Las 8 Mejores Prácticas Para La Formación En Protección De Datos

¿Conoces el coste de la protección de datos? El proveedor chino de soluciones de administración de redes sociales, Socialark, descubrió que el costo de no tener protección de datos era más de lo que podían soportar. A principios de este año, la empresa experimentó una violación masiva de datos que expuso 200 millones de cuentas de LinkedIn, Facebook e Instagram . Resultó que Socialark no había protegido con contraseña su base de datos ni cifrado sus datos, un paso en falso costoso para cualquier organización. A la velocidad con la que se crean, almacenan y utilizan los datos, su organización no puede darse el lujo de no tener protección de datos (y capacitación en protección de datos) como parte de su estrategia de seguridad general. Sus empleados deben conocer y estar preparados para manejar las amenazas de phishing y ransomware que van directamente a sus datos. Con las medidas de protección de datos adecuadas y el programa de capacitación de los empleados, puede crear un muro impenetrable alrededor de sus ecosistemas de datos y datos confidenciales. Esta publicación arroja luz sobre la capacitación en protección de datos, por qué sus empleados la necesitan y ocho mejores prácticas para la capacitación en protección de datos. ¿Qué es la formación en protección de datos? La protección de datos consiste en almacenar y asegurar la precisión, confidencialidad e integridad de los datos. Pero la capacitación en protección de datos va un paso más allá para educar a los empleados sobre los estándares de la industria y la organización para proteger los datos de la destrucción, pérdida, modificación o robo. Debido a que los compromisos de datos pueden ocurrir por error o por intención maliciosa, la capacitación en protección de datos aborda las prácticas adecuadas de manejo de datos para proteger contra intentos maliciosos. También ayuda a los empleados a obtener más información sobre la pérdida de datos, las lagunas de privacidad y los problemas de divulgación. Mientras que la capacitación en protección de datos se centra en protocolos para garantizar la autenticidad de los datos, la capacitación en seguridad de datos se enfoca en protocolos para administrar los sistemas, las redes y la infraestructura que contienen los datos. Al combinar protocolos y capacitación para la protección y la seguridad de los datos, prepara a su organización para cumplir con los requisitos reglamentarios de protección de datos. ¿Por qué los empleados necesitan formación en protección de datos? La protección de datos creció a partir de big data, el potencial de violaciones de datos y la necesidad de cumplimiento normativo para proteger los datos de las violaciones de datos. Al proporcionar a los empleados una formación eficaz en materia de protección de datos, obtienen una mejor comprensión de los siguientes conceptos: Con el conocimiento de los protocolos, las leyes y las reglamentaciones en torno a los datos de su organización, sus empleados se vuelven más conscientes de lo importante que es protegerlos. Y, cuando agrega capacitación de concientización sobre seguridad cibernética, los empleados están mejor equipados para manejar posibles riesgos y amenazas internos y externos que pueden conducir a un ataque cibernético y una violación de datos. 8 mejores prácticas para la formación en protección de datos La implementación de un programa de capacitación en protección de datos requiere un enfoque bien planificado y coordinado que fomente la colaboración entre departamentos y promueva la productividad de los empleados. Siga estas ocho mejores prácticas al implementar la capacitación en protección de datos. 1. Abordar los requisitos de cumplimiento del gobierno y la industria A medida que la privacidad del consumidor se vio cada vez más amenazada por las filtraciones de datos como resultado de prácticas de seguridad y manejo de datos deficientes, los gobiernos presionaron por regulaciones más estrictas para proteger a su gente. Estas regulaciones han resultado en la creación de estándares bien conocidos, que incluyen: Cada organismo regulador tiene sus propios criterios que las empresas deben seguir para evitar enfrentarse a multas y sanciones, especialmente cuando se produce una filtración de datos. Para asegurarse de que su empresa cumpla con los estándares de la industria que se relacionan con su negocio, incluya capacitación sobre las regulaciones que debe seguir su empresa y las auditorías que debe pasar. 