Mejores prácticas de capacitación sobre ciberseguridad para los empleados
En 2018, Nationwide le encargó a Edelman Intelligence que realizara una encuesta en línea de 20 minutos a 1,000 propietarios de empresas de EE. UU. que tuvieran entre 1 y 499 empleados. Descubrieron que, si bien el 76% de los propietarios de empresas cree que es importante establecer políticas y prácticas de seguridad para proteger la información confidencial, solo el 47% las ha establecido en cierta medida. A pesar de una mayor concientización, muchas compañías aún no han establecido mejores prácticas en forma completa.
Tener mejores prácticas y políticas implementadas, capacitar adecuadamente a los empleados y hacerlos responsables puede marcar la diferencia entre llevar adelante una empresa exitosa y llamar al desastre en la era digital. Los siguientes diez consejos pueden ayudar a mantener la seguridad de tu empresa.
1. Prioriza el cumplimiento del protocolo
La prioridad número uno cuando se trata de la capacitación de los empleados debe ser garantizar que entiendan que son parte de lo que mantiene la seguridad de los datos empresariales. Si no cumplen el protocolo y no garantizan que los dispositivos que usan estén protegidos, podrían ser el punto débil en una red que, de otra manera, es segura, y brindar a los virus u otros códigos maliciosos una puerta trasera para ingresar en el sistema. Asegúrate de que tengan las herramientas y el software de seguridad adecuados en sus máquinas y de que entiendan cómo funcionan, y los esfuerzos que se necesitan de ellos.
En el mejor de los casos, el software en uso recibirá actualizaciones automáticas, pero los empleados deben poder detectar si hay algún problema y saber con quién hablar (como alguien del departamento de IT) en caso de que algo salga mal.
2. Implementa políticas que mantengan la seguridad de los datos confidenciales
Es necesario que los propietarios de empresas tengan políticas formales escritas, y que compartan estos documentos con todos los empleados. Pero no es suficiente solo compartir los documentos, y esperar que los empleados los lean en su totalidad y asimilen todo el contenido. Es una buena idea mantener debates con los empleados sobre las políticas durante el proceso de capacitación y durante todo el período de empleo. Incluso puede ser beneficioso para los empleadores evaluar periódicamente a los empleados acerca del contenido de las políticas y garantizar que respeten el protocolo en todo momento.
3. Enseña a los empleados acerca de las amenazas cibernéticas y la responsabilidad
Los empleados deben entender la gravedad de las amenazas cibernéticas y actuar en consecuencia. Asegúrate de que entiendan cómo los ataques cibernéticos pueden dañar los negocios y de que sepan que si infringen las políticas de protección, se los hará responsables de esto.
4. Crea contraseñas seguras y cámbialas con frecuencia
Todos saben que las contraseñas seguras ayudan a mantener la seguridad de las cuentas, ¿pero cuántas personas realmente obedecen este consejo común? Las empresas deben asegurarse de que los empleados sepan que deben usar una contraseña segura y que deben cambiarla con frecuencia para mayor seguridad. Incluso, puede ser mejor asignarles contraseñas (con frecuencia). Simplemente indícales que mantengan la contraseña a salvo del acceso público, tanto en línea como fuera de Internet.
5. Haz cumplir las políticas en relación a las tarjetas de pago
La Agencia para el Desarrollo de la Pequeña Empresa de EE. UU. expresa: “Trabaja con los bancos o los procesadores de tarjetas para garantizar que se utilicen los servicios antifraude y las herramientas más confiables y validados. También puedes tener obligaciones de seguridad adicionales relacionadas con los contratos con el banco o el procesador. Separa los sistemas de pago de otros programas menos seguros y no utilices la misma computadora para procesar pagos y navegar por Internet”.
Estos son buenos consejos para tener en cuenta, especialmente al capacitar a los empleados. Nuevamente, asegúrate de que entiendan que son responsables si utilizan las tarjetas de la compañía o los dispositivos en que se usan tarjetas.
