2 minute read
Cómo definir una estrategia de concienciación
La concienciación es uno de los pilares fundamentales en la estrategia de ciberseguridad global de cualquier empresa en la actualidad.
TexTo: redAcción de cyBerSecuriTy newS
Durante el año 2020 hemos podido ver múltiples ciberataques a grandes compañías las cuales se han visto gravemente afectadas tanto operacionalmente y económicamente, así como podría verse afectada su reputación. Y todo por un ransomware.
También lo hemos podido vivir en nuestra vida personal. Multitud de información relacionada con el Covid-19 y la confusión generada por una situación atípica y de crisis, era el marco perfecto que muchos ciberdelincuentes han aprovechado para estafar.
En cualquiera de los planos, el personal o el profesional, el factor
humano y la concienciación sobre los ciberriesgos constituyen la principal
fortaleza para no caer en el engaño.
En este artículo, nos centramos en el plano profesional para explicar una serie de pasos a través de los cuales definir
una estrategia de concienciación en
ciberseguridad para los empleados de una empresa.
Estrategia de concienciación en 4 pasos: 1. IDENTIFICA colectivos: El primero de los pasos consiste en identificar a los diferentes tipos de colectivos dentro de la compañía. Cuando decimos colectivos nos referimos a grupos de empleados que comparten una serie de características entre ellos y que difieren del resto. Por ejemplo, podemos crear dichos colectivos basándonos en una segmentación por uso de tecnología, por el tipo de información que utilizan, por la actividad que realizan, etc. 2. ANALIZA colectivos: Una vez tenemos los diferentes colectivos identificados procederemos a analizar todo su entorno para recopilar información previa a la definición de las acciones de concienciación que vamos a realizar. Para analizar los colectivos, conocer a fondo sus comportamientos, con quiénes se relacionan, qué tecnologías usan el día a día, etc, algunas de las herramientas y técnicas más utilizadas son las entrevistas o los cuestionarios. 3. ENTRENA colectivos: Con los colectivos identificados y sus necesidades conocidas, procederemos a cubrir dichos vacíos con una serie de acciones de concienciación en ciberseguridad que les entrenen. En este paso podemos utilizar técnicas tan variadas como la realización de charlas personalizadas para cada colectivo, abordando posibles casos que podrían darse en el día a día y con la utilización de la tecnología que aplican. También resulta muy útil la
gamificación, pudiendo mostrar por ejemplo diferentes tipos de phishing
a través de un juego y que mediante la interacción los eviten. Vídeos, infografías, comunicaciones periódicas por diferentes canales, eventos, material offline... cualquier recurso vale para que la ciberseguridad esté presente cada día en la mente de los empleados. Ojo por que este paso de entrenamiento es para muchos un paso puntual pero al igual que el resto de pasos, debe integrarse en una estrategia continuada en el tiempo ya que las tecnologías cambian, los empleados cambian de posición y los ciberataques también. 4. EVALÚA colectivos: Por último, periódicamente debemos de medir y evaluar la concienciación de los empleados ya que lo que no se mide no se puede mejorar. Así pues, técnicas como analizar las preguntas o dudas que surgen por parte de los empleados en algunas de las charlas iniciales con otras en charlas posteriores, o bien crear un phishing simulado, podrán ayudarnos en este punto..
