{"id":13635,"date":"2018-11-13T13:16:08","date_gmt":"2018-11-13T19:16:08","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13635"},"modified":"2018-11-13T13:16:08","modified_gmt":"2018-11-13T19:16:08","slug":"best-practices-for-workplace","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/best-practices-for-workplace\/13635\/","title":{"rendered":"Ciberseguridad en el lugar de trabajo"},"content":{"rendered":"

Los empleados son los activos m\u00e1s valiosos de una empresa, ya que hacen aumentar los ingresos, establecen relaciones con los clientes y, evidentemente, ejecutan un papel determinante en el per\u00edmetro de seguridad de una compa\u00f1\u00eda<\/a>.<\/p>\n

\"\"<\/p>\n

Sin embargo, es m\u00e1s probable que los ciberdelincuentes consideren a los empleados como una v\u00eda menos resistente<\/a> para acceder a la organizaci\u00f3n. Por ejemplo, en Norteam\u00e9rica dos casos muy importantes de brechas se han debido a la desinformaci\u00f3n o al descuido de los empleados y al phishing<\/i> o a otro tipo de ingenier\u00eda social<\/a>. Los ciberdelincuentes lo saben y lo utilizan para su propio beneficio.<\/p>\n

Con un programa de educaci\u00f3n en seguridad, tu empresa puede proteger su informaci\u00f3n m\u00e1s sensible, asegur\u00e1ndose de que los ciberdelincuentes no puedan atravesar el cortafuegos de tus empleados.<\/p>\n

Recibimos muchas preguntas sobre cu\u00e1les son las mejores pr\u00e1cticas de ciberseguridad en el trabajo, por lo que decidimos tener una charla con Barton Jokinen, encargado en Kaspersky Lab de la supervisi\u00f3n de la seguridad de la informaci\u00f3n y del cumplimiento de esta en Am\u00e9rica, para que respondiera a algunas de las preguntas m\u00e1s frecuentes.<\/p>\n

Esposito: \u00bfQu\u00e9 es la ciberseguridad?<\/b><\/p>\n

Jokinen:<\/b> La ciberseguridad se puede definir de muchas formas, adem\u00e1s, es un t\u00e9rmino muy amplio. Podr\u00edamos decir que es la pr\u00e1ctica de defender sistemas y datos contra ataques maliciosos, por lo que incluye la seguridad f\u00edsica, la formaci\u00f3n y concientizaci\u00f3n a los empleados.<\/p>\n

Esposito: \u00bfCu\u00e1l es el mejor programa de concientizaci\u00f3n en ciberseguridad?<\/b><\/p>\n

Jokinen:<\/b> Los programas de concientizaci\u00f3n en ciberseguridad no son universales. Las organizaciones tienen diferentes necesidades seg\u00fan los objetivos de su estrategia empresarial, su evaluaci\u00f3n de riesgos e, incluso, la propensi\u00f3n al riesgo. Por ello, conviene preguntarse: \u201c\u00bfEn qu\u00e9 ayuda la ciberseguridad a la actividad principal de la organizaci\u00f3n?\u201d.<\/p>\n

Esposito: Desde la perspectiva de la ciberseguridad, \u00bfen qu\u00e9 deber\u00edan pensar las empresas cuando protejan el lugar de trabajo?<\/b><\/p>\n

Jokinen:<\/b> Las organizaciones suelen ignorar tres \u00e1reas cuando piensan en la ciberseguridad.<\/p>\n

Protecci\u00f3n y seguridad f\u00edsica.<\/b> El bienestar de los empleados deber\u00eda liderar la estrategia de ciberseguridad de todas las empresas. Puede no parecer intuitivo si se piensa en la ciberseguridad, o puede que la mayor\u00eda lo considere muy cibern\u00e9tico<\/i>. Pero la creciente prevalencia de los dispositivos del Internet de las Cosas (IdC) ha difuminado la l\u00ednea entre la seguridad f\u00edsica y la ciberseguridad. Como las c\u00e1maras de seguridad inal\u00e1mbricas que se gestionan a trav\u00e9s de una interfaz web o una cerradura inteligente que se abre a trav\u00e9s del smartphone<\/i> de un empleado, \u00bfcu\u00e1ndo dejan las cosas de ser f\u00edsicas y pasan a ser cibern\u00e9ticas?<\/p>\n

