Skip to main content

Primeros pasos de la concientización sobre seguridad

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Definir la concientización sobre la seguridad.
  • Describir la importancia de contar con un programa en concientización sobre la seguridad.

¿Qué es la concientización sobre seguridad?

Cualquiera sea su lugar de trabajo, un valor importante probablemente sea la confianza, la seguridad y la tranquilidad de los empleados y los clientes. Un componente crítico para que su organización pueda mantener la confianza es que todos los miembros participen activamente en un programa de ciberseguridad como parte de su rutina cotidiana. Esto significa comprender los procedimientos de la ciberseguridad y saber cuándo y cómo solicitar asistencia. 

Las organizaciones implementan programas de concientización sobre seguridad para promover una cultura de ciberseguridad en la organización. El objetivo es capacitar a los usuarios sobre posibles amenazas e incrementar la concientización sobre situaciones que pueden poner en riesgo a los datos, los sistemas y las redes. Las organizaciones usan los programas de concientización sobre seguridad para fomentar un sentido de propósito y responsabilidad en los empleados que manejan y gestionan información confidencial. Los empleados deben comprender que son uno de los enlaces más fuertes para proteger a las organizaciones a través de su comportamiento diario y de las decisiones que toman.

Uno de los objetivos de un programa de concientización sobre seguridad es reducir el riesgo de una organización. Cuanto más conscientes sean los empleados de las posibles amenazas y el modo de mitigarlas, es menos probable que la organización sea vulnerable ante ataques. Los especialistas en concientización sobre seguridad se esfuerzan por fomentar que los usuarios asuman la responsabilidad individual de proteger la organización. También imparten capacitaciones y miden el cumplimiento a fin de ejecutar las políticas y los procedimientos de la organización para proteger sus datos.

La importancia de la concientización sobre seguridad

Cuando los empleados son conscientes de la seguridad y se preocupan por ella, trabajan para promover prácticas sólidas de ciberseguridad. Este factor humano de la ciberseguridad es especialmente importante para proteger los datos, ya que el blanco de los atacantes a menudo son los usuarios en la cadena de seguridad de una organización. Todos los controles técnicos del mundo —sistemas de detección de intrusiones, firewalls, prevención de pérdida de datos, entre otros— no bastarán para proteger los datos si los usuarios no comprenden las políticas y los procedimientos, cómo usar las herramientas y qué hacer ante una infracción. 

Estos son algunos métodos de ataque comunes que se usan para explotar el factor humano de la cadena de seguridad.

  • El malware es software malicioso que intenta dañar dispositivos, robar datos o comprometer de otra manera los sistemas informáticos engañando a los usuarios para que descarguen virus, troyanos y spyware en su computadora.
  • El phishing es un tipo de ataque en el que el actor malicioso envía emails que parecen provenir de individuos o compañías respetables, pero el objetivo es inducir al usuario a que revele información personal, como un nombre de usuario y una contraseña.
  • La ingeniería social es una táctica que usan los atacantes para manipular a los individuos y que realicen una determinada acción. Esta táctica puede usarse para potenciar el efecto del malware o el phishing. Por ejemplo, un atacante puede usar las redes sociales para identificar el nombre de un empleado de una compañía donde desempeña una función de seguridad. El atacante entonces puede usar ingeniería social para averiguar a qué institución educativa asiste la hija del empleado y le envía un email con un PDF adjunto que suplanta la identidad del email de esa institución educativa. El PDF puede incluir información sobre cierres en el área por una emergencia climática, para generar una sensación de urgencia en la víctima. El atacante incrusta malware en el PDF, de modo que cuando el empleado lo abre, se descarga y se ejecuta un archivo malicioso. El uso de información personal del empleado a través de ingeniería social hace que el ataque sea potencialmente más exitoso.
  • Una amenaza interna ocurre cuando un empleado de la compañía realiza una acción para acceder, modificar o eliminar datos de forma inapropiada. Esto puede darse con un fin de ganancia financiera, espionaje o porque el empleado está disgustado, quizás porque no recibió un ascenso o porque se enteró de futuros despidos. Se necesitan herramientas especiales para hacer un seguimiento de posibles amenazas internas y supervisarlas. Los otros empleados también son clave para informar sobre actividades sospechosas. También ocurre la amenaza interna no intencional, cuando los empleados cometen un error que pone a la compañía en riesgo. Por ejemplo, enviar a la persona equivocada un email con información que es propiedad de la compañía. En el clima actual de múltiples distracciones y rápido movimiento, es muy posible cometer errores.
  • Se producen pérdidas de datos cuando se destruyen datos por accidente o a propósito, cuando se comparten con partes no autorizadas o si se utilizan para un propósito no permitido. Puede ocurrir una pérdida de datos si un empleado modifica, por accidente o con intención, la información de la cuenta de un cliente. Otro ejemplo es cuando un cliente descarga información en una unidad USB externa y la pierde. También puede ocurrir una pérdida de datos si un empleado envía por accidente a un tercero un email con datos confidenciales, como el número de la seguridad social de un cliente. Para mejorar la concientización sobre este problema, es fundamental capacitar adecuadamente sobre el manejo de datos confidenciales y sobre las políticas y los controles técnicos que impiden la pérdida de datos.

Los especialistas en concientización sobre seguridad sientan las bases de un programa de ciberseguridad: políticas, concientización, controles y métricas.

La concientización sobre seguridad fortalece la capacidad de una organización para protegerse contra la explotación de las vulnerabilidades y los errores humanos. Las políticas y los procedimientos de seguridad son los cimientos de un programa de concientización sobre seguridad, ya que documentan el modo en que se espera que los usuarios mantengan los datos seguros, y establecen quién es responsable de ciertas tareas y qué hacer ante una emergencia. Una vez afianzados los cimientos, es una buena idea implementar un programa de concientización sobre seguridad e incluir una capacitación sobre concientización para los usuarios. Al priorizar la concientización sobre seguridad, las organizaciones pueden centrarse en implementar medidas de seguridad, como la gestión de parches, el agregado de registros y la protección antivirus. Cuando estos controles están en marcha y los usuarios comprenden cómo usarlos, los programas de concientización sobre seguridad establecen y recopilan métricas clave de desempeño. Estas métricas ayudan a comprender mejor el cumplimiento de las políticas y los procedimientos, y si se están alcanzando los objetivos del programa de concientización. 

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios