Hacer cumplir estrictamente un plan de seguridad de TI de varios niveles para TODO el personal

A medida que surgen nuevas amenazas, es imperativo mantener las políticas actualizadas para proteger su negocio. Su manual de empleados debe incluir un plan de seguridad de TI de varios niveles compuesto por políticas para las que todo el personal, incluidos los ejecutivos, la administración e incluso el departamento de TI, sean responsables.

  • Política de uso aceptable: indique específicamente lo que está permitido frente a lo que está prohibido para proteger los sistemas corporativos de la exposición innecesaria al riesgo. Incluya recursos como el uso de correo electrónico interno y externo, redes sociales, navegación web (incluidos navegadores y sitios web aceptables), sistemas informáticos y descargas (ya sea de una fuente en línea o unidad flash). Esta política debe ser reconocida por cada empleado con una firma para indicar que comprende las expectativas establecidas en la política.

  • Política de datos confidenciales: identifica ejemplos de datos que su empresa considera confidenciales y cómo se debe manejar la información. Esta información es a menudo el tipo de archivos que deben ser respaldados regularmente y son el objetivo de muchas actividades cibercriminales.

  • Política de correo electrónico: el correo electrónico puede ser un método conveniente para transmitir información; sin embargo, el registro escrito de la comunicación también es una fuente de responsabilidad si entra en las manos equivocadas. Tener una política de correo electrónico crea pautas consistentes para todos los correos electrónicos e integraciones enviados y recibidos que pueden usarse para acceder a la red de la compañía.

  • Política de BYOD / Teletrabajo: la política Traiga su propio dispositivo (BYOD) cubre los dispositivos móviles, así como el acceso a la red utilizado para conectarse a los datos de la empresa de forma remota. Si bien la virtualización puede ser una gran idea para muchas empresas, es crucial que el personal comprenda los riesgos que presentan los teléfonos inteligentes y el WiFi no seguro.

  • Política de acceso inalámbrico y de red inalámbrica: cualquier acceso a la red no realizado directamente por su equipo de TI debe seguir pautas estrictas para controlar los riesgos conocidos. Cuando los invitados visiten su negocio, es posible que desee restringir su acceso al uso de Internet saliente solo, por ejemplo, y agregar otras medidas de seguridad a cualquiera que acceda a la red de la compañía de forma inalámbrica.

  • Política de respuesta a incidentes: formalice el proceso que el empleado seguiría en el caso de un incidente cibernético. Considere escenarios como una computadora portátil perdida o robada, un ataque de malware o el empleado que cae en un esquema de phishing y proporciona detalles confidenciales a un destinatario no aprobado. Cuanto más rápido se notifique a su equipo de TI sobre tales eventos, más rápido puede ser su tiempo de respuesta para proteger la seguridad de sus activos confidenciales.

  • Política de seguridad de la red: proteger la integridad de la red corporativa es una parte esencial del plan de seguridad de TI. Establezca una política que especifique pautas técnicas para asegurar la infraestructura de red, incluidos los procedimientos para instalar, dar servicio, mantener y reemplazar todo el equipo en el sitio. Además, esta política puede incluir procesos relacionados con la creación y el almacenamiento de contraseñas, pruebas de seguridad, copias de seguridad en la nube y hardware en red.

  • Procedimientos de salida del personal: cree reglas para revocar el acceso a todos los sitios web, contactos, correo electrónico, entradas seguras del edificio y otros puntos de conexión corporativos inmediatamente después de la renuncia o despido de un empleado a pesar de si cree o no que tiene alguna intención maliciosa hacia la empresa.

