RSAC
Uno de los tabúes del mundo de los negocios es el tema de la edad. No obstante, me encontré con una sesión sobre esto en la conferencia RSA 2020.
Pero antes de que desactives tu radar de recursos humanos, no hablamos de discriminación por edad u otros prejuicios comunes. Se trata de una charla de Ben Smith, director de tecnología de RSA (en Estados Unidos), en la que se centraba en cómo los puestos de trabajo de hoy realmente comprenden cuatro generaciones bien definidas (los tradicionalistas, los baby boomers, la generación X y la millennial), por no hablar de la gente a medio camino entre dos generaciones, que tiende a compartir rasgos de ambas.
La importancia de esto en el mundo de los negocios en general y en el de la seguridad informática en particular es que la conversación está basada en datos, no es hipotética; y las generaciones consumen la tecnología de diferente forma.
Por tanto, a la hora de desarrollar un programa de capacitación en seguridad informática, debes tener en cuenta que aquí no sirven las tallas únicas. Smith proporcionó muchas más teorías, que podrás escuchar en su conferencia completa.
Como has podido comprobar, las tres últimas generaciones (las más jóvenes) se centran en la información y están dinámicamente opuestas. Smith también señaló otras brechas generacionales, desde tener dispositivos electrónicos en el dormitorio hasta el lugar donde se realiza el trabajo, los límites entre el trabajo y la vida personal, el consumo de medios digitales, el tiempo en las redes sociales, etc.
Dicho esto, existe un denominador común que puede ayudarte a desarrollar el núcleo de tu programa de capacitación en seguridad informática. En la siguiente diapositiva, lo que realmente me llamó la atención en relación con el trabajo y la ciberseguridad es el concepto de no tener un interruptor de encendido/apagado.
Trabajo a distancia. Tienes que entender que se acabó eso de trabajar de 9 a 5 y que la mayoría de las personas trabajan fuera de la oficina. A la hora de desarrollar una estrategia, asegúrate de abordar los riesgos de trabajar de forma remota, junto con las mejores prácticas sobre cómo trabajar siguiendo las políticas de la empresa. Por ejemplo, es posible que debas exigir el uso de una VPN en las redes de wifi públicas, no almacenar documentos confidenciales en sitios públicos de intercambio de archivos, definir qué aplicaciones y acciones están permitidas en los dispositivos de trabajo, etc.
Ingeniería social. Los usuarios cada vez están más familiarizados con la amenaza de cuentas falsas en redes sociales que fingen pertenecer a familiares o seres queridos. Este concepto de ingeniería social también es importante en el ámbito laboral y debería formar parte de las campañas de sensibilización en el lugar de trabajo. A nadie le gustaría transferir unos cientos de miles de dólares a la cuenta incorrecta porque un cibercriminal que pretende ser el CEO haya solicitado una transferencia urgente de dinero.
Intercambio de datos. Hoy en día, puedes evitar tener que crear contraseñas de sitios web utilizando tus credenciales de redes sociales y algunos usuarios pueden no ser plenamente conscientes de los riesgos ni darse cuenta de qué tipo de datos están proporcionando. Al gestionar tu programa de capacitación en ciberseguridad, deberías considerar esto como un punto clave. Además, añade información sobre en qué tipos de sitios no está bien utilizar las direcciones de correo electrónico corporativas: sitios de citas, apuestas y otros que no tengan nada que ver con tu negocio.
Uso de múltiples dispositivos. La tendencia de llevar tu propio dispositivo al trabajo (BYOD, por sus siglas en inglés) ha sido todo un quebradero de cabeza para los gerentes de los departamentos de informática y seguridad durante muchos años. Te guste o no, tienes que vivir con eso: los trabajadores hacen negocios desde sus propios teléfonos, laptops o tablets y realizan tareas personales en dispositivos del trabajo. Las políticas no pueden detenerlo, pero sí pueden informar a los empleados sobre las mejores prácticas, lo que pueden y no pueden hacer, y cómo proteger sus dispositivos.
Ludificación. Cualquiera que use Internet o juegue videojuegos está familiarizado con la ludificación, aunque no la conozca necesariamente por ese nombre. La idea es que los usuarios obtienen puntos por hacer X y los mejores jugadores son recompensados con Y. A la hora de planificar tu programa de capacitación en ciberseguridad, considera incluir la ludificación en tu programa y valora cómo recompensar a los ganadores de estos campeonatos internos. La ciberseguridad en la empresa también puede implementarse mediante incentivos y recompensas.
Cada lugar de trabajo es diferente y la forma en la que responde tu equipo no tiene por qué ser la misma que la de cualquier otra empresa. Pero tener en cuenta los conceptos que hablan de las diferentes formas en que las generaciones de trabajadores interactúan con la tecnología te ayudará a planificar una ciberseguridad que beneficie a todos.
Consejos