Categoría: Ciberseguridad

  1. Página principal
  2. Tu empresa
  3. Ciberseguridad

Cómo lograr que tus colaboradores cumplan con las políticas de ciberseguridad

, ,

Más del 50% de los empleados visitan páginas web o contenidos no relacionados con su puesto de trabajo, según un estudio de Eserp Business & Law School.

Esto podría resultar en un riesgo a la seguridad de la información confidencial de una empresa, si los colaboradores no cumplen con las políticas de ciberseguridad necesarias para prevenir los delitos informáticos.

Qué encontrarás en este artículo
– Teoría de los empujoncitos
– Políticas de ciberseguridad que no parezcan obligatorias
Educa mientras aplicas las políticas de seguridad
– Aplica las políticas de seguridad con transparencia

Entonces ¿cómo puedes implementar políticas de ciberseguridad que sean efectivas y respetadas?

Teoría de los empujoncitos

Diariamente tu equipo de trabajo debe tomar diferentes decisiones al utilizar internet. Desde la elección de la Wifi adecuada para conectarse hasta descargar o no una app.

Al respecto, Thomas Paulino, presidente de ciberseguridad de ABA, considera que “es en cada uno de estos momentos en que están expuestos a un fraude. Por lo que, al final, lo que va a minimizar la exposición al riesgo es la madurez que tenga el usuario”.

De acuerdo con el libro Decisiones Irracionales en Ciberseguridad, la “teoría del empujoncito, consiste en ayudar a tus empleados a que tomen decisiones inteligentes y que, a su vez, cumplan con las medidas de ciberseguridad sin que sientan que les restringen su libertad”.

El siguiente ejemplo grafica esta “teoría del empujoncito”:

“Estás en una cafetería. Necesitas conectar tu smartphone a una WiFi. Miras tu pantalla y ves estas opciones. Supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías?

red wifi publica
Imagen de una red wifi pública. Foto de Libro Decisiones Irracionales en Ciberseguridad

Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera, mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña.

Imagina que estás en la misma cafetería, pero en tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora?

red wifi segura
Imagen de una red wifi segura. Foto de Libro Decisiones Irracionales en Ciberseguridad

Tengas o no conciencia elevada en materia de seguridad, apostaríamos a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente.

Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión.

Es decir que juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc.

Todo ello conduce a que se seleccione la red 3gk6.

Políticas de ciberseguridad que no parezcan obligatorias

Las políticas de seguridad, según el sitio web UNIR, consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información, minimizando los riesgos que le afectan.

Pero para dar a conocer a los empleados las normas de seguridad es necesario que estas sean:

  • Concretas: con procedimientos y reglas bien definidos.
  • Claras: que expliquen de forma sencilla y directa las responsabilidades y obligaciones de los usuarios, sean colaboradores, administradores o equipo directivo.

Según el profesor experto en ciber leyes R. Calo, existen maneras de lograr que los usuarios acaten e implementen las políticas de seguridad con éxito.

“Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña”.

Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante «contraseña robusta» en color verde.

A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas”, explica el libro.

Educa mientras aplicas las políticas de seguridad

Otra manera de fomentar, sin forzar, un comportamiento seguro de nuestros usuarios es creando notificaciones informativas que lleven a la reflexión junto al medidor de fortaleza.

“Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc., e incluir el medidor de fortaleza en la misma página de creación de contraseñas”.

Más opciones

•  Elecciones predeterminadas: Ofrece más de una opción, pero asegurándote siempre de que la predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará.

•  Feedback: Proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón «Enviar».

Usa un lenguaje o comparaciones que el usuario entienda.

Por ejemplo, el uso de metáforas bien conocidas, como «cerrojos» y «ladrones», hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones (Raja, Hawkey, Hsu, Wang, & Beznosov, 2011).

Informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento en el futuro (Wang, y otros, 2014).

•  Comportamiento normativo: Muestra el lugar que ocupa cada usuario en relación a la medida de seguridad en comparación con sus compañeros.

Por ejemplo, tras la selección de una contraseña, el mensaje «el 87% de tus compañeros han creado una contraseña más robusta que tú» consigue que usuarios que crearon una débil recapaciten y creen una más segura.

•  Orden: Presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen.

•  Convenciones: Usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente.

•  Prominencia: Destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen.

Aplica las políticas de seguridad con transparencia

Al crear medidas de ciberseguridad a través de estos “empujoncitos” debes hacerlo de  manera ética sin violentar la libertad de tus colaboradores.

La misma teoría indica que hay una serie de principios a la hora de “diseñar tus propios empujoncitos para tu organización” (Renaud & Zimmermann, 2018):

  1. Autonomía: El usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas. Es decir que ninguna opción será prohibida o eliminada del entorno, y si lo hacen se debe explicar por qué.
  2. Beneficio: Debe significar un beneficio claro y real para la seguridad de la organización.
  3. Justicia: Debería beneficiar al máximo número posible de individuos dentro del sistema.
  4. Responsabilidad social: Deberían contemplarse siempre empujoncitos pro-sociales que avancen el bien común.
  5. Integridad: Los empujoncitos deben diseñarse con un respaldo científico, en la medida de lo posible.

Al final la idea es que ayudes a tus usuarios o colaboradores a tomar mejores decisiones a la hora de navegar por la internet y red empresarial. Empújalos a navegar seguro, siempre respetando su libertad.

Antes de crear la política de ciberseguridad, lee esto 👇
¿Qué profesionales necesito en mi empresa para estar ciberseguro?

Compartir
tiendas online en republica dominicana

Tiendas online seguras de República Dominicana

, ,

¿Sabes cuáles son las páginas de tus tiendas favoritas en República Dominicana donde puedes comprar online y consultar la información de manera segura?

