No es noticia que los ataques de phishing se vuelvan más complejos y ocurran con mayor frecuencia. Solo este año, APWG reportó un total récord de 1.097.811 ataques de phishing. Estos ataques continúan teniendo como objetivo a organizaciones e individuos para obtener su información confidencial.
Las noticias duras: a menudo son exitosos, tienen un impacto negativo duradero en su organización y empleados, que incluyen:
- Perdida de dinero
- Daño a la reputación
- Pérdida de propiedad intelectual
- Interrupciones de las actividades operativas
- Efecto negativo en la cultura de la empresa.
La noticia más dura: Estos a menudo podrían haberse evitado fácilmente.
¿Pishing, educar a sus empleados y crear una cultura de conciencia cibernética? Estos son temas en los que somos sensibles y en los que estamos bien versados. Entonces, ¿cómo puede proteger eficazmente a su organización contra los intentos de phishing? Estas mejores prácticas ayudarán a transformar el comportamiento de sus empleados y desarrollarán la resiliencia organizacional frente a los ataques de phishing.
Plan de formación de la plantilla total:
Según el 2022 Informe Tessian de Culturas de Seguridad«los líderes de seguridad subestiman cuánto deberían ser parte de la experiencia de los empleados» en la incorporación, los cambios de roles, la baja, las reubicaciones y las actividades cotidianas.
Pero hemos visto repetidamente que los intentos de capacitación de empleados dispersos y ad hoc no funcionan. Si desea suficientes defensas internas contra amenazas sofisticadas de phishing, debe capacitar mensualmente al 100% de sus empleados.
De acuerdo, no es fácil si su equipo crece rápidamente o se distribuye en diferentes ubicaciones y zonas horarias. Sin embargo, hacer algo menos que capacitar al 100% a los empleados lo deja con demasiados agujeros de seguridad y oportunidades para que los piratas informáticos ingresen. Desafortunadamente, también significa que no tiene forma de saber el nivel de conciencia de amenazas de sus empleados o si saben cómo reaccionar ante amenazas Es posible que te estés perdiendo tu eslabón más débil o te estés metiendo en un escenario que podría haberse evitado fácilmente.
Aplicar Formación Continua
¿Alguna vez le han dicho que habrá un simulacro de evacuación en caso de incendio? Probablemente, no te tomó por sorpresa cuando comenzó la práctica y podrías haber prestado más atención. Eso es lo que pasa con los ejercicios; están en su lugar para prepararnos para las amenazas presentes y futuras.
La formación en ciberseguridad no es diferente. Si bien puede convertirse rápidamente en marcar una casilla de cumplimiento para satisfacer los requisitos mínimos. Para evitarlo, debe tomar a su personal con la guardia baja. Saber que una amenaza podría presentarse en cualquier momento mantiene a los empleados atentos y responsables entre campañas de capacitación más extensas.
Sería mejor si siguiera brindando a sus empleados estas oportunidades inesperadas para aprender de manera continua. Es probable que cometan errores fácilmente evitables si solo reciben simulaciones ocasionales. Es posible que extrañe a los nuevos empleados sin suficiente capacitación en seguridad cibernética, o que les tome tiempo volver a visitar y desarrollar esta capacitación.
La solución: Llevar a cabo una capacitación constante en seguridad cibernética es la mejor manera de mantenerlo en la mente de todos: capacitarse para ayer, hoy y mañana.
Implementar contenido adaptable
Puede usar la comprensión de la seguridad cibernética o los departamentos como categorías. Comience por segmentar su fuerza laboral en grupos. Luego, desarrolle un entrenamiento adaptativo basado en las necesidades de cada grupo, e incluso en función del comportamiento individual. Eso es fundamental para abordar adecuadamente los desafíos de escenarios dados de futuras campañas de ataque.
Estos pueden incluir solicitudes de datos o contraseñas, mensajes de fuentes legítimas o contenido realista adaptado a la función o departamento específico de una organización.
Refuerza las defensas de los empleados adaptando su contenido a respuestas individuales y vectores de ataque específicos. Hacerlo convierte al elemento humano de una brecha de seguridad en una ventaja de seguridad.
Localice su formación en ciberseguridad
El inglés puede ser su idioma corporativo, pero puede que no sea la lengua materna de todos los empleados, y los contextos culturales pueden percibirse de manera diferente en algunas sucursales.
El uso de la lengua materna de los empleados dentro del contexto cultural de una ubicación mejorará drásticamente su retención del aprendizaje. Al citar referencias locales (como feriados nacionales, fuentes de noticias importantes, plataformas de redes sociales populares y más), hace que sus simulaciones sean más creíbles y fáciles de relacionar. Es probable que sus empleados presten más atención durante la capacitación y sean menos susceptibles a los ataques.
Por último, podría haber diferentes implicaciones con respecto a los estándares de cumplimiento de correo electrónico en diferentes lugares. Asegúrese de que su equipo lo sepa e incorpore las precauciones necesarias en el entrenamiento de estos lugares.
Respalde su capacitación cibernética con ciencia de datos
Según nuestra experiencia, uno de cada cinco empleados es un «clicker en serie». Los usuarios en serie hacen clic, abren y descargan archivos adjuntos que a menudo los ponen a ellos y a su organización en peligro. Pueden ser empleados nuevos o existentes. Lo hemos visto todo, desde el nivel de entrada posiciones a las partes interesadas de la empresa.
No están capacitados ni equipados para identificar de forma fiable los ataques de phishing, ni entienden su peligrosidad y su impacto destructivo. Así que siguen haciendo clic en los enlaces de los correos electrónicos que no deberían haber abierto.
Las buenas noticias: Creemos Los clickers en serie se pueden curar. porque lo hemos visto suceder repetidamente con la capacitación y educación de los empleados.
Sabemos que los clickers en serie son solo algunos de los que deben preocuparse. Los empleados responden de manera diferente a una variedad de vectores de ataque. Se recomienda utilizar la ciencia de datos para comprender cómo los grupos de empleados dentro de su organización, desde nuevos empleados, liderazgo ejecutivo y empleados veteranos, responden a amenazas potenciales.
Una vez que analice los datos para comprender el comportamiento de estos grupos, puede desarrollar programas que los cambien hacia un enfoque más exigente de la gestión del correo electrónico en función de sus necesidades específicas y su lugar actual en su viaje de concientización sobre ciberseguridad.
Estos programas deben incluir conocimiento experto, frecuencia ajustada, recordatorios oportunos, simulaciones personalizadasy contenido de capacitación diseñado para grupos altamente susceptibles, respetando la privacidad de los empleados.
Automatice su educación en ciberseguridad
Independientemente del tamaño de su organización, la complejidad requerida para ejecutar un programa de capacitación como el descrito anteriormente puede ser un desafío. Ya sea que lo mire desde la perspectiva del tiempo, los recursos o la economía, es casi imposible sin una solución verdaderamente automatizada que tenga conocimiento experto integrado en el software.
CybeReady proporciona una plataforma totalmente automatizada impulsado por tecnología de aprendizaje automático. Mitiga los riesgos de error humano a través de un enfoque educativo que proporciona continuamente capacitación frecuente, adaptable y atractiva. Póngase en contacto hoy para fomentar una cultura que se preocupa, retiene información para mantenga su organización segura, y se siente responsable. Haga que su organización esté cibernéticamente preparada. Aprenda cómo puede actualizar su programa de concientización sobre seguridad con un breve, demostración perosanilizada.