2. Revise la estrategia de seguridad de su centro de data Cuantas más capas tenga la estrategia de seguridad de su centro de datos, mejor protegerá la información confidencial que contiene. Pero esas capas pueden ser difíciles de entender para los empleados. Por lo tanto, revise la estrategia de seguridad del centro de datos con sus empleados, cubriendo temas como: Documente todas las políticas para que los empleados puedan consultarlas y saber qué se espera para mantener la seguridad de su centro de datos. 3. Revisar los protocolos de seguridad de los datos personales Dado que los empleados utilizan varias aplicaciones SaaS a diario, tienden a elegir una contraseña única, fácil de recordar pero pirateable. El problema con ese enfoque es el riesgo para la seguridad de su empresa. La protección de datos personales requiere estrictos protocolos de seguridad y conciencia proactiva. Sin los protocolos adecuados implementados, los piratas informáticos pueden obtener acceso a sus sistemas, redes y datos confidenciales de la organización y los empleados mediante ataques de fuerza bruta y campañas de ingeniería social. Podría interesarle: Separados por un mismo lenguaje: ciberseguridad y directivos no se entienden Por lo tanto, incluya los protocolos de su organización para la protección de datos personales , que incluyen: Al incluir estos protocolos en su programa de capacitación en protección de datos, sus empleados comprenden las prácticas requeridas para garantizar la privacidad de los datos y la protección de sus propios datos, los datos de su empresa y los datos de sus clientes. 4. Explicar las políticas de la cadena de suministro Los ciberataques a la cadena de suministro existen desde hace décadas, pero se han disparado en los últimos 10 años. A fines de 2020, ocurrió uno de los incidentes más notables, el ataque a la cadena de suministro de SolarWinds, en el que una vulnerabilidad de un tercero permitió a los piratas informáticos infiltrarse en organizaciones de Fortune 500 y organismos gubernamentales de EE. UU. Para evitar una violación de datos que provenga de su cadena de suministro, incluya políticas de cadena de suministro como parte de
Consejos de ciberseguridad para trabajadores independientes

Los trabajadores independientes y el comercio en línea han experimentado un crecimiento significativo en los últimos años. Esta tendencia implica que es crucial tomar precauciones adicionales para protegerse de los ciberataques. Si bien las empresas suelen ser las principales víctimas de los ciberdelincuentes, los trabajadores independientes también están expuestos a sus amenazas. Con recursos tecnológicos limitados y sin un equipo de IT interno, estos profesionales son objetivos atractivos para los ataques de los ciberdelincuentes. Lea también: Ciberseguridad: ¿Por qué es importante tener contraseñas seguras? El mayor impacto que pueden sufrir los trabajadores independientes es el daño a su reputación y consecuencias financieras. La recuperación en estos casos resulta más complicada y, además, se pierde productividad debido al tiempo que se debe dedicar a limpiar la infraestructura tecnológica después de un ataque en lugar de atender a los clientes. Tipos de ataques Aunque existen pocos datos disponibles sobre el número de infiltraciones que afectan a los trabajadores independientes. Los escenarios comunes que podrían afectarlos incluyen ataques de ransomware que bloquean archivos y almacenamiento en la nube, robo y filtración de archivos confidenciales, toma de control de cuentas y ataques de malware dirigidos a cuentas bancarias personales o corporativas (Business Email Compromise Defined o BEC). Consejos para trabajadores independientes Para prevenir estos ataques, ESET Chile comparten algunos consejos prácticos de ciberseguridad, por lo que aquí les indicamos algunos de ellos: FUENTE: Ovando, Judith. »Consejos de ciberseguridad para trabajadores independientes» Pisapapeles.net. 28/05/2023. (https://pisapapeles.net/consejos-de-ciberseguridad-para-trabajadores-independientes/).
