Cómo formar a los empleados para que no se conviertan en la entrada de malware en la empresa 

04/07/2016

Marta Villalba. Los errores humanos son frecuentemente la puerta de entrada para los ciberdelincuentes.

Recientemente, tal vez te haya llegado un email que te reclama el pago de una factura de luz de Endesa. Si pinchas en el correo, ves que te invita a pinchar en el enlace para consultar la cantidad de dinero a abonar. Ni se te ocurra porque es falsa. Es un timo del que ya ha alertado la propia compañía. Si haces clic en el enlace, activas un virus que usa el sistema de encriptación de Windows e inmediatamente te impide acceder a toda la información de tu PC. Luego, te piden un rescate por desencriptar todos los datos, es decir, por darte la clave para ello. Esto te puede pasar en casa o también en el trabajo, con el riesgo de que si es desde este último, bloquees toda la información de tu empresa.

Esta situación no se hubiera dado si ese empleado estuviera aleccionado en qué hacer y que no ante correos sospechosos. “Hay empresas que se gastan un dineral en protegerse de ciberdelincuentes con antivirus, firewall… y, sin embargo, con un simple email o con un USB que te encuentras en la calle, puedes estar dando acceso a los ciberdelincuentes”, explica Alfonso Ramírez, director de Kaspersky Lab. De media, las compañías pagan 495.000 euros para recuperarse de las brechas de seguridad, mientras que las pymes gastan 34.100 euros.

Los ataques –continúa Ramírez- cada vez están más dirigidos y buscan la forma más fácil de poder entrar, y hay una cosa que se descuida: el empleado, que es el que interactúa con las medidas de seguridad. Los errores humanos son los que representan la mayoría de los incidentes de ciberseguridad. “Para los ciberdelincuentes es más efectivo y barato este sistema que utilizar otras herramientas más sofisticas y costosas”, explica.

Para aleccionar a los trabajadores, Kaspersky Lab ha desarrollado un curso que se adapta a cada empresa en función de sus preferencias basado en la gamificación para que no resulte tedioso. Está orientado a empleados, jefes de departamento y directivos, con diferentes módulos (de 20 minutos) para cada uno de estos estratos.

A los primeros se les hace una prueba para ver su nivel de conocimientos de seguridad y, una vez que han terminado las “lecciones” (al día son unos minutos), se les pone a prueba enviándoles emails trampa para comprobar que efectivamente han aprendido. Los jefes de departamento reciben formación presencial, divididos en grupos y aprenden con un tablero y unas fichas y tienen que ir apostando como si fuera un póquer, así que compiten entre ellos. Los directivos son instruidos mediante un juego de seguridad empresarial en el que deben tomar decisiones en función de las políticas de seguridad de la empresa.

“El curso no conlleva instalar ningún producto de Kaspersky Lab, ni ninguna inversión en equipos. La propia empresa define la frecuencia y la cantidad de módulos a completar”, afirma Ramírez.

Una vez evaluado el nivel de conocimiento del empleado en temas de seguridad, se les enseña a identificar correos de phising en los emails y una dirección URL, reconocer enlaces falsos, entender el origen del enlace, crear contraseñas más seguras, detectar los mensajes de estafa, proteger sus smartphones de ciberrobos, riesgos de las redes wifi, evitar virus maliciosos en pops ups, la importancia de cerrar la sesión de los sitios web y gestionar datos personales, financieros y credenciales de forma segura, entre otras acciones de higiene tecnológica.

¿Te ha parecido interesante?

(+18 puntos, 18 votos)

Cargando…