Muchas empresas cuentan con controles ambientales y de seguridad f\u00edsicos tradicionales, pero estos grupos est\u00e1n desconectados de los que son realmente capaces de resolver problemas reales. En la era del IdC, los equipos inform\u00e1ticos y la ciberseguridad son los responsables de las medidas de rehabilitaci\u00f3n. En el trabajo, estos sistemas suelen compartir la misma red de recursos que el resto de las empresas. Conectar los dispositivos IdC a la red principal es arriesgado porque proporciona un punto de entrada para que posibles atacantes accedan a los recursos de la red corporativa.<\/p>\n

Los sistemas vulnerables tambi\u00e9n pueden utilizarse para acceder a sistemas de control industrial (ICS, por sus siglas en ingl\u00e9s) con una seguridad muy pobre. Las organizaciones que ejecutan infraestructura cr\u00edtica o fabricaci\u00f3n en ICS, deben realizar una b\u00fasqueda profunda de todos los sistemas involucrados. Estas redes tambi\u00e9n deber\u00edan intentar mejorar la ciberseguridad.<\/p>\n

Conocimiento de la situaci\u00f3n de los activos y datos. <\/b>La mayor\u00eda de las infraestructuras de ciberseguridad deben conocer los activos (incluidos los datos) que tiene una organizaci\u00f3n: los sistemas y aplicaciones que procesan los datos, qui\u00e9n tiene acceso y d\u00f3nde se encuentra. Un an\u00e1lisis de los riesgos de ciberseguridad basado en activos conocidos permitir\u00e1 determinar de forma m\u00e1s rigurosa las posibles amenazas. De esta forma, la organizaci\u00f3n puede centrarse en los aspectos m\u00e1s importantes de sus recursos de ciberseguridad.<\/p>\n

Concientizaci\u00f3n y formaci\u00f3n en ciberseguridad<\/b><\/p>\n

La concientizaci\u00f3n va m\u00e1s all\u00e1 de la detecci\u00f3n y catalogaci\u00f3n de activos. Deber\u00eda consistir en una formaci\u00f3n continua a los empleados sobre las pol\u00edticas, las amenazas actuales y c\u00f3mo enfrentarse a ellas. Deber\u00eda prestarse especial atenci\u00f3n a la ingenier\u00eda social, que sigue siendo el vector de ataque m\u00e1s com\u00fan y exitoso.<\/p>\n

Las organizaciones no deber\u00edan ofrecer formaciones gen\u00e9ricas, sino que deber\u00edan orientarlas seg\u00fan el puesto de trabajo y realizar sesiones personales y entretenidas. Contar historias y exponer juegos educativos que apoyen los conceptos de la concientizaci\u00f3n. En resumen, no deber\u00eda de ser un simple examen.<\/p>\n

Un buen programa es una mezcla de m\u00f3dulos presenciales\/impartidos por instructores, online<\/i>\/autodidactas. Recopila siempre m\u00e9tricas para mostrar los puntos fuertes y d\u00e9biles de los programas de concientizaci\u00f3n en seguridad.<\/p>\n

Esposito: Nuestro equipo inform\u00e1tico est\u00e1 al tanto de las novedades en ciberseguridad. \u00bfPor qu\u00e9 deber\u00edan someterse a formaciones?<\/b><\/p>\n

Jokinen:<\/b> La formaci\u00f3n en higiene de ciberseguridad debe de ser una pr\u00e1ctica com\u00fan en las organizaciones. Los empleados suelen considerarse como el \u201cv\u00ednculo m\u00e1s d\u00e9bil\u201d, son el vector de ataque m\u00e1s com\u00fan, por lo que deber\u00edan tratarse como cualquier otro vector de ataque de una organizaci\u00f3n.<\/p>\n

Esposito: Hemos tenido varios programas de formaci\u00f3n, pero ninguno ha resultado efectivo. \u00bfQu\u00e9 deber\u00edamos hacer?<\/b><\/p>\n

Jokinen:<\/b> No es ning\u00fan secreto que los programas de formaci\u00f3n tradicionales no suelen conseguir los cambios y motivaciones de comportamiento deseados. Para desarrollar un programa de formaci\u00f3n efectivo, tiene que haber un entendimiento sobre lo que hay detr\u00e1s de cualquier proceso educativo o de aprendizaje. La clave del \u00e9xito est\u00e1 en crear una cultura de ciberseguridad, que motive a los empleados a continuar con las pr\u00e1cticas seguras en su d\u00eda a d\u00eda m\u00e1s all\u00e1 de los per\u00edmetros de la oficina. Despu\u00e9s de todo, el objetivo de la formaci\u00f3n en concientizaci\u00f3n no es solo aportar conocimientos, sino tambi\u00e9n cambiar los h\u00e1bitos y la forma de los nuevos patrones de comportamiento.<\/p>\n

