Los piratas informáticos no desean hacer trabajo innecesario. Cuando eligen un objetivo, a menudo buscan uno liviano, o «fácil». El término «cortafuego humano» es algo más que jerga de TI. Los empleados de una organización desempeñan una función crucial en la protección de nuestros sistemas y datos y de nuestros clientes, socios comerciales y miembros.
El Sans Institute informa que, en la actualidad, el 95% de los ataques a las redes de las organizaciones tienen éxito como consecuencia de la suplantación de identidad focalizada (spear phishing). Los piratas informáticos utilizan este método por uno de dos motivos. El primero es el intento de ingresar con éxito a los sistemas directamente a través de los empleados. El segundo método consiste en obtener acceso logrando que los empleados habiliten las herramientas que el pirata informático necesita para ingresar al sistema. En muchos aspectos, estos métodos pasan por alto completamente muchas de las medidas de seguridad que su empresa implementa para combatir a los piratas informáticos.
- Un correo electrónico inusual con un enlace para actualizar la información de su cuenta.
- Un correo electrónico en el que el director general le pide al gerente financiero que transfiera dinero.
- Una llamada de alguien que dice ser de Microsoft u otra empresa de software y le pide que haga clic en un enlace de una página web para poder ayudarlo a actualizar su computadora.
Ejemplos de empleados como cortafuegos humanos efectivos
1. Un empleado eficaz no pincha enlaces incluidos en un correo electrónico sin verificarlos.Los piratas informáticos pueden enviar enlaces que redirigen a los usuarios a sitios web no autorizados. Muchas personas caen en esta trampa haciendo clic antes de verificar los enlaces. Evite este error posando el cursor sobre el enlace para ver la dirección adonde se lo redirigirá.
2. Un empleado eficaz no abre archivos adjuntos inesperados.
Si recibe un correo electrónico de alguien que le envía un documento adjunto, ¡piénselo dos veces! Solamente abra el archivo adjunto si lo esperaba o si llama al remitente y éste lo verifica. Parece un trabajo tedioso, pero no lo será tanto como tratar de recuperar su computadora o toda su red después de abrir un adjunto que contiene un programa de secuestro de archivos a cambio de rescate.
3. Un empleado eficaz no utiliza nunca la misma contraseña en diferentes sistemas.
Cambie su contraseña con frecuencia y asegúrese de seguir las reglas de complejidad de contraseñas de la empresa. Una buena regla es tener una contraseña de 8 a 10 caracteres y que incluye letras minúsculas y mayúsculas, números y caracteres especiales.
4. Un empleado eficaz nunca conecta dispositivos personales a la red de la empresa o a dispositivos de la empresa.
Los empleados no deberían llevar sus propios dispositivos. Por lo general, los dispositivos personales de los empleados no tienen las mismas medidas de seguridad que los dispositivos de la empresa. Cuando los empleados traen dispositivos personales y los conectan, podrían poner en peligro el dispositivo de la empresa o a toda una red.
5. Un empleado eficaz lee, entiende y sigue la política de la empresa sobre uso de tecnología.
La política de uso de tecnología de su organización debería indicar ejemplos de uso prácticos y el protocolo estándar para los dispositivos y el uso empresarial. Cuando a los empleados se les enseña la política de uso de tecnología de la empresa y no se les entrega simplemente para que la lean, comienzan a entender por qué estas reglas son tan importantes.
6. Un empleado eficaz participa en un programa de capacitación obligatorio que ofrece la empresa, referido a conciencia sobre seguridad.
¿Su organización capacita al personal en conciencia sobre seguridad? En caso negativo, es hora de implementar un programa de capacitación referido a conciencia sobre seguridad. Este tipo de capacitación debería explicar la política de uso de tecnología en detalle, ayudar a los empleados a entender qué significa cada sección, cuál es la importancia de la política y qué podría suceder si se ignoran las pautas establecidas.
Observará un aumento drástico del porcentaje de adopción de la política de uso de tecnología una vez que los empleados comprendan verdaderamente los riesgos asociados a su inacción. La política empodera a su personal y le ofrece la oportunidad de hacer su parte para ayudar a preservar la seguridad de la empresa.
Continúe la capacitación; incluya segmentos mensuales o bimestrales en su programa, que deberían incluir correos electrónicos regulares con información sobre los riesgos más recientes; por ejemplo, sobre las tendencias de suplantación de identidad, y qué deben hacer los empleados si detectan esos riesgos. Se sorprenderá al ver cuántos empleados valoran esta información y piden compartirla con familiares y amigos.
Planifique actualizaciones de capacitación para las herramientas que los empleados utilizan como parte de su tarea, por ejemplo, herramientas de encriptación de correo electrónico, filtros de correo electrónico y otras. Considere implementar la capacitación de conciencia sobre seguridad para sus empleados como un requisito promovido por recursos humanos. Se ha demostrado que ambos métodos también refuerzan la aceptación.
Aun con todas las medidas de seguridad, el programa de capacitación para empleados en conciencia sobre seguridad, los segmentos adicionales y un cortafuego humano eficaz, la industria de TI nos sigue diciendo que un ataque a la ciberseguridad «no es cuestión de si alguien va a ser víctima, sino de cuándo».
Si ese «cuándo» llegara a suceder, contar con una solución de recuperación puede significar la diferencia entre días, semanas o más tiempo de recuperación. Las tres partes esenciales de una solución de recuperación son las siguientes:
- Copias de respaldo regulares: Existen pocas cosas peores que necesitar un archivo de respaldo y descubrir que no existe o que el que existe no sirve.
- Personal: Saber con quién comunicarse primero y quiénes participan en el proceso de recuperación. Es importante identificar a quién se necesitará antes de que se produzca una pérdida.
- Costo: ¿Su empresa está preparada para afrontar el costo de la recuperación? Si usted no está preparado para cargar con ese costo, ¿está protegido? Planificar con anticipación para prepararse y protegerse financieramente puede ayudarlo no sólo a ahorrar costos sino también tiempo durante el proceso de recuperación.
