Los consejos de formación en ciberseguridad que su empresa estaba buscando

Hacer cumplir estrictamente un plan de seguridad de TI de varios niveles para TODO el personal

A medida que surgen nuevas amenazas, es imperativo mantener las políticas actualizadas para proteger su negocio. Su manual del empleado debe incluir un plan de seguridad de TI de varios niveles compuesto por políticas por las cuales todo el personal, incluidos los ejecutivos, la administración e incluso el departamento de TI, deben rendir cuentas.

  • Política de uso aceptable: indique específicamente lo que está permitido y lo que está prohibido para proteger los sistemas corporativos de una exposición innecesaria al riesgo. Incluya recursos como el uso del correo electrónico interno y externo, las redes sociales, la navegación web (incluidos los navegadores y sitios web aceptables), los sistemas informáticos y las descargas (ya sea de una fuente en línea o una unidad flash). Todos los empleados deben reconocer esta política con una firma para indicar que comprenden las expectativas establecidas en la política.

  • Política de datos confidenciales: identifica ejemplos de datos que su empresa considera confidenciales y cómo se debe manejar la información. Esta información suele ser el tipo de archivos de los que se deben realizar copias de seguridad de forma periódica y son el objetivo de muchas actividades de los ciberdelincuentes.

  • Política de correo electrónico: el correo electrónico puede ser un método conveniente para transmitir información, sin embargo, el registro escrito de la comunicación también es una fuente de responsabilidad en caso de que llegue a las manos equivocadas. Tener una política de correo electrónico crea pautas coherentes para todos los correos electrónicos enviados y recibidos e integraciones que se pueden utilizar para acceder a la red de la empresa.

  • Política BYOD / Teletrabajo: la política Traiga su propio dispositivo (BYOD) cubre los dispositivos móviles y el acceso a la red que se utiliza para conectarse a los datos de la empresa de forma remota. Si bien la virtualización puede ser una gran idea para muchas empresas, es fundamental que el personal comprenda los riesgos que presentan los teléfonos inteligentes y la conexión WiFi insegura.

  • Política de acceso de invitados y redes inalámbricas: cualquier acceso a la red que no sea realizado directamente por su equipo de TI debe seguir pautas estrictas para controlar los riesgos conocidos. Cuando los invitados visitan su empresa, es posible que desee restringir su acceso al uso de Internet saliente solo, por ejemplo, y agregar otras medidas de seguridad a cualquier persona que acceda a la red de la empresa de forma inalámbrica.

  • Política de respuesta a incidentes: formalice el proceso que seguiría el empleado en caso de un incidente cibernético. Considere escenarios como una computadora portátil perdida o robada, un ataque de malware o el empleado que se enamora de un esquema de phishing y proporciona detalles confidenciales a un destinatario no autorizado. Cuanto más rápido se notifique a su equipo de TI sobre tales eventos, más rápido podrá ser su tiempo de respuesta para proteger la seguridad de sus activos confidenciales.

  • Política de seguridad de la red: proteger la integridad de la red corporativa es una parte esencial del plan de seguridad de TI. Disponga de una política que especifique las pautas técnicas para proteger la infraestructura de red, incluidos los procedimientos para instalar, reparar, mantener y reemplazar todos los equipos en el sitio. Además, esta política puede incluir procesos relacionados con la creación y el almacenamiento de contraseñas, pruebas de seguridad, copias de seguridad en la nube y hardware en red.

  • Procedimientos de salida del personal: cree reglas para revocar el acceso a todos los sitios web, contactos, correo electrónico, entradas seguras de edificios y otros puntos de conexión corporativos inmediatamente después de la renuncia o despido de un empleado, independientemente de si cree o no que tiene alguna intención maliciosa hacia la empresa.

