Recientemente, hablando con otro administrador de sistemas sobre impresiones, experiencias… me comentó que para él la mejor arma era la formación, tanto es así, que habían decidido desarrollar talleres para el resto de empleados.
Estos talleres eran del estilo a cómo hackear una wifi, demos de pentesting sencillos, cómo crear una campaña de phishing, ver un ransomware en acción, etc…
Lo mejor de todo es que los trabajadores podían asistir a estos talleres con sus familias, esto orientado sobre todo a los peques de la casa, y así pasar un rato entretenido dónde trastear y sobre todo aprender y concienciarse sobre ciberseguridad.
Desde mi punto de vista, ésta es una iniciativa genial, sobre todo en empresas como la de este compañero, orientadas a fabricación donde muchos trabajadores tienen un perfil menos tecnológico.
Si habéis echado un ojo a la sección de Amenazas de este blog (Phishing / Malware), habréis comprobado que siempre indico que la formación y sentido común son fundamentales para evitar ataques de cualquier tipo. Y es que por muy avanzadas que sean las medidas de seguridad implantadas en la empresa (firewall, sistemas antispam, antivirus, etc…) siempre se puede colar algo. De hecho por ejemplo, hay campañas de phishing “famosas”, que terminan saltando a los medios de comunicación habituales, seguro que os suenan noticias relacionadas a intentos de estafa haciéndose pasar por la Agencia Tributaria, Whatsapp o relacionadas al Covid19, que han sido difíciles de parar.
Pero lo importante, es que en la mayor parte de ocasiones, esta amenaza, que puede ser el típico correo electrónico en el buzón del usuario, puede quedar totalmente inutilizada con el sentido común de la persona que lo recibe, así de sencillo. Si esta persona, tiene la formación suficiente como para poder reflexionar y analizar el correo, y detectar que es un intento de estafa, habremos logrado no sólo evitar una brecha de seguridad en la empresa, sino a nivel particular de esa persona, que como es lógico tendrá sus cuentas personales de correo, sus accesos particulares, que queramos o no, también pueden afectar a la seguridad del negocio fuera de la oficina.
Plan de concienciación y formación
Si vamos a hacer algo, lo suyo es hacerlo bien. Así que si estamos decididos a concienciar y formar al resto de empleados, lo suyo es realizarlo a través de un plan correctamente masticado y estudiado.
Como fuente de recursos, el Incibe (Instituto Nacional de Ciberseguridad), facilita kits de concienciación a empleados: https://www.incibe.es/protege-tu-empresa/kit-concienciacion, además de otros recursos formativos muy sencillos.
En lo relativo a hitos y objetivos, creo que un plan básico de este estilo debe contar con al menos los siguientes pilares:
1) Una formación individual al comienzo de la actividad laboral:
Es decir, cada vez que llegue un empleado nuevo, lo suyo es proporcionarle un documento de seguridad, que detalle los accesos y la política de seguridad del centro.
También es recomendable, ofrecerle una pequeña formación en persona, de los sistemas con los que va a interactuar, mejores prácticas, recomendaciones, cómo enviar peticiones de soporte técnico, etc… y si la empresa facilita un FAQ interno (muy recomendable), dirigirle al mismo para que trate de encontrar allí solución a problemas comunes.
Por último, puede ser interesante realizar un test, con objeto de evaluar su nivel de conocimientos relativos a ciberseguridad: algo como https://phishingquiz.withgoogle.com/ pero centrado en un ámbito de cosas mayor.
2) Sesiones formativas periódicas:
En el escenario ideal, es también recomendable realizar sesiones de formación y concienciación periódicas, relativas al uso de servicios. Aquí se puede encuadrar el ejemplo de formación a empleados con el que comencé este artículo, y también el tratamiento de cuestiones de actualidad. Por ejemplo, si como ha sucedido recientemente, en muchas empresas se activa modo teletrabajo por un causa como el covid19, es recomendable ofrecer formación a los empleados sobre los sistemas de comunicación corporativos (chat, videoconferencia…), las precauciones de trabajar fuera de la oficina (VPN u otros métodos) y otras cuestiones relacionadas.
Avisos específicos:
Es importante que los trabajadores tengan información sobre alertas esporádicas de seguridad que puedan surgir. Por ejemplo, si detectamos que hay una campaña de phishing, es importante ponerlo en conocimiento de los trabajadores para evitar males mayores. También es importante, tener conocimiento de los sistemas utilizados por los empleados con objeto de poder avisarles de alertas específicas, por ejemplo, si sabemos que un compañero trabaja con un WordPress o Drupal… y nos llega una alerta de seguridad de estos CMS a través de nuestra vigilancia tecnológica habitual, lo suyo es notificarlo y recomendarle actualizar. Los avisos de seguridad de Incibe, pueden ser un primer paso en este sentido: https://www.incibe.es/protege-tu-empresa/avisos-seguridad
En definitiva, un buen plan de formación puede ayudar a la empresa a evitar sustos, y además sin una inversión importante en recursos. Simplemente, se necesita tiempo y ganas.
