Formació als empleats per protegir la seguretat de l'empresa

L'enginyeria social és l'ús de l'engany per manipular les persones perquè divulguin (de forma conscient o inconscient) informació confidencial o personal que es pugui utilitzar amb finalitats fraudulentes. És una tècnica de manipulació que aprofita l'errada humana per obtenir informació privada, accés o objectes de valor. En la ciberdelinqüència, aquestes estafes de "hacking humà" tendeixen a atreure usuaris desprevinguts perquè exposin dades, propaguin infeccions de malware o donin accés a sistemes restringits. Els atacs es poden produir en línia, en persona i a través d'altres interaccions.

Aquesta és un dels motius principals per les quals la formació als empleats és fonamental per augmentar i mantenir la seguretat de la nostra empresa.

Impacte d'un atac

Per entendre plenament la importància de formar els empleats perquè es defensin millor a si mateixos i els seus actius laborals, hem d'analitzar l'impacte total que pot tenir una violació de dades en una empresa.

Una filtració de dades en aquestes circumstàncies es defineix com "un incident en què es roba o s'extreu informació d'un sistema sense el coneixement o l'autorització del propietari del sistema". Qualsevol mena de filtració (especialment si afecta dades de caràcter personal) és un maldecap per a qualsevol empresa, independentment de la seva mida, antiguitat o sector d'activitat.

Una bretxa es pot produir a partir d'una sèrie de fonts, per la qual cosa és fonamental assegurar-se que els empleats entenguin a què han de prestar atenció i sàpiguen com mantenir la informació important fora de perill.

Formació contínua

La formació dels empleats en matèria de seguretat ha de ser una política contínua, de recorregut complet, que capaciti els individus perquè defineixin i reconeguin les amenaces, les conseqüències excessives (personals i empresarials) i les mesures de prevenció.

És a dir, que totes les empreses han de tenir un programa de formació en ciberseguretat per mitigar les possibilitats d'un atac i les seves possibles conseqüències. Per tal que aquest pla tingui èxit, ha de comprendre diferents aspectes, com ara que els empleats han de saber el màxim possible sobre la seguretat de la xarxa, quines

poden ser les principals vies d'atac i transmissió d'una amenaça i com han de reaccionar si tenen la mínima sospita (o constatació) que hi ha hagut un atac o intent d'atac.

Aquesta formació ha de ser exhaustiva per conèixer els diferents tipus d'amenaces a què ens enfrontem. Els empleats han de conèixer bé les diferents possibilitats d'atacs que hi ha per poder-les diferenciar. Amb aquest coneixement, estaran més preparats per detectar-les i evitar caure en la seva trampa.

A més, han de saber qui són els responsables de seguretat de l'organització, així com els protocols que cal seguir en cas que sorgeixi una amenaça. És molt important informar correctament en temps, forma i autoritat sobre qualsevol problema que pugui aparèixer, sobretot en temes de seguretat.

Entre els assumptes que aquesta formació de seguretat ha de cobrir hi ha els perills de la pirateria informàtica, els dispositius mòbils robats o la publicació d'informació sensible, entre altres causes de les violacions de dades. La formació també s'ha de fer en intervals regulars i ha d'incloure tests i proves, com ara simulacres de "foc real".

Al mercat hi ha algunes solucions que permeten que les empreses enviïn correus electrònics de prova als empleats per veure quins són més susceptibles de caure en les xarxes de l'enginyeria social. També solen proporcionar formació als que fan clic en l'enllaç o introdueixen informació al correu electrònic fals.

La inversió més important

Per tot el que estem veient, has de ser conscient que la formació en ciberseguretat als empleats és, probablement, la partida més important de tota la teva estratègia de seguretat. Si un departament de seguretat informàtica gasta milers o milions d'euros en els últims tallafocs d'alta tecnologia, programes de prevenció de malware i mecanismes de pèrdua de dades, però no forma adequadament els empleats sobre les amenaces a la seguretat, és molt probable que estigui llençant els diners.

Això és especialment important quan els empleats tenen un gran accés a la informació sensible. Malgrat que pots tenir habilitades moltes (i sofisticades) eines de seguretat per protegir les dades, els empleats segueixen sent l'última baula i moltes vegades la més feble per aconseguir eludir (moltes vegades sense ser conscient del dany que es pot fer) totes aquestes eines i mesures de seguretat.