«Más de la mitad de las organizaciones atribuyen un incidente de seguridad o una violación de datos a un empleado malintencionado o negligente». Fuente:
http://www.darkreading.com/vulnerabilities—threats/employee-negligence-the-cause-of-many-data-breaches-/d/d-id/1325656

El entrenamiento NO es cosa de una sola vez; Mantenga la conversación en marcha

La capacitación de los empleados en concientización sobre seguridad cibernética reduce drásticamente el riesgo de caer presa de un correo electrónico de phishing, detectar una forma de malware o ransomware que bloquea el acceso a sus archivos críticos, filtrar información a través de una violación de datos y un número creciente de amenazas cibernéticas maliciosas. que se desatan cada día.

Los empleados no capacitados son la mayor amenaza para su plan de protección de datos. Entrenar una vez no será suficiente para cambiar los hábitos de riesgo que han adquirido a lo largo de los años. Deben tener lugar conversaciones regulares para garantizar la cooperación para buscar activamente las señales de advertencia de enlaces y correos electrónicos sospechosos, así como cómo manejar situaciones de reciente desarrollo a medida que ocurren. Las actualizaciones constantes sobre las amenazas más recientes y la aplicación de su plan de seguridad de TI crean responsabilidad individual y confianza en cómo manejar los incidentes para limitar la exposición a un ataque.

«Todas las empresas se enfrentan a una serie de desafíos de ciberseguridad, sin importar el tamaño o la industria. Todas las empresas deben proteger de manera proactiva a sus empleados, clientes y propiedad intelectual». Fuente:
https://staysafeonline.org/business-safe-online/resources/creating-a-culture-of-cybersecurity-in-your-business-infographic

El entrenamiento debe ser tanto personal como profesional para mantenerse

Cree oportunidades periódicas para compartir noticias de actualidad sobre violaciones de datos y explore diferentes métodos de ciberataque durante un almuerzo y aprenda. A veces, la mejor manera de aumentar el cumplimiento es golpear cerca de casa haciendo que la capacitación sea personal. Es probable que sus empleados estén tan desinformados sobre su seguridad informática personal y las estafas comunes como sobre los riesgos de seguridad que representan para su empresa.

Amplíe esta idea extendiendo una invitación para educar a toda su familia sobre cómo protegerse del delito cibernético durante un evento fuera del horario de atención. Considere cubrir temas que puedan resultar atractivos para una variedad de grupos de edad, como cómo controlar la configuración de privacidad y seguridad en las redes sociales, juegos en línea, etc. y cómo reconocer las señales de peligro de que alguien esté buscando información personal o dinero a través de e- correo y llamadas telefónicas. Las personas mayores y los niños pequeños son especialmente vulnerables a dicha explotación.

No haga más difícil una situación difícil; Recuerde que QUIERE que se informen banderas rojas

Hacer que la capacitación en seguridad continua sea una prioridad reducirá en gran medida los errores repetidos y evitará muchos ataques evitables, sin embargo, los errores ocurren. Puede ser muy vergonzoso y un shock para el orgullo reconocer su error e informar su participación en una posible violación de seguridad. Su primer instinto puede ser maldecir y gritar, pero esto sería un grave error. Mantener la calma y la compostura es la clave para la confianza necesaria para que los empleados acudan a usted de inmediato, mientras se sienten más vulnerables.

Por esta razón, trate cada informe con aprecio y atención inmediata. Ya sea que la alerta resulte ser una falsa alarma o una crisis real, evite reprender al empleado por su error, sin importar cuán roja se ponga la cara.

Cuando la situación esté bajo control, aproveche la oportunidad para agradecerles por informar la situación para que pueda manejarse adecuadamente. Recuerde que se necesita mucho coraje para dar un paso al frente cuando sabe que usted tiene la culpa. Ayude al empleado a comprender qué buscar la próxima vez si es algo que podría haberse evitado, como un error del usuario.

Resumen de formación cibernética

  • Implementar un plan de seguridad de TI de varios niveles estrictamente aplicado para TODO el personal
  • El entrenamiento NO es cosa de una sola vez;
  • Mantenga la conversación en marcha
  • El entrenamiento debe ser tanto personal como profesional para mantenerse
  • No haga más difícil una situación difícil; Recuerde que QUIERE que se informen banderas rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *