En la actualidad existe una amplia gama de soluciones para proteger nuestros activos importantes, entre ellos la información. Sin embargo, la realidad es que las compañías con frecuencia ignoran que los ciberdelincuentes no están interesados en batallas desgastantes contra soluciones robustas cuando existe un eslabón vulnerable: los empleados.
La seguridad en las organizaciones (h2)
Un común denominador en las organizaciones es la comunicación vía correo electrónico, lo cual puede acarrear la llegada de correos promocionales molestos y por ende adquieren soluciones de antispam, pero realmente el problema serio es que el riesgo no se encuentra en los correos publicitarios molestos sino en los de indentidad o phishing, que persuaden al usuario para comprometer los activos de la organización. Un tipo de ataque muy popular en los últimos dos años es el ransomware u otros malware, que el 90% de los casos ingresa a las organizaciones vía correo electrónico y su impacto tiene un costo del que no todas las empresas se pueden recuperar fácilmente. Seguridad informática en las empresas. Cómo protegerse (h2) Considerando lo anterior, es claro que contar con protección de correo electrónico (no antispam) es una opción muy atractiva para quienes les preocupa su postura de seguridad, pero una parte de esta protección radica en la capacidad de los usuarios para reconocer correos malintencionados. De aquí nos surge la pregunta: ¿Cómo podemos garantizar que los usuarios sean conscientes de los riesgos asociados al uso del correo y el cómo actuar cuando reciban un correo malintencionado? En la práctica, dar solución a esta pregunta puede ser un poco complejo, pero un buen programa de capacitación sobre los riesgos asociados al uso de correo, e incluso simular este tipo de eventualidades logrará el objetivo, si tanto la organización como los usuarios se comprometen y reconocen el riesgo latente en este vector. El método favorito de los ciberdelincuentes es la ingeniería social, que básicamente persuade a los usuarios para que ellos mismos brinden información o les permitan vulnerar sus estaciones y es de este método del cual parte la amplia gama de alternativas con las que cuentan los estafadores. Un usuario común no cuenta necesariamente con pleno conocimiento sobre las herramientas informáticas de uso cotidiano, por lo que es menester de la compañía asegurar que tenga los controles suficientes para interactuar con sus correos de forma responsable y consciente.La cultura de la seguridad informática en las empresas (h2)
Cuando hablamos de usuarios de diversas áreas puede resultar problemático plantear un esquema de capacitación, por este motivo resulta una opción más atractiva hablar de cultura. Queremos que en nuestras organizaciones el uso responsable y consciente del correo no sea una imposición técnica sino una tradición o costumbre, y de esta manera, encontrarán mucho más fácil y natural detectar y reaccionar frente a este problema. Contar con un aliado experto facilita el proceso de implementación de la cultura phishing, un plan de trabajo a nivel de organización logrará satisfactoriamente el objetivo, brindando un gran valor a la postura de seguridad de la compañía. Aliados como SOFTNET S.A.S proponen los siguientes ítems importantes para un plan de trabajo orientado a la concientización de usuarios:- Brindar charlas de seguridad de la información.
- Capacitar a los usuarios en vulnerabilidades e información personal.
- Generar pruebas phishing con el objetivo de determinar si las charlas y capacitaciones cumplen con el objetivo.
- Brindar herramientas que permitan notificar al área encargada anomalías.
- Premiar emocionalmente a las áreas que estén comprometidas con la causa.