6. Protección de datos y privacidad
Ya se rija por el GDPR, la CCPA, la HIPAA o las políticas internas, la protección de datos es tarea de todos, no sólo de los departamentos de TI o Jurídico.
La pérdida de datos suele deberse a pequeños pasos en falso:
- Subir archivos a cuentas personales en la nube
- Compartir información sensible a través de canales no encriptados
- Conservar los informes en ordenadores de sobremesa o unidades USB
La formación debe incluir:
- Qué constituyen datos sensibles en su contexto empresarial específico
- Cómo almacenar, compartir y eliminar los datos correctamente
- Por qué son importantes las políticas de encriptación, redacción y conservación
Mimecast también refuerza estas prácticas con herramientas de mensajería segura, DLP y aplicación de políticas,porque la formación y la tecnología funcionan mejor juntas.
7. Seguridad de los dispositivos
Con el trabajo remoto e híbrido como norma actual, los ataques a puntos finales han aumentado más de 200% (Forrester). Los teléfonos, las tabletas y los ordenadores portátiles personales pueden convertirse en una puerta trasera en su entorno.
Los usuarios necesitan entender cómo:
- Habilite el cifrado y las contraseñas seguras en todos los dispositivos
- Utilice una Wi-Fi segura y evite los puntos de acceso públicos para tareas delicadas
- Active las funciones de borrado remoto y notifique inmediatamente la pérdida/robo de dispositivos
- Respetar las políticas BYOD y MDM, incluyendo por qué existen y cómo protegen a todos
La formación sobre los dispositivos no debe ser una ocurrencia tardía. Ahora, cada punto final forma parte del perímetro de su red.
8. Intercambio seguro de archivos
Compartir archivos es esencial para que la gente realice su trabajo. Desde contratos e informes financieros hasta borradores de diseño y datos de clientes, la colaboración implica a menudo el envío de archivos de un lado a otro.
Sin embargo, el intercambio no autorizado de archivos sigue siendo una fuente habitual de fugas de datos internos. No se trata sólo de amenazas externas. Muchos incidentes se deben a que los empleados utilizan herramientas no aprobadas o configuran mal los permisos sin darse cuenta de los riesgos que ello conlleva.
Algunos de los escenarios de riesgo más comunes incluyen:
- Envío de archivos sin cifrar como archivos adjuntos de correo electrónico estándar, a menudo a direcciones externas
- Cargar datos confidenciales en cuentas personales en la nube (por ejemplo, Google Drive, Dropbox) para acceder a ellos de forma remota.
- Compartir enlaces que permiten el acceso sin restricciones, permitiendo a cualquiera que tenga el enlace ver, descargar o compartir más
- Olvidarse de revocar el acceso una vez finalizado un proyecto, dejando los archivos disponibles indefinidamente
No se trata de acciones malintencionadas. La mayoría de las veces ocurren porque los usuarios intentan ser eficientes y no comprenden del todo los riesgos.
Ahí es donde la formación marca una verdadera diferencia. Cuando se muestra a los usuarios cómo y por qué se exponen los datos, es mucho más probable que
adopten hábitos seguros. Un sólido programa de concienciación debería guiarles:
- Cómo utilizar plataformas aprobadas y seguras para compartir archivos que ofrezcan encriptación integrada, controles de acceso y registros de auditoría
- Por qué establecer fechas de caducidad en los enlaces compartidos ayuda a limitar las ventanas de exposición, especialmente para los datos sensibles al tiempo o regulados por
- Cómo gestionar adecuadamente los permisos. Por ejemplo, acceso de sólo visualización frente a acceso de edición, socios internos frente a externos
También es importante conectar esta formación con ejemplos del mundo real. Un permiso omitido en un tablero
presentación. Un documento confidencial enviado al cliente equivocado. Un enlace público que se deja abierto mucho después de que se cierre un acuerdo
. Se trata de situaciones evitables que pueden tener consecuencias desmesuradas.
9. Respuesta a incidentes y recuperación
Incluso con defensas fuertes, las cosas pueden salir mal. Lo más importante es la rapidez con la que su equipo detecta, informa y
responde.
Por desgracia, muchos usuarios no saben qué hacer o, lo que es peor, retrasan la denuncia por miedo a las consecuencias.
La formación debe proporcionar:
- Un proceso claro para informar de actividades sospechosas o incidentes confirmados
- Ejemplos de lo que se debe notificar (comportamientos extraños del sistema, clics sospechosos en correos electrónicos, etc.)
- Garantía de que se recompensa la rapidez en la presentación de informes
- Familiaridad con su equipo de respuesta y su plan de comunicación
La realización de ejercicios de mesa o simulacros es una excelente forma de comprobar la comprensión y mejorar la preparación.
10. Seguridad medioambiental
La seguridad no se detiene en la pantalla. Los riesgos de acceso físico siguen siendo habituales, como el tailgating, el shoulder surfing o
puestos de trabajo desbloqueados.
Incluso en entornos de oficina seguros, las brechas pueden producirse cuando:
- Los ordenadores portátiles se dejan sin cerrar y sin vigilancia
- Los documentos sensibles se imprimen y se olvidan
- Los visitantes entran en las zonas sin verificación
La formación en este ámbito debe incluir:
- Recordatorios de la pantalla de bloqueo (y aplicación)
- Políticas de escritorio limpio y eliminación segura de documentos
- Cómo identificar y responder a los seguimientos o accesos no autorizados
Hábitos sencillos como mirar por encima del hombro o bloquear la pantalla antes de tomar un café pueden evitar un incidente grave
.
Haga que la formación sea continua, no de una sola vez
Los mejores programas de formación no son sesiones puntuales. Son coherentes, atractivas y evolucionan, al igual que las amenazas
que pretenden prevenir.
El comportamiento de seguridad decae con el tiempo, especialmente si los usuarios no se enfrentan a amenazas con frecuencia. Los refrescos periódicos y los simulacros del mundo real de
mantienen la concienciación alta y las reacciones agudas.
La formación de concienciación sobre seguridad de Mimecast ofrece:
- Módulos de aprendizaje breves y basados en funciones (2-5 minutos)
- Simulaciones de phishing en tiempo real
- Puntuación de riesgo individual y seguimiento del comportamiento
- Integración con la suite completa de ciberseguridad de Mimecast
Está diseñado para reducir el riesgo iniciado por el usuario, no sólo para marcar casillas de cumplimiento.
Reflexiones finales
La tecnología por sí sola no detendrá la mayoría de los ataques. Los usuarios desempeñan un papel fundamental en su postura de seguridad, pero sólo si se les forma adecuadamente y con regularidad en
.
Estos 10 temas son un punto de partida práctico y de gran impacto para construir un programa de concienciación moderno. Se alinean con
las amenazas actuales, las exigencias normativas y las realidades de cómo trabajan los empleados hoy en día.
Mimecast ayuda a las organizaciones a unirlo todo con formación de concienciación, protección del correo electrónico y la colaboración, y
perspectivas en tiempo real sobre el panorama del riesgo humano.
¿Listo para subir de nivel en su programa de entrenamiento? Programe una demostración para ver cómo Mimecast le ayuda a convertir la concienciación sobre la seguridad en
resiliencia en el mundo real.