empresas deben asegurarse de que cuentan con un sistema para supervisar y gestionar los ordenadores y dispositivos, de que se utiliza un análisis antimalware múltiple para garantizar la seguridad de los servidores, los archivos adjuntos de correo electrónico, el tráfico web y los soportes portátiles, y de que los empleados puedan transferir archivos confidenciales de forma segura. Obtenga más información sobre otras medidas que pueden adoptar las empresas para garantizar un acceso seguro tanto en la oficina como desde casa.
Para obtener más información sobre cómo OPSWAT ayudarle a proteger su infraestructura crítica, concierte una reunión con uno de nuestros expertos en ciberseguridad.