El enemigo de la ciberseguridad también habita dentro de la empresa

Los empleados siguen siendo el principal punto de entrada para los ataques maliciosos a las empresas. Expertos chilenos en ciberseguridad ofrecen un panorama de lo que sucede y ofrecen sus recomendaciones. En el mundo absolutamente tecnologizado de hoy, donde las compañías almacenan infinitos datos en la nube, se virtualizan muchos procesos, y se generan accesos remotos de funcionarios y colaboradores, la ciberseguridad se ha convertido en una preocuopación de primer orden. En este contexto, las acciones y el comportamiento de los empleados de la empresa se ha tornado crucial. Según el estudio “El estado de la Ciberseguridad 2023” de Sophos, realizado por la firma Vanson Bourne, dentro de los tres principales riesgos de ciberseguridad está la actividad accidental de usuarios internos (ubicado por 18 % de las empresas) y la actividad deliberadamente maliciosa de los mismos (17 %). Los expertos señalan que el phishing y los ataques de ingeniería social son los tipos de peligros a los cuales están más expuestos los empleados de las empresas. Los cibercriminales saben muy bien que, con un ataque de ingeniería social sofisticado, los empleados pueden revelar información que les puede dar acceso a los sistemas de la compañía, y también podría darles información altamente confidencial. Pero, ¿Cuále son las causas de que las empresas sufran en materia de ciberseguridad a causa de sus empleados? Uso incorrecto de las contraseñas Una de las problemáticas que enfrentan cada día las compañías es el uso incorrecto de contraseñas por parte de sus empleados. Las contraseñas débiles que contienen fechas, nombres o palabras son fáciles de romper y existen diccionarios de hashes de passwords como Crackstation, donde se encuentran la mayoría de este tipo de contraseñas en texto plano. Lea también: Ciberseguridad: ¿Por qué es importante tener contraseñas seguras? “También es posible que con redes WiFi fraudulentas o ingeniería social los cibercriminales puedan acceder a un usuario y un password válido de una empresa. Existe un tipo específico de ciberdelincuentes conocidos como Initial Access Brokers (brokers de acceso), que se dedican a robar usuarios y contraseñas, y venderlos a otros actores criminales. A través de estos accesos, los ciberatacantes pueden ingresar a una organización, realizar reconocimiento, escalamiento de privilegios, movimiento lateral, etc., hasta finalmente llegar a fases de impacto donde pueden ejecutar ransomware y/o exfiltrar información de las empresas”, explica un experto. El peligro está en el usuario La poca prolijidad, el actuar de forma irresponsable y la falta de cumplimiento de protocolos y normativas de seguridad informática por parte de los integrantes de una organización puede abrir brechas en las defensas de seguridad de la compañía. Si un empleado abre un archivo adjunto malicioso o revela información confidencial a un atacante, puede resultar en la pérdida de datos sensibles como información financiera, datos de clientes, propiedad intelectual y otra información crítica para el funcionamiento de la empresa. “Por ejemplo, si un empleado utiliza contraseñas débiles o comparte sus credenciales de acceso, un atacante puede aprovechar esta vulnerabilidad para acceder a sistemas y redes empresariales. Las brechas de seguridad pueden permitir el acceso no autorizado a información confidencial, el robo de datos y el sabotaje de los sistemas”, enfatizan desde ESET Latinoamérica. Otros daños asociados se relacionan con el daño de reputación y en las operaciones comerciales de la empresa afectada, pues la pérdida de prestigio impacta en la confianza de sus clientes, socios comerciales o stakeholders en general. Las nuevas amenazas y el trabajo híbrido De acuerdo con los expertos, la incidencia del trabajo híbrido ha provocado que los empleados remotos estén más expuestos debido a las distracciones, la falta de soporte inmediato para revisar correos sospechosos, y el uso de redes hogareñas y de computadoras personales para el trabajo, que suelen tener menos protecciones contra el malware. Con la transformación digital acelerada por la pandemia se adoptó el uso de tecnologías como el SaaS, la nube, el big data y la analítica, la IoT y la IA, sumado a herramientas para habilitar el trabajo remoto o híbrido. “Todas estas nuevas tecnologías extendieron la superficie de ataque, es decir, los actores criminales pueden tener más puntos de ingreso a la organización como una laptop personal que se conecte a la red de la empresa por una VPN, una carga de trabajo en nube pública que no siga las mejores prácticas de seguridad, o elementos de IoT desprotegidos que son gestionados directamente desde el internet, que pueden representar un gran riesgo si pueden conectarse a redes locales”, asegura un experto para Chile. Herramientas de prevención y mitigación Los expertos sostienen que, en materia de protección, es indispensable que las organizaciones de la región