6. Exige una copia de seguridad de todos los datos importantes
Los empleados deben entender que los datos que crean o con los que trabajan pertenecen a la compañía, y que debe mantenerse su seguridad. Eso no solo significa que deben protegerse de los ataques, sino que se debe realizar una copia de seguridad en caso de cualquier tipo de desastre, lo que incluye algo tan simple como un error de hardware. Si es relevante, asegúrate de que los empleados sepan cómo hacer una copia de seguridad de los datos con los métodos que se describen en tus políticas.
7. Permite únicamente que las personas autorizadas utilicen los dispositivos
Las computadoras, las tablets, los teléfonos móviles u otros dispositivos electrónicos proporcionados por la compañía deben ser usados únicamente por los empleados que tengan autorización para utilizar esos dispositivos específicos. También debes resaltar la importancia de obtener autorización para usar cualquier dispositivo. Asegúrate de que los empleados sepan que no deben usar ningún dispositivo sin autorización, y que no deben permitir que nadie más utilice sus dispositivos sin autorización.
8. Crea contenido web de manera segura
Con frecuencia, los atacantes buscan códigos en los sitios web para aprovecharse de una vulnerabilidad de seguridad, y eso significa que cualquier persona que pueda crear o actualizar páginas web debe saber cómo hacerlo de manera segura y cómo evitar abrir una puerta trasera para que los ciberdelincuentes no se aprovechen de una vulnerabilidad de seguridad. Por supuesto, solo las personas autorizadas deben actualizar los sitios web de la compañía. Esto es aún más importante en las páginas que conectan a información confidencial.
9. Prohíbe el software no autorizado
De más está decir que no se debe permitir el software no autorizado en los dispositivos corporativos, pero es posible que los propietarios de empresas deban hacer constantemente hincapié en este punto, ya que, aunque no haya malas intenciones, los empleados posiblemente no duden en agregar software a su máquina. Deben saber que esto es inaceptable.
10. Capacita sobre el uso adecuado del correo electrónico
Por último, pero no por ello menos importante, debes hablar sobre el uso del correo electrónico. El correo electrónico es un camino común que utilizan los delincuentes. Instruye a los empleados en capacitación sobre el correo basura y el phishing, y ayúdales a entender cómo identificar los correos electrónicos ilegítimos.
Para obtener consejos sobre cómo prepararte para los ataques cibernéticos, consulta este artículo.
Metodología
Entre el 9 y el 20 de abril de 2018, Nationwide contrató a Edelman Intelligence para que llevara a cabo una encuesta en línea de 20 minutos de una muestra de 1,000 propietarios de empresas estadounidenses. Los propietarios de empresas se definen como aquellos propietarios que tienen entre 1 y 499 empleados, son mayores de 18 años y se describen como propietario único o parcial de su empresa. El margen de error de esta muestra fue +/-3% a un nivel de confianza del 95%. Como miembro del Consejo de Organizaciones de Investigaciones de Encuestas Estadounidenses (CASRO) con buena reputación, Edelman Intelligence lleva a cabo todas las investigaciones de acuerdo con las pautas y los estándares de investigación de mercado.
Hablar con un especialista
Nationwide proporciona esta información como parte de su boletín informativo electrónico y contenido del sitio web del Centro de Soluciones Comerciales. La información incluida en este boletín informativo electrónico y en el sitio web del Centro de Soluciones Comerciales tiene fines informativos únicamente. No constituye asesoramiento legal, fiscal, financiero ni de ningún otro tipo, ni pretende sustituir dicho asesoramiento. La información podría no aplicarse a tu situación particular. Hemos intentado procurar que la información sea precisa, pero podría estar desactualizada o tener algunas imprecisiones en ciertas partes. Es responsabilidad del lector ajustarse a cualquier reglamentación local, estatal o federal aplicables y tomar sus propias decisiones acerca de cómo llevar adelante su negocio. Nationwide Mutual Insurance Company, sus afiliadas y sus empleados no ofrecen ningún tipo de garantía acerca de la información, los resultados, ni asumen ningún tipo de responsabilidad en relación con la información publicada.