Categorías
Empresas

Capacitación En Ciberseguridad: Por Qué Debería Capacitar A Los Empleados En La Discreción De Las Redes Sociales

Hace unos años, me invitaron a un recorrido entre bastidores por las operaciones de seguridad de un conocido casino de Las Vegas. Sin embargo, antes de que pudiéramos entrar, tuvimos que apagar nuestros teléfonos y guardarlos. No hay imágenes, nos dijeron, porque podría revelar información que pondría en peligro la seguridad del casino. El personal del casino también nos pidió que no compartiéramos ningún detalle sobre lo que vimos o escuchamos en las redes sociales. En una habitación, alguien trató de sacar astutamente su teléfono para tomar una foto. El personal del casino los acompañó rápidamente fuera de la habitación y fuera del recorrido. Estas personas no estaban bromeando acerca de proteger ningún detalle sobre sus operaciones de seguridad. Las organizaciones deben seguir el ejemplo de ellos cuando se trata de capacitación en ciberseguridad.

Por qué son importantes las redes sociales

La mayoría de las organizaciones no son tan estrictas con las fotos tomadas en el sitio o lo que termina en las redes sociales. No es que no quieran proteger su propiedad intelectual o secretos comerciales. Más bien, es posible que los líderes no estén al tanto de lo que sus empleados comparten en las redes sociales. O es posible que no tengan políticas vigentes sobre lo que se puede y no se puede publicar en línea. De hecho, algunos empleados piensan que les están haciendo un favor a sus empleadores al colocar fotografías y videos que muestran el lugar de trabajo o cualquier cosa con el logotipo corporativo. En cambio, esta falta de discreción profesional en las redes sociales podría provocar un colapso de la seguridad.

Todas las fotos y videos compartidos desde los lugares de trabajo pueden contener información confidencial que los empleados ni siquiera se dan cuenta de que están compartiendo. Publicar fotos y videos es una marca personal para muchos. Publican docenas de veces al día sin siquiera darse cuenta de las consecuencias de la seguridad o la amenaza del robo de identidad personal y comercial. Y no se dan cuenta de que es un problema porque no es un enfoque de la capacitación en concientización sobre ciberseguridad. Es un problema en todas las industrias, en todo tipo de lugar de trabajo lo que significa un cuantioso incremento de las brechas de seguridad en las empresas. Estas son algunas de las amenazas a las redes sociales que presentan los empleados.

¿Sabes qué hay en tu escritorio?

A la gente le gusta tomar fotografías de sus espacios de trabajo. Las redes sociales inspiran ese tipo de intercambio, con publicaciones virales que le piden que muestre su escritorio limpio (o desordenado). Tal vez quieras mostrar lo que cuelga en las paredes de tu cubículo. Pero una buena formación en ciberseguridad debería ayudar a las personas a pensar por un momento en lo que hay en el escritorio o en las paredes: información que el trabajador necesita para su trabajo. Una toma de la pared de un cubículo podría incluir una pizarra con detalles de nuevos productos que aún no se han hecho públicos. Una imagen de su computadora podría terminar compartiendo información confidencial y privada con todos en su universo de redes sociales. El representante Mo Brooks publicó una foto de la pantalla de su computadora en Twitter, sin darse cuenta de que también estaba compartiendo su contraseña de correo electrónico y un PIN.

Necesidades de formación en ciberseguridad en la industria de la salud

El intercambio más atroz de información personal de 2021 fueron las tarjetas de vacunación COVID-19. Esa tarjeta es el equivalente a una tarjeta de salir libre de la cárcel. Por supuesto, todos queríamos compartir esa noticia. Pero la gente no cubría su información personal en la tarjeta. Ponen nombres completos y fechas de nacimiento para que el mundo los vea. Pero no fue solo eso. Esto también compartió  la ubicación donde recibió la inyección y detalles sobre la vacuna en sí. Y, dependiendo de la foto, los investigadores de OSINT [Inteligencia de código abierto] pueden ir aún más lejos para identificar dónde se tomó exactamente la foto, a qué hora del día, el tipo de cámara o encontrar otras pistas reveladoras sobre la persona.

