Los incidentes de phishing van en aumento. un informe de IBM<\/a> muestra que el phishing fue el vector de ataque m\u00e1s popular en 2021, lo que provoc\u00f3 que uno de cada cinco empleados fuera v\u00edctima de t\u00e9cnicas de pirater\u00eda de phishing.<\/p>\n Aunque las soluciones t\u00e9cnicas protegen contra las amenazas de phishing, ninguna soluci\u00f3n es 100% efectiva<\/b>. En consecuencia, las empresas no tienen m\u00e1s remedio que involucrar a sus empleados en la lucha contra los piratas inform\u00e1ticos. Aqu\u00ed es donde entra en juego la formaci\u00f3n en conciencia de seguridad. <\/b><\/p>\n Conciencia de seguridad la formaci\u00f3n da a las empresas la confianza<\/b> que sus empleados ejecutar\u00e1n la respuesta correcta cuando descubran un mensaje de phishing en su bandeja de entrada.<\/p>\n Como dice el refr\u00e1n, “el conocimiento es poder”, pero la eficacia del conocimiento depende en gran medida de c\u00f3mo se entregue. Cuando se trata de ataques de phishing, las simulaciones se encuentran entre las formas m\u00e1s efectivas de capacitaci\u00f3n porque los eventos en las simulaciones de capacitaci\u00f3n imitan directamente c\u00f3mo reaccionar\u00eda un empleado en caso de un ataque real. Dado que los empleados no saben si un correo electr\u00f3nico sospechoso en su bandeja de entrada es una simulaci\u00f3n o una amenaza real, la capacitaci\u00f3n se vuelve a\u00fan m\u00e1s valiosa. <\/p>\n Es fundamental planificar, implementar y evaluar un programa de capacitaci\u00f3n en concientizaci\u00f3n cibern\u00e9tica para garantizar que realmente cambie el comportamiento de los empleados. Sin embargo, para que este esfuerzo tenga \u00e9xito, debe implicar mucho m\u00e1s que simplemente enviar correos electr\u00f3nicos a los empleados. Las pr\u00e1cticas clave a considerar incluyen:<\/p>\n Debido a que los empleados no reconocen la diferencia entre las simulaciones de phishing y los ataques cibern\u00e9ticos reales, es importante recordar que las simulaciones de phishing evocan diferentes emociones y reacciones, por lo que la capacitaci\u00f3n de concientizaci\u00f3n debe llevarse a cabo cuidadosamente<\/b>. Dado que las organizaciones necesitan involucrar a sus empleados para combatir los ataques cada vez mayores y proteger sus activos, es importante mantener la moral alta y crear una cultura positiva de higiene cibern\u00e9tica.<\/p>\n Con base en a\u00f1os de experiencia, empresa de ciberseguridad Listo para Cybe<\/a> ha visto a las empresas caer en estos errores comunes.<\/p>\n El enfoque de ejecutar una simulaci\u00f3n de phishing como prueba para atrapar y castigar a los “infractores reincidentes” puede hacer m\u00e1s da\u00f1o que bien. <\/p>\n Una experiencia educativa que implica estr\u00e9s es contraproducente e incluso traum\u00e1tica. Como resultado, los empleados no pasar\u00e1n por la capacitaci\u00f3n, sino que buscar\u00e1n formas de eludir el sistema. En general, el “enfoque de auditor\u00eda” basado en el miedo no es beneficioso para la organizaci\u00f3n a largo plazo porque no puede proporcionar la capacitaci\u00f3n necesaria durante un per\u00edodo prolongado.<\/p>\n Soluci\u00f3n #1: Sea sensible<\/strong><\/p>\n Debido a que mantener una moral positiva de los empleados es fundamental para el bienestar de la organizaci\u00f3n, proporcione capacitaci\u00f3n positiva justo a tiempo.<\/p>\n La capacitaci\u00f3n justo a tiempo significa que una vez que los empleados han hecho clic en un enlace dentro del ataque simulado, se les dirige a una sesi\u00f3n de capacitaci\u00f3n breve y concisa. La idea es educar r\u00e1pidamente al empleado sobre su error y brindarle consejos esenciales para detectar correos electr\u00f3nicos maliciosos en el futuro.<\/p>\n Esta tambi\u00e9n es una oportunidad para el refuerzo positivo, as\u00ed que aseg\u00farese de que la capacitaci\u00f3n sea breve, concisa y positiva.<\/p>\n Soluci\u00f3n #2: Informe a los departamentos relevantes.<\/strong><\/p>\n Comun\u00edquese con las partes interesadas relevantes para asegurarse de que est\u00e9n al tanto de la capacitaci\u00f3n continua sobre simulaci\u00f3n de phishing. Muchas organizaciones se olvidan de informar a las partes interesadas relevantes, como Recursos Humanos u otros empleados, que se est\u00e1n realizando las simulaciones. El aprendizaje tiene el mejor efecto cuando los participantes tienen la oportunidad de sentirse apoyados, cometer errores y corregirlos. <\/p>\n Es importante variar las simulaciones. Enviar la misma simulaci\u00f3n a todos los empleados, especialmente al mismo tiempo, no solo no es instructivo sino que tampoco tiene m\u00e9tricas v\u00e1lidas cuando se trata de riesgo organizacional. <\/p>\n El “efecto de advertencia”: el primer empleado que descubre o se enamora de la simulaci\u00f3n advierte a los dem\u00e1s. Esto prepara a sus empleados para responder a la “amenaza” anticipando la simulaci\u00f3n, evitando as\u00ed la simulaci\u00f3n y la oportunidad de capacitaci\u00f3n.