En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.
Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.
#1. Establecer un correo de consulta
Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.
Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.
#2. Reporte de alertas tempranas
Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.
#3. Charlas y/o capacitaciones
Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.
Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.
También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.
#4. Dinámicas o concursos
Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.
Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.
#5. Guía de buenas prácticas en seguridad
Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.
Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.
Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.