Hola compañeros lectores,
Me gustaría comenzar agradeciendo a CyberDB, el banco de datos líder en tecnologías y productos cibernéticos por invitarme como blogger invitado en su sitio web. ¡Gracias CyberDB!
Te bombardean constantemente. Cada segundo, minuto y hora. ¡Sí, me refiero a los correos electrónicos de phishing! Como sabrá, las estafas de phishing se han convertido en un problema muy grande para organizaciones de todos los tamaños. De hecho, el Grupo de Trabajo Anti-Phishing (APWG) observó más ataques de phishing en el primer trimestre de que en cualquier otro lapso de tres meses desde que comenzó a rastrear datos en.
Tenemos que lidiar con ello en nuestra vida personal y más aún en nuestra vida profesional también. Para empezar, debemos darnos cuenta de que una infracción puede devastar una organización entera y paralizarla en cuestión de tiempo. No solo estamos viendo un número cada vez mayor de correos electrónicos de phishing tradicionales que se envían en masa, sino que también estamos viendo que se envían más correos electrónicos de phishing. ¿Por qué debería ser esto una preocupación para su pequeña empresa? O mejor dicho, ¿por qué debería ser esto una preocupación para la empresa Fortune 500 en la que trabaja? Para empezar, una infracción no discrimina. Es la penetración de una organización en la que había un elemento débil que pudo ser explotado.
Para aquellos que poseen una pequeña empresa, puede resultar algo abrumador pensar en emplear medidas de seguridad adicionales, y con razón. Implementar un IDS puede ser costoso, hacer negocios con un proveedor externo para el monitoreo de seguridad puede ser costoso y, para colmo, ¡no capacitar ADECUADAMENTE a sus empleados desde el principio puede ser extremadamente costoso! Amigos, ¡esto es muy importante! No capacitar adecuadamente a un empleado puede ser perjudicial para toda su organización. ¿Cómo es eso que preguntas? Bueno, digamos hipotéticamente que uno de tus
¿Cómo es eso que preguntas? Bueno, digamos hipotéticamente que uno de sus empleados recibió un correo electrónico sobre una orden de compra y todo lo que tenía que hacer era aprobarla y enviarla a cuentas por pagar. Supongamos también que este correo electrónico conocía mucha información personal sobre ese empleado suyo en particular y estaba dirigido a ese empleado en particular. ¡UH oh! ¡Su empleado acaba de ser violado! Más específicamente, su empleado fue objeto de phishing. ¿Ha llegado ya el momento de pulsar el botón del pánico? Si la respuesta fue sí, ¡genial! Detengámonos por un breve momento y examinemos lo que sucedió aquí. Su empleado fue estudiado, investigado y muy probablemente analizado por el atacante. Si el trabajo del empleado es verificar las órdenes de compra que llegan y luego aprobarlas para enviarlas a la cuenta por pagar, entonces puede ser un objetivo muy fácil. Después de todo, el empleado probablemente ve cientos y cientos de órdenes de compra diariamente, y firmar una orden de compra adicional sería simplemente otra transacción o tarea si así se le quiere llamar. Esta puede ser una realidad muy aterradora para muchas organizaciones. Sin embargo, esto es aún más devastador para una pequeña empresa. Una pequeña empresa generalmente no tiene los recursos a los que tiene acceso una organización grande y, por lo tanto, puede estar expuesta a ataques constantes con más facilidad. ¿Por dónde empezamos a abordar este problema? Es crucial que una organización comprenda sus vulnerabilidades. Esto es aún más devastador para una pequeña empresa. Una pequeña empresa generalmente no tiene los recursos a los que tiene acceso una organización grande y, por lo tanto, puede estar expuesta a ataques constantes con más facilidad. ¿Por dónde empezamos a abordar este problema? Es crucial que una organización comprenda sus vulnerabilidades. Esto es aún más devastador para una pequeña empresa. Una pequeña empresa generalmente no tiene los recursos a los que tiene acceso una organización grande y, por lo tanto, puede estar expuesta a ataques constantes con más facilidad. ¿Por dónde empezamos a abordar este problema? Es crucial que una organización comprenda sus vulnerabilidades.
