Conseguir que los usuarios finales cumplan con los esfuerzos de ciberseguridad en las pequeñas empresas

Los empleados y los numerosos riesgos de ciberseguridad que crean pueden convertirse en grandes quebraderos de cabeza para las pequeñas empresas. Los errores humanos son el catalizador número uno de las filtraciones de datos. Incluso si está buscando activamente mejorar su conocimiento y postura de ciberseguridad, es posible que sus empleados y compañeros de trabajo no tengan el mismo nivel de compromiso que usted cuando se trata de proteger datos y sistemas.

Como tal, una de las cosas más importantes que puede hacer el propietario de una pequeña empresa es educar a sus empleados. La educación en ciberseguridad consta esencialmente de tres componentes necesarios:

  • Conciencia de las amenazas: debe asegurarse de que todos los empleados que trabajan para la empresa comprendan que él o ella, y la empresa en su conjunto, son objetivos. Las personas que creen que los delincuentes quieren violar sus computadoras, teléfonos y bases de datos actúan de manera diferente a las personas que no han internalizado esta realidad. Si bien la capacitación formal y regular es ideal, incluso una conversación breve y única realizada cuando los trabajadores comienzan, y actualizada con recordatorios periódicos, puede brindar un valor significativo en este sentido.
  • Capacitación básica en seguridad de la información: todos los empleados deben comprender ciertos conceptos básicos de seguridad de la información. Deben saber, por ejemplo, que deben evitar comportamientos de riesgo cibernético, como abrir archivos adjuntos y hacer clic en enlaces que se encuentran en mensajes de correo electrónico inesperados, descargar música o videos de fuentes cuestionables, usar inapropiadamente Wi-Fi público para tareas delicadas o comprar productos de tiendas desconocidas con precios demasiado buenos para ser verdad ”y sin dirección física públicamente conocida.

Numerosos materiales de capacitación relacionados (a menudo gratuitos) están disponibles en línea. Dicho esto, nunca confíe en el entrenamiento en sí mismo para que sirva como la única línea de defensa contra cualquier riesgo humano sustancial. Muchas personas hacen cosas estúpidas incluso después de recibir una formación clara sobre lo contrario. Además, la capacitación no hace nada para abordar a los empleados deshonestos que sabotean intencionalmente la seguridad de la información.

  • Práctica: la formación en seguridad de la información no debe ser teórica. Los empleados deben tener la oportunidad de practicar lo que han aprendido, por ejemplo, identificando y eliminando / informando un correo electrónico de prueba de phishing.

Incentivar a los empleados para que cumplan con los esfuerzos de ciberseguridad.

Del mismo modo que debe responsabilizar a los empleados por sus acciones si las cosas van mal, también debe recompensar a los empleados por realizar su trabajo de una manera cibersegura y actuar con una ciber higiene adecuada. El refuerzo positivo puede ser de gran utilidad y casi siempre se recibe mejor que el refuerzo negativo.

Además, muchas organizaciones han implementado con éxito sistemas de informes que permiten a los empleados notificar de forma anónima a los poderes relevantes dentro del negocio sobre actividades sospechosas de información privilegiada que pueden indicar una amenaza para sus iniciativas de ciberseguridad, así como posibles errores en los sistemas que podrían generar vulnerabilidades. Estos programas son comunes entre las empresas más grandes, pero también pueden beneficiar a muchas empresas pequeñas.

LEER  Hoja de referencia de Windows Home Server para principiantes

Recuerde revocar el acceso a ex empleados

Existen innumerables historias de empleados que cometen errores que abren la puerta de la organización a los piratas informáticos y de empleados descontentos que roban datos y / o sabotean sistemas. El daño de estos incidentes de ciberseguridad puede ser catastrófico para una pequeña empresa. Protéjase y proteja a su empresa de este tipo de riesgos configurando su infraestructura de información para contener el daño si algo sale mal.

¿Cómo puedes hacer esto? Brinde a los trabajadores acceso a todos los sistemas informáticos y datos que necesitan para realizar su trabajo con el máximo rendimiento, pero no les dé acceso a nada más de naturaleza sensible.

Los programadores no deberían poder acceder al sistema de nómina de una empresa, por ejemplo, y un contralor no necesita acceso al sistema de control de versiones que contiene el código fuente del software propietario de una empresa.

