A finales de 2015, hackers iraníes aparecieron en los titulares de los medios por robar información del Departamento de Estado de los Estados Unidos a través de un esquema de suplantación de identidad (via a phishing scheme) dirigido a trabajadores individuales del gobierno. Fue un recordatorio severo de que, a menudo, los empleados son la liga más vulnerable en una red organizacional.
Los cibercriminales se aprovechan de la falta de conocimiento cibernético. De acuerdo con el estudio de CompTIA Tendencias en Seguridad TI (Trends in IT Security), 52% de las fugas de seguridad son el resultado de errores humanos.
Es fácil ver por qué los hackers se enfocan a usuarios finales: los empleadores necesitan ofrecer educación y capacitación en ciber seguridad para todo el personal, pero la capacitación en ciberseguridad a empleados es complicada debido a que el lugar de trabajo típico de hoy incluye a tres generaciones distintas, y se ha hablado mucho sobre cómo los Baby boomers, la Generación X, y los Millennials aprenden de manera diferente.
Sin embargo, en términos de comportamiento adecuado de ciberseguridad, todas las generaciones podrían usar algo de capacitación. Mientras que el comportamiento en línea de una generación comparado con otra puede ser diferente, todas necesitan mejorar en lo que se refiere a seguridad.
Un estereotipo aceptado podría ser que la generación digital es más ciberconocedora que sus contrapartes de mayor edad, pero hemos encontrado que éste no es el caso. Por esto creemos que todos los miembros de la fuerza de trabajo –ya sean más o menos jóvenes– deberían recibir entrenamiento práctico para tener más conocimiento cibernético.
Cibersimilitudes generacionales
Boomers, Generación X y Millennials pueden tener acercamientos diferentes a la tecnología, pero cuando se trata de ciberseguridad las tres generaciones comparten los mismos malos hábitos. Estos incluyen:
- Uso de WiFi público para trabajar: La naturaleza insegura del WiFi público puede poner la información del usuario en peligro de manera instantánea. Pero, según el estudio contratado por CompTIA Ciber Seguro: Una Mirada a los Hábitos de Ciber Seguridad en el Lugar de Trabajo (Cyber Secure: A Look at Employee Cybersecurity Habits in the Workplace), 94% de los empleados todavía usan WiFi público en sus laptops o dispositivos móviles, y 69% de este grupo ha ingresado información de trabajo desde una conexión no protegida.
- Malos hábitos de contraseñas: Cuando usted practica higiene pobre de contraseñas, hace que el trabajo de los hackers sea más fácil –y eso es justo lo que los empleados están haciendo. Según el estudio, existe una tendencia entre los empleados de usar las mismas credenciales de acceso (login) a través de diferentes cuentas. Además, 37% de los empleados sólo cambian sus contraseñas de trabajo cada año, si no es que con menor frecuencia.
- Falta de conocimiento para autenticación: La autenticación de dos factores (2FA) proporciona una pared adicional de identidad para acceder a una cuenta (como un código de verificación enviado a su teléfono). Es una herramienta vital, particularmente en un mundo en el que las contraseñas más populares son “123456” y “password”, pero 41% de los empleados ni siquiera está familiarizado con 2FA, y menos de la mitad optan por utilizarlo de manera voluntaria.
Desarrollo de capacitación que incluya ciberseguridad
Si bien existen diferencias generacionales en términos de cómo los empleados ven y utilizan la tecnología, una formación buena en seguridad cibernética beneficiará a todos los empleados en la oficina. Las empresas deben centrarse en un conjunto de normas que tomen en cuenta las preferencias de todos los aprendices. Al implementar capacitación de seguridad cibernética para toda la organización, las empresas deben centrarse en ofrecer:
- Capacitación más frecuente: Actualmente, 45% de los empleados no recibe capacitación en ciberseguridad. Éste es un problema en el que empleados de todas las generaciones están de acuerdo, pues coinciden en que la capacitación es vital para mantenerse al paso de la tecnología. De los empleados que tomaron una capacitación el año pasado, sólo el 40% comentó que ésta tuvo que ver con tecnología. Las organizaciones necesitan proporcionar sesiones de capacitación regular y de actualización para asegurar que las habilidades y el conocimiento de los empleados evolucionen al nivel de las herramientas que utilizan en el panorama de las amenazas de ciber seguridad de hoy.
- Tiempo dedicado a la capacitación: La capacitación cibernética no debería interferir con las tareas de trabajo existentes o demandar tiempo adicional de los empleados. En lugar de ello, las empresas deberían tomar tiempo del día laboral a fin de que los trabajadores no sientan que la capacitación en ciberseguridad les toma tiempo de su productividad o de su balance personal de trabajo.
- Énfasis en aprendizaje electrónico: Con el fin de ser eficientes, las compañías necesitan decidirse por una metodología que comprometa a todos los tipos de aprendices. Aunque de manera estereotipada se asocian con los millennials, las plataformas de capacitación digitales ofrecen un grado de flexibilidad y autonomía que es valuado por todas las generaciones.
Como los empleados son el primer objetivo de los hackers, la educación en ciberseguridad debe ser la prioridad para empleadores. Con capacitación incluida para todos los empleados, las empresas pueden reunir a las generaciones para instalar un conjunto común de valores cibernéticos en el lugar de trabajo.
______________
El autor de este artículo, Todd Thibodeaux, es Presidente y CEO de CompTIA.