viernes, septiembre 29, 2023
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE
No Result
View All Result
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE
No Result
View All Result
DirectorTIC
No Result
View All Result
Inicio Seguridad

Lance phishing a sus empleados para formarles y en pro de la seguridad

Inma ElizaldePor: Inma Elizalde
25 agosto, 2017
Lance phishing a sus empleados para formarles y en pro de la seguridad
29
VIEWS
Compartir en TwitterCompartir en Linkedin

Su programa de educación no está completo hasta que ponga a prueba a sus usuarios con correos falsos de phishing.

Imagine este supuesto escenario: un estudiante, con el sueño de convertirse en cirujano, asiste a horas de cursos de medicina.  Nunca se pierde una clase, siempre escucha y toma apuntes de todo. Finalmente, después de recibir los años de formación necesarios, el estudiante recibe su título en medicina sin nunca haber hecho unas prácticas. ¿Dejaría que este cirujano le operara?

¡Espero que no! Las prácticas son una parte crucial de cualquier forma de educación, tanto para profesores como para estudiantes.

Por este motivo, creo que un programa de phishing no estará completo hasta que no lo ponga a prueba en su propia compañía. Con esto me refiero a enviar falsos (pero realistas) correos de phising a todos sus usuarios para ver si caen en ellos. Hay un montón de herramientas y servicios que pueden hacer esto por usted. Para mí, esta es la prueba real de su phishing y la formación de sensibilización y concienciación en seguridad de su empresa.

Una adecuada formación

Doy por hecho que los que están leyendo esto ya tienen un programa de formación en seguridad que incluye un plan de phishing. Algunos expertos en seguridad de la información no creen que educar al usuario funcione. No soy uno de ellos. Hay una evidencia significativa de que la educación adecuada funciona. De hecho, para el phishing específicamente, Ponemon Institute encontró que la educación del usuario tenía un asombroso 50x retorno de la inversión. Si es uno de los que ya no está formando a sus usuarios a través de la capacitación, ese número por sí solo debe convencerle para empezar a hacerlo. Por tanto, hablemos de cómo puede mejorar su programa general de formación en seguridad, y por qué lanzar phishing a sus usuarios es una pieza tan valiosa del rompecabezas.

  • Las pruebas prácticas son la mejor medida de comprensión. La mayoría de las formaciones en materia de concienciación en seguridad que he visto terminan con una prueba básica de opción múltiple. Estas pruebas son solo una medida parcial de si el alumno puede poner ese conocimiento para utilizar en el mundo real. Tomemos como ejemplo un examen de conducción. Por supuesto, hay una prueba escrita, pero no permitiría que un adolescente cogiese el coche hasta después de que aprobase el test práctico.
  • La evaluación práctica puede revelar los problemas de formación. Al enviar correos falsos de phishing, es posible conocer cuáles son aquellos en los que sus usuarios “picaron” con más frecuencia. ¿Había un cierto tipo de correo electrónico que contenía un determinado «señuelo» que engañó a sus empleados? Tal vez esa podría ser la pieza que falta y que puede incorporar a su próxima formación sobre phishing, o un concepto que no han cubierto con suficiente detalle en sesiones anteriores.
  • Ayuda a los empleados a reconocer su propio nivel de conocimiento sobre el asunto. Los correos electrónicos falsos de phishing deben informar inmediatamente al usuario cuando hacen clic en un enlace incorrecto. El objetivo no es poner en evidencia al usuario – eso es perjudicial para la formación. Más bien, el objetivo es dejar que el usuario sepa que se perdió algo, por lo que se da cuenta de que hay cierto desconocimiento en su comprensión práctica, y no sobreestime su preparación.
  • Proporciona otra oportunidad de capacitación. El mejor entrenamiento implica repetición. Además de informar de que se ha cometido un error, el phishing le permite compartir inmediatamente la formación con el usuario que aborda específicamente el error que acaba de cometer. Por ejemplo, digamos que un usuario hizo clic en un enlace que, obviamente, le llevó a un dominio que no tiene nada que ver con el correo electrónico. Después de informar al usuario de su error, su enlace de phishing podría enviar al usuario a una página de formación específica diciéndole qué buscar en las URL. De hecho, estos falsos ejercicios de phishing proporcionan una manera fácil de reintroducir regularmente materiales de capacitación para sus usuarios (al menos los que cometen errores), sin tener que repetir un curso sobre el mismo tema.
  • Las pruebas prácticas son más propensas a cambiar los comportamientos. El verdadero referente del éxito de su formación en seguridad es si sus receptores cambian sus malos comportamientos. Una razón por la que algunos expertos en seguridad se quejan de que la formación es ineficaz se debe a que un cierto tipo de usuario, aunque conoce el comportamiento correcto, sigue haciéndolo mal cuando es más fácil. Fallar estas pruebas internas de phishing con regularidad debe eventualmente conseguir que incluso los usuarios más obstinados cambien su comportamiento, simplemente porque saben que su jefe podría estar viéndoles.
  • Le ayudan a medir el valor real de su formación. Creo que la formación en seguridad es efectiva, pero no todos los casos son iguales. Hacer phishing en su propia compañía mide la eficacia de su entrenamiento. Primero, envíe correos falsos de phishing antes de la formación y registre los resultados. A continuación, envíe emails similares después del training y compare los resultados. Dé a su organización por lo menos dos ciclos de formación para entender realmente las tendencias a largo plazo. (La formación lleva su tiempo). Sin embargo, si ve que no hay un cambio en el comportamiento, entonces tal vez debería cancelar ese curso de formación en particular e identificar uno que funcione mejor. En cualquier caso, no va a ser capaz de calcular esta ecuación de riesgo vs eficacia vs coste a menos que realmente mida lo bien que sus usuarios hacen frente a estos correos electrónicos de phishing – y la única manera de hacerlo es poniéndolo en práctica en su empresa.