Limitar el acceso puede marcar una gran diferencia en términos del alcance de una fuga de datos si un empleado se vuelve deshonesto. Muchas empresas han aprendido esta lección por las malas. No se convierta en uno de ellos.

Dar a cada uno sus propias credenciales

Cada empleado que acceda a todos y cada uno de los sistemas en uso por la organización debe tener sus propias credenciales de inicio de sesión en ese sistema. ¡No comparta credenciales!

La implementación de un esquema de este tipo mejora la capacidad de auditar las actividades de las personas (lo que puede ser necesario si ocurre una violación de datos u otro evento de ciberseguridad) y también alienta a las personas a proteger mejor sus contraseñas. porque saben que si se usa indebidamente la cuenta, la gerencia se ocupará del asunto personalmente y no a un equipo.

El conocimiento de que una persona será responsable de su comportamiento en relación con el mantenimiento o el compromiso de la seguridad puede hacer maravillas en un sentido proactivo.

Del mismo modo, cada persona debe tener sus propias capacidades de autenticación multifactor, ya sea un token físico, un código generado en su teléfono inteligente, etc.

Restringir administradores

Los administradores del sistema suelen tener privilegios de superusuario, lo que significa que pueden acceder, leer, eliminar y modificar los datos de otras personas. Por lo tanto, es esencial que si usted, el propietario de la empresa, no es el único superusuario, implemente controles para monitorear lo que hace un administrador.

Por ejemplo, puede registrar las acciones del administrador en una máquina separada a la que el administrador no tiene acceso.

Permitir el acceso solo desde una máquina específica en una ubicación específica, lo que a veces no es posible debido a las necesidades comerciales, es otro enfoque común en la ciberseguridad, ya que permite apuntar una cámara hacia esa máquina para registrar todo lo que hace el administrador.

Limite el acceso a las cuentas corporativas

Su propia empresa puede tener varias cuentas propias. Por ejemplo, puede tener cuentas de redes sociales (una página de Facebook, una cuenta de Instagram y una cuenta de Twitter), cuentas de correo electrónico de atención al cliente, cuentas de teléfono y otras cuentas de servicios públicos.

Otorgue acceso solo a las personas que necesitan absolutamente acceso a esas cuentas. Idealmente, cada una de las personas a las que da acceso debería tener acceso auditable, es decir, debería ser fácil determinar quién hizo qué con la cuenta.

LEER  La parte posterior de la consola de su computadora

El control básico y la audibilidad son fáciles de lograr cuando se trata de páginas de Facebook, por ejemplo, ya que puede ser propietario de la página de Facebook para la empresa, al tiempo que brinda a otras personas la capacidad de escribir en la página.

En algunos otros entornos, sin embargo, los controles granulares no están disponibles y deberá decidir entre las implicaciones de seguridad cibernética de proporcionar inicios de sesión a varias personas en una cuenta de redes sociales o hacer que envíen contenido a una sola persona (tal vez, incluso a usted) que hace las publicaciones relevantes.

El desafío de proporcionar a cada usuario autorizado de cuentas de redes sociales corporativas su propia cuenta para lograr tanto el control como la audibilidad se ve agravado por el hecho de que todas las cuentas confidenciales deben protegerse con autenticación multifactor.

Algunos sistemas ofrecen capacidades de autenticación de múltiples factores que tienen en cuenta el hecho de que es posible que varios usuarios independientes necesiten tener acceso auditable a una sola cuenta. En algunos casos, sin embargo, los sistemas que ofrecen capacidades de autenticación multifactor no combinan bien con entornos de varias personas.