<\/p>\n Otro impacto negativo es el sesgo de deseabilidad social, que hace que los empleados informen en exceso los incidentes a TI sin darse cuenta para ser vistos de manera m\u00e1s favorable. Esto conduce a un sistema sobrecargado y al departamento de TI.<\/p>\n Esta forma de simulaci\u00f3n tambi\u00e9n conduce a resultados inexactos, como tasas de clics incre\u00edblemente bajas y tasas de informes excesivos. Por lo tanto, las m\u00e9tricas no muestran los riesgos reales de la empresa ni los problemas que deben abordarse. <\/p>\n Soluci\u00f3n: modo goteo<\/strong><\/p>\n El modo goteo permite enviar m\u00faltiples simulaciones a diferentes empleados en diferentes momentos. Cierto software soluciones<\/a> incluso puede hacer esto autom\u00e1ticamente enviando una variedad de simulaciones a diferentes grupos de empleados. Tambi\u00e9n es importante implementar un ciclo continuo para garantizar que todos los empleados nuevos se incorporen correctamente y para reforzar que la seguridad es importante las 24 horas del d\u00eda, los 7 d\u00edas de la semana, no solo marcar una casilla para el cumplimiento m\u00ednimo. <\/p>\n Con m\u00e1s de 3400 millones de ataques de phishing por d\u00eda, es seguro asumir que al menos un mill\u00f3n de ellos difieren en complejidad, idioma, enfoque o incluso t\u00e1cticas. <\/p>\n Desafortunadamente, ninguna simulaci\u00f3n de phishing puede reflejar con precisi\u00f3n el riesgo de una organizaci\u00f3n. Es poco probable que confiar en un solo resultado de simulaci\u00f3n de phishing proporcione resultados confiables o una capacitaci\u00f3n integral.<\/p>\n Otra consideraci\u00f3n importante es que los diferentes grupos de empleados responden de manera diferente a las amenazas, no solo por su vigilancia, capacitaci\u00f3n, puesto, antig\u00fcedad o incluso nivel de educaci\u00f3n, sino porque la respuesta a los ataques de phishing tambi\u00e9n es contextual. <\/p>\n Soluci\u00f3n: implementar una variedad de programas de capacitaci\u00f3n<\/strong><\/p>\n El cambio de comportamiento es un proceso evolutivo y, por lo tanto, debe medirse a lo largo del tiempo. Cada sesi\u00f3n de entrenamiento contribuye al progreso del entrenamiento. La efectividad de la capacitaci\u00f3n, o en otras palabras, un reflejo preciso del cambio de comportamiento organizacional real, se puede determinar despu\u00e9s de m\u00faltiples sesiones de capacitaci\u00f3n y con el tiempo.<\/p>\n La soluci\u00f3n m\u00e1s efectiva es realizar continuamente varios programas de capacitaci\u00f3n (al menos una vez al mes) con m\u00faltiples simulaciones.<\/p>\n Es muy recomendable capacitar a los empleados de acuerdo a su nivel de riesgo. Un programa de simulaci\u00f3n diverso y completo tambi\u00e9n proporciona datos de medici\u00f3n fiables basados \u200b\u200ben el comportamiento sistem\u00e1tico a lo largo del tiempo. Para validar sus esfuerzos en la capacitaci\u00f3n efectiva, las organizaciones deben poder obtener una indicaci\u00f3n v\u00e1lida de su riesgo en cualquier momento dado mientras monitorean el progreso en la reducci\u00f3n de riesgos.<\/p>\n Crear un programa de este tipo puede parecer abrumador y llevar mucho tiempo. Es por eso que hemos creado un libro de jugadas de las 10 pr\u00e1cticas clave que puede usar para crear una simulaci\u00f3n de phishing simple y efectiva. Simplemente descargar el libro de jugadas de CybeReady<\/a> o re\u00fanase con uno de nuestros expertos para una demostraci\u00f3n de producto<\/a> y descubra c\u00f3mo la plataforma de capacitaci\u00f3n de concientizaci\u00f3n sobre seguridad completamente automatizada de CybeReady puede ayudar a su organizaci\u00f3n a lograr los resultados m\u00e1s r\u00e1pidos con pr\u00e1cticamente cero esfuerzo de TI.<\/p>\n <\/p>\n<\/div>\nLa necesidad de capacitaci\u00f3n en concientizaci\u00f3n sobre seguridad <\/h2>\n
Simulaciones Phishing: \u00bfQu\u00e9 incluye la formaci\u00f3n?<\/h2>\n
\n
Tres errores comunes de simulaci\u00f3n de phishing.<\/h2>\n
1 \u2014 Probar en lugar de educar<\/h2>\n
2 \u2014 Use la misma simulaci\u00f3n para todos los empleados<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659606671_229_Tres-errores-comunes-que-pueden-sabotear-su-capacitacion-en-seguridad.jpg\")
<\/div>\n3 \u2014 Confiar en los datos de una sola campa\u00f1a<\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659606672_344_Tres-errores-comunes-que-pueden-sabotear-su-capacitacion-en-seguridad.jpg\")
<\/div>\nImplementar un programa efectivo de simulaci\u00f3n de phishing. <\/h2>\n