Los fundamentos de un programa de concientización sobre seguridad

Written By Guest User

Ya sea que apenas esté comenzando y no tenga un programa de concientización de seguridad implementado, o que esté buscando construir uno a partir de un programa existente, para el mes de concientización sobre ciberseguridad este año queremos volver a lo básico y cubrir los fundamentos de un programa de concientización de seguridad.

¿Qué es un programa de concientización sobre seguridad?

Un programa de concientización sobre seguridad es una forma de proteger a su organización del riesgo cibernético. Debe considerar su seguridad tecnológica, física y humana. Si bien los 3 componentes son esenciales para un programa completo de concientización sobre ciberseguridad, en este blog nos centraremos en la seguridad humana.

Seguridad humana

Las organizaciones están comenzando a invertir más en seguridad humana al capacitar y educar a sus empleados sobre el importante papel que desempeñan en la protección de la organización. Aunque podemos implementar controles físicos y tecnológicos, los ciberdelincuentes continuarán atacando a las personas de maneras que la seguridad física y tecnológica no siempre detectarán. Por eso es tan importante capacitar a sus empleados para que tengan el control de la tecnología que usan todos los días.

Al comunicar el importante papel que desempeñan los empleados en los esfuerzos de ciberseguridad de su organización, recuerde no usar miedo, incertidumbre y duda en su programa de concientización sobre seguridad. Si bien es importante enfatizar las múltiples vías de ataque y los riesgos asociados con la ciberseguridad, abrumar a los empleados con posibles infracciones y otras estadísticas puede causar miedo y hacer que tengan miedo incluso de abrir correos electrónicos que contengan un enlace. En cambio, haga que se sientan empoderados y confiados en su capacidad para reconocer y denunciar los riesgos cibernéticos.

Para capacitar a sus empleados para que sean la mejor primera línea de defensa de su organización contra las amenazas cibernéticas, hemos proporcionado la línea de base sobre cómo comenzar a medir el éxito de su programa de concientización sobre seguridad.

Creación de una línea de base para medir el éxito

1.     Crear una encuesta

Cree una encuesta con preguntas relacionadas con la contribución de un empleado a la hora de proteger su organización y céntrese en cuáles son los sentimientos que tiene en torno a la ciberseguridad. Al analizar estos resultados, puede obtener una buena comprensión de qué sienten los diferentes departamentos y empleados en lo que respecta a la ciberseguridad y el papel que desempeñan en la protección de su organización. Puede usar esta encuesta para identificar cualquier laguna en la comprensión y crear capacitación para abordar estas lagunas. Para medir el éxito de su programa, haga que los empleados respondan esta encuesta anualmente y compare los resultados para ver qué áreas han mejorado y cuáles pueden necesitar más atención.

2.     Impartir formación educativa

La capacitación es un componente clave para un programa de concientización de seguridad y no debe considerarse concluida después de la capacitación inicial. La capacitación debe realizarse de manera frecuente y regular para que la ciberseguridad se convierta en una parte integral de su organización. Incluya capacitación básica en ciberseguridad en su proceso de incorporación y siga capacitando a los empleados con frecuencia en sesiones cortas para mantener la atención y el compromiso. Considere la posibilidad de impartir capacitación que sea consistente con las amenazas reales que enfrenta su organización para que sus empleados puedan estar preparados para reconocer y denunciar amenazas sospechosas.

3.     Enviar simulaciones de phishing

Después de la capacitación inicial, siga exponiendo a los empleados a intentos de phishing regularmente. Recomendamos que enfrente a los empleados a intentos de phishing mensualmente para realizar un mejor seguimiento de las mejoras individuales, departamentales y organizativas. Un componente importante del phishing es recompensar a los empleados por reconocer y denunciar phishing. Esto puede ser tan simple como hacer un seguimiento con ellos para felicitarlos por identificar el intento de phishing, mencionarlos en su herramienta de comunicación o proporcionar alguna otra recompensa, como un certificado u otro premio. Al recompensar a los empleados por denunciar intentos de phishing, los estará alentando a continuar con este buen comportamiento cibernético.

Guest User
Previous

Cómo implementar consecuencias y recompensas en su programa de concientización sobre seguridad
Next

Protección de los datos de la empresa fuera de la oficina