Con los productos de Kaspersky Security Awareness<\/a> podr\u00e1s comenzar o rellenar los vac\u00edos de un programa ya existente. Los hemos creado para todos los niveles de la estructura organizacional. Los productos de formaci\u00f3n en ordenadores recurren a t\u00e9cnicas modernas: gamificaci\u00f3n, aprendizaje pr\u00e1ctico y refuerzo repetido ayudan a desarrollar una fuerte retenci\u00f3n de habilidades y previenen la erradicaci\u00f3n; y la emulaci\u00f3n del comportamiento y los puestos de trabajo de los empleados atrae la atenci\u00f3n de los usuarios a los intereses pr\u00e1cticos. Estos factores motivacionales garantizan la aplicaci\u00f3n de las habilidades.<\/p>\n

Esposito: \u00bfCon qu\u00e9 frecuencia deben informar los empleados de actividad sospechosa?<\/b><\/p>\n

Jokinen:<\/b> Los equipos de ciberseguridad preferir\u00edan tener informes de los empleados con falsos positivos que esperar hasta que algo \u201csospechoso\u201d se manifestara en forma de una gran amenaza. Pero antes de que los empleados puedan informar de actividad sospechosa, necesitan ser capaces de identificar lo que se considera sospechoso<\/i>.<\/p>\n

Una formaci\u00f3n en ciberseguridad y sus materiales deber\u00edan definir los incidentes sospechosos mediante ejemplos, adem\u00e1s de mostrar c\u00f3mo y cu\u00e1ndo realizar un informe. Los incidentes se pueden informar de distinta forma seg\u00fan la organizaci\u00f3n: mediante el servicio de asistencia inform\u00e1tica, a trav\u00e9s de una direcci\u00f3n de correo electr\u00f3nico que genera una solicitud para los equipos de seguridad o informando directamente a los directores.<\/p>\n

Una vez que los empleados son capaces de identificar e informar sobre actividad sospechosa, lo pr\u00f3ximo es establecer una pol\u00edtica de respuesta a incidentes, que deber\u00eda resumir los procedimientos y responsabilidades de los empleados cuando se enfrenten a un incidente.<\/p>\n

Recuerda que es mejor informar sobre todo lo que ves, ya que es m\u00e1s f\u00e1cil frenar algo en sus inicios, que gestionar una crisis en plena efervescencia.<\/p>\n

Esposito: \u00bfCu\u00e1l es tu opini\u00f3n sobre la pol\u00edtica BYOD?<\/b><\/p>\n

Jokinen:<\/b> Bring your own device (BYOD, del ingl\u00e9s \u201ctrae tu propio dispositivo\u201d) se ha convertido una pol\u00edtica empresarial muy popular. Los empleados gozan de una gran flexibilidad a la hora de escoger cu\u00e1ndo trabajar y qu\u00e9 dispositivo utilizar. Sin embargo, esto pone en alto riesgo los datos de la empresa, ya que, cuando se permite que los empleados utilicen sus propios dispositivos para trabajar, estos quedan fuera del alcance de los controles de seguridad tradicional.<\/p>\n

Esposito: \u00bfParece que est\u00e1s en contra del BYOD?<\/b><\/p>\n

Jokinen:<\/b> Las empresas no tienen por qu\u00e9 acabar con las pol\u00edticas BYOD, pero es vital que establezcan pol\u00edticas y procedimientos de seguridad. Por ejemplo, necesitan segregar el trabajo<\/i> y el ocio<\/i>. Los datos de la empresa deber\u00edan procesarse solo por aplicaciones que est\u00e9n aprobadas y protegidas por la organizaci\u00f3n. Y esto puede ser un aut\u00e9ntico desaf\u00edo si los empleados utilizan su propio dispositivo. Para eso est\u00e1 la herramienta de gesti\u00f3n de dispositivos m\u00f3viles (MDM, por sus siglas en ingl\u00e9s, \u201cmobile device management\u201d). Las herramientas MDM pueden segregar y proteger los datos de una empresa, revisar y aprobar aplicaciones y rastrear y eliminar a distancia toda informaci\u00f3n relacionada con la organizaci\u00f3n que haya en los dispositivos.<\/p>\n

Esposito: \u00bfD\u00f3nde se pueden encontrar m\u00e1s recursos para una educaci\u00f3n continua?<\/b><\/p>\n

Jokinen:<\/b> Kaspersky Lab ofrece recursos para que los empleados conserven la concientizaci\u00f3n en amenazas e incidentes del mundo de la ciberseguridad:<\/p>\n