“Más de la mitad de las organizaciones atribuyen un incidente de seguridad o violación de datos a un empleado malicioso o negligente”. Fuente: http://www.darkreading.com/vulnerabilities—threats/employee-negligence-the-cause-of-many-data-breaches-/d/d-id/1325656

El entrenamiento NO es una cosa de una sola vez; Mantenga la conversación en marcha

La capacitación de concientización sobre seguridad cibernética de los empleados reduce drásticamente el riesgo de ser víctima de un correo electrónico de phishing, detectando una forma de malware o ransomware que bloquea el acceso a sus archivos críticos, filtra información a través de una violación de datos y un número creciente de amenazas cibernéticas maliciosas que se desatan cada día

Los empleados sin formación son la mayor amenaza para su plan de protección de datos. El entrenamiento una vez no será suficiente para cambiar los hábitos riesgosos que han adquirido a lo largo de los años. Deben celebrarse conversaciones periódicas para garantizar la cooperación para buscar activamente las señales de advertencia de enlaces sospechosos y correos electrónicos, así como la forma de manejar las situaciones en desarrollo a medida que ocurren. Las actualizaciones constantes sobre las últimas amenazas y la aplicación de su plan de seguridad de TI crean responsabilidad individual y confianza en cómo manejar incidentes para limitar la exposición a un ataque.

“Cada empresa se enfrenta a una serie de desafíos de ciberseguridad, sin importar el tamaño o la industria. Todas las empresas deben proteger de manera proactiva a sus empleados, clientes y propiedad intelectual”. Fuente: https://staysafeonline.org/business-safe-online/resources/creating-a-culture-of-cybersecurity-in-your-business-infographic

La capacitación debe ser útil tanto personal como profesional para mantener

Cree oportunidades regulares para compartir noticias de actualidad sobre violaciones de datos y explore diferentes métodos de ciberataque durante un almuerzo y aprenda. A veces, la mejor manera de aumentar el cumplimiento es golpear cerca de casa haciendo que la capacitación sea personal. Lo más probable es que sus empleados estén tan mal informados sobre su seguridad personal de TI y estafas comunes como lo están sobre los riesgos de seguridad que representan para su negocio.

Amplíe esta idea extendiendo una invitación para educar a sus familias enteras sobre cómo protegerse del delito cibernético durante un evento fuera de horario. Considere cubrir temas que puedan atraer a una variedad de grupos de edad, como cómo controlar la configuración de privacidad y seguridad en las redes sociales, los juegos en línea, etc. y cómo reconocer las señales de peligro de alguien que está phishing para obtener información personal o dinero a través de e- correo y llamadas telefónicas. Las personas mayores y los niños pequeños son especialmente vulnerables a dicha explotación.

No hagas una situación difícil más difícil; Recuerda que QUIERES banderas rojas informadas

Hacer que la capacitación continua en seguridad sea una prioridad reducirá en gran medida los errores repetidos y evitará muchos ataques evitables, sin embargo, se producen errores. Puede ser muy vergonzoso y un shock para los orgullosos reconocer su error e informar su participación en una posible violación de seguridad. Su primer instinto puede ser maldecir y gritar, pero esto sería un grave error. Mantener la calma y la tranquilidad es la clave de la confianza necesaria para que los empleados acudan a usted de inmediato, mientras se sienten más vulnerables.

Por esta razón, trate cada informe con aprecio y atención inmediata. Ya sea que la alerta resulte ser una falsa alarma o una crisis real, evite reprender al empleado por su error, sin importar qué tan roja se ponga su cara.

Cuando la situación esté bajo control, aproveche la oportunidad para agradecerles por informar la situación para que pueda manejarse adecuadamente. Recuerde que se necesita mucho coraje para dar un paso adelante cuando sabe que tiene la culpa. Ayude al empleado a comprender qué buscar la próxima vez, ya que fue algo que podría haberse evitado, como un error del usuario.

Resumen del entrenamiento cibernético

  • Implemente un plan de seguridad de TI de múltiples niveles estrictamente aplicado para TODO el personal

  • El entrenamiento NO es una cosa de una sola vez;

  • Mantenga la conversación en marcha

  • La capacitación debe ser útil tanto personal como profesional para mantener

  • No hagas una situación difícil más difícil; Recuerda que QUIERES banderas rojas informadas