¿Qué deben saber sus empleados sobre la seguridad informática?

La amenaza número uno contra la seguridad de su sistema de información es la amenaza interna. Asegúrese de que sus empleados sepan cómo funcionar de forma segura con las computadoras. No hacerlo es una falta de diligencia debida de su parte.

Entre lo que los empleados deben saber como mínimo se enumera a continuación:

¿Qué tipo de información procesa su empresa?
¿Cuáles son las responsabilidades básicas de los empleados para la seguridad de la información?
¿Cuáles son los componentes de la política de contraseñas de la organización?
¿Cuáles son las mejores prácticas de seguridad que deben seguir los empleados?
¿Qué califica como un área de trabajo limpia que respalda la seguridad?
¿De qué tipo de amenazas deben estar en guardia los empleados?
¿Cuáles son algunos de los métodos de ataque más comunes?
¿Qué acciones deben tomar los empleados cuando ocurre un ataque?
¿Cuáles son las políticas de correo electrónico de la empresa?
¿Cuáles son las políticas de navegación web y redes sociales de la empresa?

Sus empleados deben saber cómo se procesan los datos sin procesar para crear información y cómo su empresa los utiliza para tomar decisiones importantes y obtener ganancias.

Hágalo mal y la empresa pierde.

Las personas que trabajan para usted y los terceros que entran en contacto con su sistema deben verse como posibles amenazas. Es por eso que debe existir un plan de seguridad de la información y todos deben estar al tanto. Cualquier cosa menos equivale a tener los proverbiales «pantalones alrededor de los tobillos».

Cada empleado es responsable de la seguridad informática y la garantía de sus activos digitales. Las personas que obtienen y procesan datos de la empresa deben conocer todas sus responsabilidades. Quienes trabajan para usted deben ser conscientes y responsables.

Cada individuo que trabaja en su organización debe ser consciente de la seguridad y saber qué hacer en caso de un intento de ataque o de un ataque real. Cualquier cosa menos y tu gente fracasará.

Todo el mundo debería saber cómo mantener un espacio de trabajo seguro, en el que los documentos confidenciales no estén a la vista. Los trabajadores deben saber cómo bloquear sus teclados para evitar que los transeúntes observen las pantallas y accedan a las terminales.

Todas las personas de la empresa deben saber cómo crear y mantener contraseñas sólidas o autenticación multifactor. Las contraseñas deben ser complejas y cambiadas periódicamente. Se debe mantener y evaluar periódicamente un programa de seguridad digital para toda la organización.
Las políticas relacionadas con la seguridad deben ajustarse a las mejores prácticas comerciales y de la industria. Deben ser parte de la capacitación de concienciación sobre seguridad de cada empleado. Por ejemplo, las personas que trabajan para usted deben saber que los medios de almacenamiento que se encuentran fuera de la oficina deben escanearse correctamente antes de introducirlos en su sistema de información.

Su gente debe conocer los métodos de ataque comunes que utilizan los ciberdelincuentes y otros. Una solicitud aparentemente inocente de información por teléfono podría ser el comienzo de un ataque de ingeniería social diseñado para obtener información crucial para ingresar al sistema de la empresa.

El correo electrónico debe formar parte de las políticas de la organización para proteger la información confidencial. Una vez más, tener políticas debe ser parte del esfuerzo de debida diligencia de una organización para mantener a raya a los ciberdelincuentes y fuera de su sistema. Sus trabajadores deben saber cómo manejar las diversas situaciones que se presenten. Simplemente hacer clic en un enlace malicioso podría comprometer todo su sistema.

El uso de plataformas de redes sociales y navegar por Internet podría abrir múltiples vías para que los usuarios malintencionados ingresen a su sistema. Sus empleados deben saber lo que se considera una práctica aceptable cuando se trata de utilizar los recursos de Internet. Su empresa podría ser considerada responsable, por ejemplo, si un empleado escribió algo despectivo sobre un grupo étnico o sus activos podrían incluso utilizarse para fines ilegales sin su conocimiento.

Mantener la confidencialidad, integridad y disponibilidad de la información de misión crítica de su empresa requiere que quienes trabajan para su empresa tengan las herramientas para hacerlo. Tener un plan formal de seguridad de la información es una necesidad básica. Estás en un verdadero problema y ya has perdido la batalla contra los ciberdelincuentes si no tienes un plan. Y si tiene un plan y sus empleados no lo saben, lo mismo es válido.

Debe comenzar a tratar la seguridad informática como un proceso comercial.