Pueden, por ejemplo, permitir un solo número de teléfono celular al que se envían contraseñas de un solo uso a través de SMS. En tales escenarios, deberá decidir si desea

  • Utilice la autenticación multifactor, pero con una solución alternativa, por ejemplo, utilizando un número de VOIP para recibir los mensajes de texto y configurando el número de VOIP para reenviar los mensajes a varias partes por correo electrónico (como lo ofrece sin costo, por ejemplo, Google Voz).
  • Utilice la autenticación multifactor sin solución alternativa y configure los dispositivos de los usuarios autorizados para que no necesiten autenticación multifactor para las actividades que realizan.
  • No use la autenticación multifactor, sino que confíe únicamente en contraseñas seguras (no recomendado)
  • Encuentre otra solución alternativa modificando sus procesos, procedimientos o tecnologías utilizadas para acceder a dichos sistemas.
  • Utilice productos de terceros que se superpongan a los sistemas (a menudo, la mejor opción cuando está disponible)

La última opción suele ser la mejor opción. Varios sistemas de administración de contenido, por ejemplo, se pueden configurar para múltiples usuarios, cada uno con sus propias capacidades de autenticación fuerte e independiente, y todos estos usuarios tienen acceso auditable a una sola cuenta de redes sociales.

Si bien las empresas más grandes casi siempre siguen alguna variante del último enfoque, tanto por razones de administración como de seguridad, muchas pequeñas empresas tienden a tomar el camino más fácil y simplemente no usan la autenticación sólida en tales casos. El costo de implementar una ciberseguridad adecuada, tanto en términos de dinero como de tiempo, suele ser bastante bajo, por lo que definitivamente se debe explorar productos de terceros antes de decidir adoptar otro enfoque para este desafío de ciberseguridad.

El valor de tener la seguridad adecuada con auditabilidad se hará evidente de inmediato si alguna vez tiene un empleado descontento que tuvo acceso a las cuentas de redes sociales de la empresa o si un empleado feliz y satisfecho con dicho acceso es pirateado.

LEER  ¿Qué son las direcciones IP en las redes domésticas?

Hacer cumplir las políticas de redes sociales

Diseñar, implementar y hacer cumplir las políticas de redes sociales es importante porque las publicaciones inapropiadas en las redes sociales realizadas por sus empleados (o usted mismo) pueden infligir todo tipo de daños. Pueden filtrar información confidencial, violar las reglas de cumplimiento y ayudar a los delincuentes a realizar ingeniería social y atacar su organización, exponer su negocio a boicots y / o demandas, etc.

Desea dejar en claro a todos los empleados qué es y qué no es un uso aceptable de las redes sociales. Como parte del proceso de elaboración de las políticas, considere consultar a un abogado para asegurarse de no violar la libertad de expresión de nadie. También es posible que desee implementar tecnología para asegurarse de que las redes sociales no se transformen de una plataforma de marketing en una pesadilla de ciberseguridad.

Supervise a los empleados para que tengan éxito con la ciberseguridad

Independientemente de si planean o no monitorear realmente el uso de la tecnología por parte de los empleados, las empresas deben informar a los usuarios que tienen derecho a hacerlo. Si un empleado se deshonra y roba datos, por ejemplo, usted no quiere que se impugne la admisibilidad de la evidencia con el argumento de que no tiene derecho a monitorear al empleado.

Además, decirles a los empleados que pueden ser monitoreados reduce la probabilidad de que los empleados hagan cosas que violen la política de ciberseguridad porque saben que pueden ser monitoreados mientras hacen tales cosas.

A continuación, se muestra un ejemplo de texto que puede proporcionar a los empleados como parte de un manual del empleado o similar cuando comienzan a trabajar:

La Compañía, a su entera discreción, y sin previo aviso al empleado, se reserva el derecho de monitorear, examinar, revisar, registrar, recopilar, almacenar, copiar, transmitir a otros y controlar cualquier correo electrónico y otras comunicaciones electrónicas, archivos, y cualquier otro contenido, actividad de la red, incluido el uso de Internet, transmitido por oa través de sus sistemas de tecnología o almacenado en sus sistemas de tecnología o sistemas, ya sea en el sitio o fuera del sitio. Dichos sistemas incluirán los sistemas que posee y opera y los sistemas que arrienda, licencia o sobre los cuales tiene derechos de uso.

Además, ya sea que se envíe a una parte interna, externa o ambas, todos y cada uno de los correos electrónicos, mensajes de texto y / u otros mensajes instantáneos, correo de voz y / o cualquier otra comunicación electrónica se consideran registros comerciales de la Compañía, y puede estar sujeto a descubrimiento en caso de litigio y / o divulgación basada en garantías entregadas a la empresa o solicitudes de reguladores y otras partes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *