A medida que los ataques de phishing y malware se vuelven más frecuentes y sofisticados, las empresas medianas y grandes deben confiar en los empleados para proteger sus datos. Pero los empleados están ocupados. Y la seguridad para ellos es a menudo dejada de última.

Si bien la capacitación en concientización sobre seguridad no parecen valer el esfuerzo, un programa bien diseñado puede generar enormes beneficios.

Aprovechando la ciencia de comportamientos, dichos programas usan métodos no convencionales que van desde poner carteles de capacitación en las paredes baño o enviar trampas de correos electrónicos falsos y phising a los propios empleados.

Fortaleciendo la primera línea de defensa

A pesar de cambios en el tiempo de los métodos de concientización de seguridad, una cosa ha sido constante: la necesidad de un personal educado sobre la seguridad y los peligros de las amenazas en línea.

La seguridad siempre ha sido uno de esos temas importantes que se pierde en otras prioridades de la compañía. Las brechas de seguridad recientes podrían haberse evitado si los empleados conocieran las amenazas y temas actuales. Muchos de sus empleados pueden no tener los conocimientos necesarios para tomar decisiones informadas.

Tales fallas ocurren con demasiada facilidad. Después de todo, es humano quedar atrapado en la carga de trabajo diaria de uno, relegando la seguridad.

Seguridad a través de la psicología

Al tratar de educar al personal sobre la seguridad, los métodos no convencionales de capacitación pueden ser el mejor curso de acción. Como generalmente se considera que la seguridad es aburrida, es importante seguir un modelo conductual de capacitación en el que se aplica un ligero empujón. Hacer que sus empleados sean empujados a hacer lo correcto es una tendencia significativa en la capacitación en concientización sobre seguridad.

Uno de estos métodos es aprovechar el software y / o las políticas de red para descargar parte de la carga mental de tener que recordar las normas y prácticas de seguridad. Usando protecciones simples como programar sus sistemas para bloquear los computadores automáticamente, la implementación de software que bloquea los enlaces maliciosos en un correo electrónico o el uso de un sistema seguro de administración de contraseñas puede ser de gran ayuda.

Muchas de estas técnicas no les piden a los empleados que sigan ninguna guía; las reglas empujan al usuario a tomar la decisión correcta y también a disminuir el número de decisiones que los humanos tienen que tomar .

Esas decisiones, especialmente recordar las contraseñas, pueden ser la perdición de la existencia de muchos usuarios. Los empleados odian las contraseñas largas. Puede que odien tener que cambiarlos aún más. Un administrador de contraseñas seguro que genera contraseñas seguras y almacena cada contraseña para cada aplicación o sitio web funciona de maravilla.

Comienza desde la cima

Aparte de las contraseñas, el ingrediente más importante para cualquier programa de concientización de seguridad empieza desde los ejecutivos de alto nivel. Una cultura que incorpora una apreciación de la seguridad contribuye en gran medida a la participación de los empleados. En consecuencia, alienta a los ejecutivos de a evaluar el riesgo y categorizar las amenazas antes de embarcarse en cualquier proceso de sensibilización.

Un ejercicio que ha arrojado resultados positivos es que los ejecutivos se reúnan y hagan un tipo de actividad de equipo rojo contra equipo azul.

Es un entorno de juego donde un equipo dice: “Voy a hacer un ataque de DDoS en el servidor DNS”, y el otro equipo necesita explicar cómo se defenderán contra él”. Estos ejercicios poco convencionales expondrán los puntos ciegos de una empresa y son una parte importante de cualquier programa de concientización de seguridad.

A medida que se avecina el 2018, las amenazas en línea se vuelven cada vez más poderosas y sofisticadas. Se están extendiendo más rápido y es probable que sea más costoso para las empresas que son atacadas. Cada empresa, independientemente de su tamaño, necesita un plan para abordar lo que se debe hacer si ocurre un ataque.

Por ejemplo, el Instituto Nacional de Estándares y Tecnología de Estados Unidos tiene un gran marco con preguntas para hacer y procedimientos a seguir. Las empresas pueden utilizar este marco para poner en marcha o mejorar sus programas de seguridad.

Si se toma en serio la seguridad, y debe estarlo, responder las preguntas correctas, seguir las pautas establecidas y adoptar un enfoque no convencional de la seguridad puede ser una fórmula ganadora para montar una defensa eficaz.