Te traemos el listado de las empresas socias de la Organización Nacional de Empresas Comerciales del país, donde puedes navegar seguro mientras realizas tus compras.

TiendaPágina web, da clic y te lleva al site
Almacenes Semawww.sema.com.do
Remix www.remix.com.do
Punto Íntimo www.puntointimo.com
Aliss Dominicanawww.gomarket.com.do
Supermercados Nacional www.supermercadosnacional.com
Casa Cuesta www.casacuesta.com
Juguetónwww.jugueton.com.do
Cuesta Libroswww.cuestalibros.com
Bebé Mundowww.bebemundo.com.do
Supermercados Jumbo www.jumbo.com.do
Casa Virginiawww.casavirginia.com
Cole Haan www.colehaan.do
Nine West www.ninewest.com.do
La Licorerawww.gomarket.com.do
Sambilwww.sambilonline.do
Distribuidora Corripiowww.tiendascorripio.com.do
Tiendas Garridowww.garrido.com.do
Farmacia Carolwww.farmaciacarol.com
Price Club www.priceclub.com.do
La Sirenawww.sirena.do
Farmacias Los Hidalgoswww.farmaciasloshidalgos.com.do
EPK www.epkrd.com
www.instagram.com/epkrd
Kenneth Coledo.kennethcolelatino.com
Naturelizewww.naturalizerrd.com
Plaza Lamawww.plazalama.com.do
PriceSmartwww.pricesmart.com
Ikea Dominicanawww.ikea.com.do/es
Sportlinewww.sportline.com.do
La Curacao onlinewww.lacuracaonline.com/do
Vital Saludwww.vitasalud.com.do
Zushoeswww.zushoesrd.com/
Antes de comprar en cualquier tienda online, lee👇
6 consejos para identificar una tienda online segura.

Compartir

¿Qué profesionales necesito en mi empresa para estar CiberSeguro?

, , ,

La protección de la información y los sistemas informáticos de las empresas es una misión sumamente importante. Cualquier ciberataque supone una gran amenaza para la seguridad de una organización. Por esta razón, es relevante que dentro de las empresas existan profesionales encargados de monitorear y proteger los sistemas informáticos. Pero: ¿qué profesionales necesito en mi empresa para estar ciberseguro?

A continuación, te mostraremos el equipo ideal para crear el “Plan Director de Seguridad”, según aconseja el Incibe, Instituto Nacional de Ciberseguridad de España.

Profesionales claves para una empresa cibersegura

  • CEO (Chief Executive Officer): representa el cargo más alto dentro del organigrama de la empresa. Es el director ejecutivo, responsable de supervisar y asegurar que la estrategia definida esté orientada al cumplimiento de los objetivos. Además de ser el encargado final de las acciones que se lleven a cabo y de establecer las bases a seguir dentro de la misma.
  • CISO (Chief Information Security Officer): es el director de seguridad de la información. Este puesto es desempeñado a nivel ejecutivo por la persona responsable de controlar las operaciones de seguridad informática dentro de una institución y alinearlas con los objetivos de negocio.

En cuanto a su formación, el CISO debe estar capacitado en ingeniería informática, de telecomunicaciones u otra similar. Además, tener conocimiento y experiencia sobre nuevas y altas tecnologías.

Dentro de sus funciones están el crear e implementar políticas de seguridad de la información,  supervisar el cumplimiento de las normas del mismo y ser el responsable del equipo encargado de dar respuesta a incidentes relacionados con la seguridad de la información de la empresa.

  • CSO (Chief Security Officer): es el encargado de la seguridad física y tecnológica de la organización. A veces, se cree que el CISO y el CSO desempeñan el mismo rol, pero lo cierto es que las funciones del CSO están enfocadas en identificar los riesgos que corre la empresa y definir la forma de superarlos. Dicho de otra manera, se encarga de velar por la seguridad de la organización tanto a corto como a largo plazo.

Asimismo, es el encargado de asegurarse de que todas las acciones planificadas cumplan con los objetivos estratégicos. También, debe estar pendiente de la reputación de la organización y las expectativas de los usuarios a niveles tecnológicos.

Otra de sus funciones, es estar al día con los cambios en las normativas, para poder adaptarse al nuevo marco y también, proponer medidas en caso de existir algún riesgo.

  • CIO (Chief Information Officer): figura como el gerente de sistemas y sus reportes van directamente al CEO. Se encarga de mejorar los procesos tecnológicos. Es decir, su función es percatarse de que la empresa está actualizada con las últimas tecnologías de la información, con el fin de aumentar el rendimiento de la misma.

Decide qué equipos o herramientas tecnológicas resultan beneficiosas. También, controla los costos de estos soportes tecnológicos y establece mejoras en cuanto a productos y servicios.

  • CTO (Chief Technology Officer): este puesto es similar al CIO. Sin embargo, sus funciones son más “técnicas”. Este representa al director de tecnologías y se encarga de la gestión, evaluación, buen desarrollo  y funcionamiento diario de los sistemas de información utilizados en la empresa.

Otra de sus funciones es trabajar para la transformación digital de la compañía de manera que todos los empleados hagan uso de nuevas tecnologías.

Con este equipo de profesionales dentro de tu empresa, podrás garantizar la ciberseguridad a gran escala, priorizando la prevención de ataques a los sistemas de información y  haciendo frente a cualquier situación que pueda poner el riesgo información de valor.

Recuerda: “Lo que hoy es seguro, mañana puede no serlo”. ¡Protege tu información, mantente CiberSeguro!.

Te puede interesar: 
CiberGlosario, términos que debes conocer

 

Compartir
ABA 2021 - Todos los derechos reservados.
Política de Privacidad
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Protégete de los ciberdelitos
Recibe informaciones, recursos gratis y consejos para navegar seguro.
Ir al contenido