Formació als empleats per protegir la seguretat de l'empresa

La enginyeria social és l'ús de l'engany per manipular les persones perquè divulguin (de forma conscient o inconscient) informació confidencial o personal que pugui ser utilitzada amb fins fraudulents. És una tècnica de manipulació que aprofita l'error humà per obtenir informació privada, accés o objectes de valor. En la ciberdelinqüència, aquestes estafes de "hacking humà" tendeixen a atreure usuaris desprevinguts perquè exposin dades, propaguin infeccions de malware o donin accés a sistemes restringits. Els atacs poden produir-se en línia, en persona i a través d'altres interaccions.

Aquesta és una de les principals raons per les quals la formació als empleats és fonamental per augmentar i mantenir la seguretat de la nostra empresa.

Impacte d'un atac

Per comprendre plenament la importància de formar els empleats perquè es defensin millor a si mateixos i als seus actius laborals, hem d'analitzar l'impacte total que pot tenir una violació de dades en una empresa.

Una filtració de dades en aquestes circumstàncies es defineix com "un incident en el qual es roba o s'extreu informació d'un sistema sense el coneixement o l'autorització del propietari del sistema". Qualsevol tipus de filtració (especialment si aquesta afecta dades de caràcter personal) és un maldecap per a qualsevol empresa, independentment de la seva mida, antiguitat o sector d'activitat.

Una bretxa pot produir-se a partir d'una sèrie de fonts, per la qual cosa és fonamental assegurar-se que els empleats comprenen a què han de prestar atenció i saben com mantenir la informació important a resguard.

Formació contínua

La formació dels empleats en matèria de seguretat ha de ser una política contínua, de recorregut complet, que capaciti els individus per definir i reconèixer les amenaces, les conseqüències excessives (personals i empresarials) i les mesures de prevenció.

És a dir, que totes les empreses han de tenir un programa de formació en ciberseguretat per mitigar les possibilitats d'un atac i les seves possibles conseqüències. Perquè aquest pla tingui èxit, ha d'abastar diferents aspectes, com que els empleats han de saber el màxim possible sobre la seguretat de la xarxa, quins

poden ser algunes de les principals vies d'atac i transmissió d'una amenaça i com han de reaccionar si tenen la mínima sospita (o constatació) que hi ha hagut un atac o intent de.

Aquesta formació ha de ser exhaustiva per conèixer els diferents tipus d'amenaces a les quals ens enfrontem. Els empleats han de conèixer bé les diferents possibilitats d'atacs que existeixen per poder diferenciar-les. Amb aquest coneixement, estaran més preparats per detectar-les i evitar caure en el seu parany.

A més, han de saber qui són els responsables de seguretat de l'organització, així com els protocols a seguir en cas que sorgeixi una amenaça. És molt important informar correctament en temps, forma i autoritat sobre qualsevol problema que pugui aparèixer, especialment en temes de seguretat.

Entre els assumptes que aquesta formació de seguretat ha de cobrir es troben alguns com els perills de la pirateria informàtica, els dispositius mòbils robats o la publicació d'informació sensible, entre altres causes de les violacions de dades. La formació també s'ha de realitzar a intervals regulars i incloure test i proves, com simulacres de "foc real".

Existe al mercat algunes solucions que permeten a les empreses enviar correus electrònics de prova als empleats per veure qui són més susceptibles de caure en les xarxes de l'enginyeria social. També solen proporcionar formació als que fan clic a l'enllaç o introdueixen informació al correu electrònic fals.

La inversió més important

Per tot el que estem veient, has de ser conscient que la formació en ciberseguretat en els empleats és, probablement, la partida més important de tota la teva estratègia de seguretat. Si un departament de seguretat informàtica gasta milers o milions d'euros en els últims tallafocs d'alta tecnologia, programari de prevenció de malware i mecanismes de pèrdua de dades, però no forma adequadament els empleats sobre les amenaces a la seguretat, probablement estigui llençant els diners.

Una cosa especialment sensible quan els empleats tenen un gran accés a la informació sensible. Tot i que pots tenir habilitades moltes (i sofisticades) eines de seguretat per protegir les dades, els empleats continuen sent l'últim esglaó i moltes vegades el més feble per aconseguir eludir (moltes vegades sense ser conscient del dany que es pot realitzar) totes aquestes eines i mesures de seguretat.