lunes, diciembre 23, 2024
Walmart
Cuba Energy Summit
AVA Resorts
Realidad Turística
MAD-HAV Enjoy Travel Group
Grupo Hotelero Islazul
Mónica Eventos y Bodas
INTERFER
Grupo Hotelero Islazul
MuniGuate
Servicios Médicos Cubanos
AVA Resorts
Agexport
Realidad Turística
Nestle
INTERFER
MAD-HAV Enjoy Travel Group
Herbalife
Instituto Hondureño de Turismo
Los Portales
INOR
Walmart
blackanddecker
Barceló Solymar
Intecap
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Cervecería Centroamericana S.A.
CUN-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Cuba Energy Summit
MITM Events

La sensibilización es fundamental en ciberseguridad

En el mes de la Concienciación sobre la Ciberseguridad (CSAM) se destaca que a medida que el  trabajo remoto es cada vez más común, las líneas entre ser un usuario hogareño y uno corporativo se hacen difusas y los riesgos de compromiso nunca han sido tan agudos. Según Verizon, tres cuartas partes (74%) de todas las violaciones de acceso globales del año pasado incluyen el «elemento humano», que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social.

“El conocimiento es un arma poderosa que puede convertir a los colaboradores de una organización en la primera línea de defensa contra las amenazas. Para construir un entorno corporativo más ciberseguro, los equipos responsables de TI deberían incorporar a sus programas de concienciación sobre seguridad para asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado”, comparte Camilo Gutiérrez Amaya, jefe del laboratorio de Investigación de ESET Latinoamérica.

Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. Desde ESET aseguran que no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo, sino que se trata de cambiar los comportamientos de los usuarios a largo plazo.

“La recomendación es ejecutar programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores y trabajadoras temporales, contratistas y el equipo de ejecutivo; cualquiera puede ser un objetivo, y basta un solo error para abrir la puerta de una organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.”, agregan desde ESET.

Las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.

ESET aconseja incluir en los programas los siguientes temas:

1) BEC y phishing: El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador. Existen varios métodos utilizados, como hacerse pasar por un directivo general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing.

El phishing sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus tácticas están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.

Para 2024, desde ESET recomiendan considerar incluir contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA).  Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

2) Seguridad en el trabajo remoto e híbrido: Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponer a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Ahí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los «gemelos malvados», en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica. También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.

3) Protección de datos: Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

Según ESET, la formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Además, se debería considerar si lo que se publica en las redes sociales debe mantenerse confidencial.

“Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. «Personas, procesos y tecnología» es el mantra que ayudará a construir una cultura corporativa más cibersegura”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

Fuente. ESET

Realidad Turística
INOR
Barceló Solymar
MITM Events
Los Portales
AVA Resorts
Servicios Médicos Cubanos
Walmart
Agexport
MuniGuate
Herbalife
Grupo Hotelero Islazul
Mónica Eventos y Bodas
Cervecería Centroamericana S.A.
CUN-HAV Enjoy Travel Group
blackanddecker
Intecap
Cuba Energy Summit
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
INTERFER
Nestle
Instituto Hondureño de Turismo
MAD-HAV Enjoy Travel Group

Related Articles

Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Mónica Eventos y Bodas
Agexport
Cervecería Centroamericana S.A.
Grupo Hotelero Islazul
MAD-HAV Enjoy Travel Group
CUN-HAV Enjoy Travel Group
Servicios Médicos Cubanos
Intecap
Nestle
AVA Resorts
INTERFER
Los Portales
Walmart
blackanddecker
MuniGuate
Realidad Turística
Herbalife
Barceló Solymar
Instituto Hondureño de Turismo
MITM Events
INOR
Cuba Energy Summit

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

MITM Events
MAD-HAV Enjoy Travel Group
Grupo Hotelero Islazul
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Cuba Energy Summit
INOR
MuniGuate
Barceló Solymar
Intecap
CUN-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Cervecería Centroamericana S.A.
Servicios Médicos Cubanos
Realidad Turística
blackanddecker
AVA Resorts
Walmart
INTERFER
Los Portales
Herbalife
Instituto Hondureño de Turismo
Nestle
Agexport
- Advertisement -
Revista Colombiana de Turismo Passport
Cubacel
Henkel Latinoamerica
Hotel Barcelo Solymar
MuniGuate
Barcelo Guatemala City
Intecap
INTERFER
AirEuropa
Havanatur
Blue Diamond Resorts
Maggi - GLUTEN-FREE

Lo más leído...

- Advertisement -
Blue Diamond Resorts
Revista Colombiana de Turismo Passport
MuniGuate
Cubacel
Hotel Barcelo Solymar
Maggi - GLUTEN-FREE
AirEuropa
Havanatur
INTERFER
Intecap
Henkel Latinoamerica
Barcelo Guatemala City