mejoren la gestión de su seguridad. Por ejemplo, migrando hacia una gestión zero-trust. Este modelo, a diferencia del enfoque centrado en la seguridad perimetral –que se apoya en la premisa de confiar y verificar–, parte de la idea de que por defecto las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese a su perímetro y por eso su nombre. Además, las actividades de concientización deben aumentar. Según encuestas realizadas año a año desde ESET, el porcentaje de compañías que afirman realizar actividades de concientización de manera periódica sigue sin exceder el 70 %, lo cual indica que más de una de cada tres compañías son susceptibles a un ataque que utilice componentes de ingeniería social. Consejos de protección para usuarios internos Los consejos básicos que ofrecen los especialistas en ciberseguridad para los miembros de las compañías son: Utilizar contraseñas seguras; activar la 2FA; mantener actualizados los sistemas; estar informado sobre las últimas tendencias en ciberseguridad; y capacitarse para fortalecer la concientización de ciberseguridad. “Las vulnerabilidades críticas de los sistemas no son novedad. De hecho, todavía se siguen viendo sistemas que contienen alguna vulnerabilidad crítica –para la cual existe, hace muchos años, una actualización de Windows que la soluciona– de la que se aprovechaba para infectar, alrededor del año 2017, uno de los malwares más famosos de la historia, WannaCry. Es por esto que se debe tener en cuenta que las vulnerabilidades que se descubren y arreglan
El 90% de los empleados necesita formación básica en ciberseguridad

Sólo el 11% de 3.907 empleados demostró un alto nivel de conocimiento sobre ciberseguridad en la prueba de la herramienta de evaluación gamificada de Kaspersky. Como resultado, y dado que el 90% de las personas sobrestiman sus habilidades de ciberseguridad, la herramienta de evaluación gamificada de Kaspersky está diseñada no sólo para cambiar el comportamiento y la concienciación de los empleados, sino también para ayudar a los CIOs y a los departamentos de recursos humanos a medir las habilidades cibernéticas de los trabajadores, y proporcionar a sus equipos un entorno educativo relevante. Así mismo, durante el juego, los empleados reciben puntos por las decisiones que toman durante las situaciones más comunes que se dan mientras trabajan a distancia -en casa o de viaje- y en la oficina. Se les pide que evalúen si sus acciones conllevan riesgos cibernéticos y el grado de confianza que tienen en sus suposiciones. Podría interesarle: Estos son los desafíos de la ciberseguridad en la Nube Los empleados preparados son significativamente menos que los que no lo están, refleja el reporte Como resultado, uno de cada diez (11%) de los participantes en la prueba recibió un Certificado de Excelencia, lo que significa que dieron respuestas correctas y obtuvieron más del 90% de los puntos posibles. La mayoría de los usuarios -el 61%- obtuvo un resultado «medio» que oscilaba entre el 82% y el 90% de los puntos, mientras que el 28% no pudo demostrar un conocimiento suficiente de la ciberseguridad, obteniendo una puntuación inferior al 75%. La herramienta de evaluación gamificada abarca seis ámbitos de seguridad: contraseñas y cuentas, correo electrónico, navegación web, redes sociales y mensajería, seguridad del PC y dispositivos móviles. El tema de la navegación web parece ser el más difícil para los usuarios: sólo el 24% definió las acciones correctamente. Los escenarios relacionados con los dispositivos móviles fueron los menos complejos: el 43% de los empleados no cometió ningún error al identificar los ciberriesgos en estos escenarios. Contenido relacionado: 5 amenazas que sufren las empresas a causa de la ciberseguridad La opinión de los encargados del estudio «La Herramienta de Evaluación Gamificada se incluye en la ‘fase de compromiso’ de nuestra Cartera de Concienciación de Seguridad. Precede a la fase de formación en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky, lo que permite a los empleados obtener una motivación más clara para el aprendizaje y ayuda a las organizaciones a averiguar qué programa educativo se ajusta mejor a las necesidades específicas de sus trabajadores», comenta Alexander Lunev, Product Manager, Security Awareness & Academic Affairs en Kaspersky. «Sin embargo, incluso el mejor resultado posible obtenido en el juego no es un indicador de que un usuario no necesite más formación avanzada o refrescar sus conocimientos periódicamente. Los métodos de los adversarios pueden cambiar, y la vigilancia de una persona puede debilitarse. Por eso también nos aseguramos de que las partes de aprendizaje y refuerzo de nuestro producto sean interesantes para todos los alumnos de todos los niveles”. FUENTE: Secciones. »El 90% de los empleados necesita formación básica en ciberseguridad» Rrhhdigital.com. 10/12/2022. (https://www.rrhhdigital.com/secciones/tecnologia-e-innovacion/155722/El-90-de-los-empleados-necesita-formacion-basica-en-ciberseguridad).