Fallar a los trabajadores por el comportamiento al que se han acostumbrado en sus vidas privadas es complicado. Puede reforzar el desafío adicional de las TI de proteger los activos de la empresa al tener que abordar los hábitos diarios de los empleados, algunos de los cuales pueden poner en peligro la postura de seguridad de la organización.
En primer lugar, los empleados necesitan educación; por ejemplo, aquellos que utilizan regularmente las unidades públicas de Wi-Fi, Bluetooth o USB en sus vidas personales deben comprender por qué no es seguro usarlos para el trabajo. Luego, una organización debe fomentar una cultura de comunicación; por ejemplo, si algo sale mal, los empleados también deben sentirse lo suficientemente cómodos como para informar los problemas a TI antes de que se produzcan grandes daños.
Dispositivos perdidos o robados
Los empleados saben que si pierden un teléfono inteligente o una computadora portátil, deben notificar a TI de inmediato. Sin embargo, la vergüenza y, a menudo, el tono de regaño que se usa en el entrenamiento puede hacer que se muestren reacios a informar inmediatamente sobre dispositivos perdidos o robados. Si pierden un dispositivo un viernes, pueden decidir esperar hasta el lunes para ver si el artículo aparece. Cuando no lo haga, entonces lo informarán; sin embargo, esas primeras 48 horas podrían dar a los ciberataques una ventaja significativa en el tiempo de trabajo para penetrar en la red de la compañía y / o eliminar datos confidenciales.
Al realizar entrenamientos de seguridad, el plan de estudios debe incluir detalles y contexto sobre cómo informar un dispositivo perdido o robado de inmediato permite que la TI lo bloquee antes de que la información pueda ser robada. Los gerentes aprecian la honestidad: prefieren recibir una falsa alarma que correr el riesgo de que un dispositivo se vea comprometido. Si el dispositivo se encuentra más tarde, siempre se puede reinstalar. Un dispositivo perdido que tiene que ser reemplazado es un asunto pequeño, pero un dispositivo perdido que resulta en una violación porque no se informó de manera oportuna produce consecuencias graves tanto para el empleado como para la compañía.
Problemas de Wi-Fi y Bluetooth
Los empleados que tienen que pagar por los planes de datos se han acostumbrado a buscar conexiones Wi-Fi abiertas dondequiera que vayan. Seguro que han escuchado que el Wi-Fi público no es seguro, pero si no les ha pasado nada malo al usar uno, a menudo se relajarán e ignorarán las advertencias.
Es importante explicar cómo una conexión Wi-Fi hace que sea fácil para un pirata informático colocarse entre el dispositivo de su empleado y el punto de acceso, accediendo a cada parte de la información que envían a través de Internet, incluida toda su información personal, así como las credenciales de seguridad de su red de negocios Incluso hay tutoriales en línea con millones de vistas para mostrar a los piratas informáticos cómo hacerlo. Una vez que los cibercriminales tienen la información del empleado (comercial o personal), pueden iniciar sesión fácilmente y hacerse pasar por ellos en cualquier momento que deseen.
A través de una conexión Wi-Fi pública, los piratas informáticos también pueden enviar mensajes emergentes que ofrecen actualizaciones de software donde, al hacer clic, instalan malware e infectan el dispositivo.
Usar Bluetooth no es seguro, tampoco. El otoño pasado, los ladrones aprovecharon las fallas de seguridad para hackear las conexiones y robar datos comerciales de las redes corporativas. Una vez que un dispositivo se infecta, se propaga fácilmente el malware a otros dispositivos cercanos, incluidas las computadoras de oficina. Aunque la mayoría de los dispositivos han sido parcheados para este problema en particular, los piratas informáticos tienden a estar un paso por delante de los fabricantes de dispositivos, lo que significa que podría haber otras sorpresas desagradables en el futuro.
Utilice una red privada virtual
Para evitar problemas de seguridad asociados con Wifi, Bluetooth y otras conexiones no seguras, haga que sus empleados utilicen una red privada virtual (VPN). Una VPN es una conexión privada que encripta todo el tráfico, protegiendo los datos de su compañía.
Sin embargo, no asuma que su VPN es infalible. Las redes son difíciles de configurar y el uso de un protocolo incorrecto puede llevar a fallas de seguridad. Asegúrese de examinar a fondo a cada proveedor y nunca use una solución gratuita. Un estudio descubrió que el 38 por ciento de las VPN de Android gratuitas contenían malware.
Lo más importante que debe recordar es que, si bien las VPN se utilizan para cifrar la comunicación entre puntos finales, no lo protegerán contra aplicaciones o sitios web malintencionados que pueden infectarlo con malware. Pero cuando se combina con otras medidas de seguridad, usar una VPN confiable es una gran idea.
Evitar unidades USB
¿Qué pasa con las unidades USB? Sí, son útiles cuando tienes prisa y quieres llevar información contigo, pero la gran mayoría disponible no está encriptada, lo que facilita la reprogramación de los piratas informáticos con malware. Sorprendentemente, las unidades USB infectadas son bastante comunes.
Debido a que son tan pequeños, las unidades de disco también son fáciles de perder. Un estudio reciente encontró que del 90 por ciento de los empleados que usan unidades USB, el 80 por ciento de ellos no usan unidades USB encriptadas. Para empeorar las cosas, ese mismo estudio reveló que el 87 por ciento de los empleados encuestados admitieron que habían perdido una memoria USB utilizada para el trabajo y no lo habían informado.
¿Qué sucede cuando sus empleados encuentran un disco duro perdido? Deberían simplemente tirarlo, pero la gente puede ser curiosa. Cuando los investigadores plantaron casi 300 unidades en un experimento , el 48 por ciento de las personas los recogieron y los enchufaron.
Capacitar a los empleados para que usen sus dispositivos de manera responsable e informar sobre pérdidas o robos es una parte crucial de sus procesos de seguridad. En las sesiones de capacitación de la empresa, trabaje para involucrar a los empleados y contextualizar las políticas de seguridad involucrándolos con ejemplos de la vida real, en lugar de desprenderse como trabajadores de advertencia y brindar información enlatada y contenido seco. Hágalo relacionable y muéstreles cómo son la parte más importante de la solución, y ayudarán a que su organización sea un lugar más seguro para trabajar.
Fecha actualización el 2021-04-16. Fecha publicación el 2019-04-16. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurity Version movil