No todas las personas son iguales y esto también se aplica a los empleados. No todos los empleados son iguales y algunos pueden ser más susceptibles a hacer clic en un enlace de un correo electrónico de phishing y comprometer su organización. Su éxito final estará en cómo capacite a sus empleados. Primero, comencemos por realizar una evaluación de riesgos para su organización en general. Después de identificar los objetivos (sus empleados), podemos crear un programa basado en correos electrónicos para generarlos para sus empleados. Una vez que hayamos creado algunas plantillas de correo electrónico y las hayamos adaptado a las necesidades de su organización, podremos organizar los siguientes pasos para iniciar su campaña de evaluación de riesgos. El siguiente paso en su proceso debe consistir en ajustar los parámetros de su campaña para que estén en línea con la duración y los criterios adicionales que haya especificado. ¡Ya estás listo para lanzar! Es emocionante y puede ser un poco estresante por decir lo menos, pero esto es lo mejor para SU organización. Siempre es importante tener esto en cuenta. Después de una campaña exitosa y una revisión cuidadosa de las métricas de su campaña, ahora puede crear un programa de capacitación para enseñar a sus empleados a qué deben prestar atención. Esto no debería ser una lección de regaño, sino más bien una oportunidad para que sus empleados se den cuenta de sus deficiencias y luego las aprovechen para seguir adelante. ¿Habrá empleados que dudarán? ¡Sí, por supuesto que lo habrá! Es por eso que deberías realizar phishing. ¡Estoy bromeando! ¿O soy yo? Pista, pista… Cuando esté listo para elaborar su programa de capacitación y concientización para sus empleados, hay un poco de organización involucrada. Para principiantes, Deberá asegurarse de haber identificado a los empleados que fueron susceptibles a los correos electrónicos de phishing que generó y luego informarles sobre qué hizo que el correo electrónico fuera un correo electrónico de phishing para empezar. La capacitación y la concientización deben ir de la mano e incorporar las lecciones aprendidas de las campañas que acaba de finalizar. Lo que personalmente recomendaría es que usted elabore un sistema de clasificación de riesgos en el que identifique el nivel de riesgo que el empleado representa para su organización. Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará La capacitación y la concientización deben ir de la mano e incorporar las lecciones aprendidas de las campañas que acaba de finalizar. Lo que personalmente recomendaría es que usted elabore un sistema de clasificación de riesgos en el que identifique el nivel de riesgo que el empleado representa para su organización. Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará La capacitación y la concientización deben ir de la mano e incorporar las lecciones aprendidas de las campañas que acaba de finalizar. Lo que personalmente recomendaría es que usted elabore un sistema de clasificación de riesgos en el que identifique el nivel de riesgo que el empleado representa para su organización. Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará
La capacitación y la concientización deben ir de la mano e incorporar las lecciones aprendidas de las campañas que acaba de finalizar. Lo que personalmente recomendaría es que usted elabore un sistema de clasificación de riesgos en el que identifique el nivel de riesgo que el empleado representa para su organización. Puede incorporar una calificación de riesgo en las métricas de su campaña para hacer coincidir los riesgos más altos con su organización y luego mitigarlos. El nivel de escrutinio que enfrenta un empleado sin duda se basará en su calificación de riesgo. Sin embargo, como dije anteriormente, el propósito de la capacitación y concientización no debe ser regañar a los empleados sino educarlos para que no vuelvan a repetir los mismos errores. Un buen enfoque sería que los empleados con una clasificación de riesgo más alta recibieran alguna formación adicional. Esto puede consistir en dedicar una cierta cantidad de tiempo al mes, capacitación y concientización adicionales, y luego completar una prueba que usted haya elaborado. Además, poco después de completar su campaña, sería una buena idea enviar una encuesta a sus empleados. Es una buena manera de evaluar los comentarios de los empleados y puede utilizarlos más adelante para identificar el progreso de las evaluaciones de riesgos que está realizando.
Por: Alex A. Kayayian Blog: www.cybertimestoday.com
LinkedIn: https://www.linkedin.com/in/alex-a-kayayian-27bba3a