Compartir una tarjeta de vacuna no viola la HIPAA, pero compartir fotos tomadas durante un procedimiento médico en Instagram podría serlo, ya que nadie tenía permiso de los pacientes para compartir detalles íntimos de su cirugía. En otros incidentes de seguridad en las redes sociales, los profesionales médicos publican fotografías, videos e historias sobre pacientes y personal. Eso puede poner su lugar de trabajo en riesgo de violaciones de cumplimiento. Del mismo modo, los pacientes no deben compartir fotografías de sus brazaletes de identificación médica, frascos de medicamentos o tarjetas de identificación en los moisés de la guardería.

Industria minorista

Muchos minoristas han recurrido a las redes sociales como una forma de atraer clientes y construir su marca. Pero no todas las imágenes cuentan la historia que la empresa quiere contar. Una foto divertida del personal tomada en la oficina podría mostrar información financiera sensible o información confidencial sobre proveedores.

No es solo la falta de conciencia sobre la seguridad cibernética lo que preocupa a las tiendas físicas. El uso compartido deficiente de las redes sociales podría poner en riesgo la seguridad física de las tiendas. Un montaje fotográfico destinado a ser una herramienta de marketing les da a los posibles ladrones una buena visión de cuáles son y dónde se encuentran los artículos más valiosos. Las fotos tomadas en áreas de almacenamiento y cuartos traseros muestran puntos de entrada y salida. ¿Y esas fotos de la oficina? Podrían revelar dónde está la caja fuerte o mostrar llaves colgadas en la pared.

Industria financiera

La industria financiera ha recurrido a las redes sociales como una forma de actualizar su imagen y navegar por las nuevas formas en que las personas administran su dinero. También parece que los empleados tienden a compartir demasiado en las redes sociales profesionales. Tal vez no publiquen muchas imágenes visuales, pero pueden publicar sus quejas. Barclays, por ejemplo, descubrió que las quejas de los empleados sobre los nuevos sistemas de software y las políticas se extienden a la marca corporativa. Si los empleados demuestran que no confían en el software que utilizan, surgen dudas sobre la seguridad de los datos del cliente. Los consumidores pierden la confianza.

Por supuesto, las instituciones financieras tratan con información muy sensible. Por lo tanto, los empleados que comparten fotografías tomadas en el trabajo corren un alto riesgo de infringir las políticas de privacidad de la oficina. Una foto o un video pueden capturar fácilmente números de cuenta o carteras de clientes.

Desafíos de la formación en ciberseguridad

Hacer un seguimiento de las redes sociales es difícil. Un número creciente de empresas y agencias dependen de las redes sociales como herramienta de marketing. Los miembros del personal interactúan con sus seguidores como parte de su trabajo. Las fotos y los videos añaden un toque humano a un negocio sin rostro.

Y los empleados son consumidores de redes sociales a quienes les gusta compartir partes de sus vidas. Las imágenes inocentes de un almuerzo en su escritorio podrían revelar información confidencial. Los directores de seguridad de la información (CISO), que probablemente ya tienen poco personal, no tienen tiempo para vigilar todo lo que los empleados comparten en sus cuentas de redes sociales. Mientras tanto, los empleados no tienen ni idea de que lo que están haciendo está causando problemas.

La educación lo es todo, por lo que los CISO deben incluir los riesgos y comportamientos de las redes sociales en cualquier capacitación en ciberseguridad. No se trata solo de enseñar a los empleados lo que no deben hacer, sino de cómo sus acciones pueden afectar el negocio (y la propia privacidad del empleado).

Elementos de una buena formación

La capacitación en concientización sobre ciberseguridad debe incluir los riesgos de publicar imágenes y videos en las redes sociales, pero también debe incluir los siguientes temas:

  • La necesidad de autenticación multifactor en caso de que las personas compartan contraseñas
  • Cómo almacenar contraseñas de forma segura
  • Establecer políticas sobre el uso de cámaras (como no permitir nunca cámaras en áreas que revelen propiedad intelectual, por ejemplo)
  • Almacenar papeleo cuando no esté en uso y configurar dispositivos para que entren en modo de hibernación cuando no estén en uso
  • Use imágenes de fondo en las videollamadas (nunca se sabe cuándo terminará una captura de pantalla de la llamada en la página de Facebook de alguien)
  • Revise las reglas de privacidad de datos y cómo las fugas de datos pueden afectar a las empresas.

No podrá evitar que los empleados compartan en las redes sociales. Asegurarse de que tengan la formación adecuada de concienciación sobre ciberseguridad sobre cómo compartir puede ser perjudicial para la seguridad corporativa y personal debería animarles a pensar dos veces antes de llegar a la publicación.