 Corey Nachreiner

CTO de WatchGuard Technologies

 

Etiquetas: empleadosphishingseguridadWatchGuard Technologies

DESTACADO

Zona VMware

30 noviembre, 2022

Tecnología en libertad con VMware. Hablar de VMware es hablar de una de las multinacionales tecnológicas de mayor crecimiento y...

Leer más
Hub

ViewFinity, aportando un mayor valor al segmento corporate

14 septiembre, 2023

Productividad. Esa es la clave para cualquier empresa del siglo XXI que quiera posicionarse en el mercado. Sin embargo, según...

Leer más
Hub

Samsung: educación tecnológica inclusiva, segura y de calidad

14 septiembre, 2023

Mientras la transformación digital del sector de la educación sigue su curso son, todavía, muchas las necesidades que hay que...

Leer más
La disrupción tecnológica se asienta en las empresas con los periféricos de Epson
Entorno TIC

La disrupción tecnológica se asienta en las empresas con los periféricos de Epson

26 septiembre, 2023

Los periféricos están adquiriendo un mayor protagonismo en la transformación digital de las compañías, aunque, como demuestra un estudio llevado...

Leer más

Zona Huawei

30 noviembre, 2022

Huawei: simplificando la tecnología. Conoce, de manera sencilla, el valor que la tecnología de Huawei aporta a tu organización y...

Leer más
Huawei Cloud presenta su estrategia para impulsar la digitalización de las empresas españolas en la primera edición de su Huawei Cloud Summit Spain
Destacado

Huawei Cloud presenta su estrategia para impulsar la digitalización de las empresas españolas en la primera edición de su Huawei Cloud Summit Spain

14 septiembre, 2023

El primer Huawei Cloud Summit Spain, que se celebró en Madrid bajo el lema “New Changer, New Rocker”, reunió a...

Leer más
Liferay DXP o cómo fidelizar al sector turístico
Talleres del CIO

Liferay DXP o cómo fidelizar al sector turístico

5 septiembre, 2023

Hablar de turismo en España es hablar de un mercado que exige una mayor digitalización con el fin de adaptarse...

Leer más
Cegid Ekon - Director TIC - TAI Editorial - España
Entorno TIC

Cegid Ekon, experiencia y equipo multidisciplinar para migrar a un ERP en cloud

6 septiembre, 2023

“El ERP es la herramienta en torno a la que las organizaciones toman las decisiones para mejorar y optimizar sus...

Leer más
Talleres del CIO

Schneider Electric: jugador fundamental para la transformación digital del sector industrial

7 septiembre, 2023

El agua es un elemento imprescindible para la supervivencia del ser humano en pleno cambio climático. Gestionarla en un momento...

Leer más
Destacado

ThousandEyes o cómo las organizaciones pueden obtener visibilidad end-to-end

6 julio, 2023

Muchos han sido los cambios experimentados por las organizaciones en los últimos tiempos. En un mundo empresarial dominado por el...

Leer más
Fintonic -Director TIC - Ingram Micro - Entelgy - Caso de Exito - Tai Editorial - España
Videos

Los servicios de Entelgy Innotec Security, respaldados por Ingram Micro, permiten a Fintonic blindar su infraestructura en la nube de AWS

2 junio, 2023

Fintonic necesitaba contar con un equipo experto para un nivel 1 de monitorización y, a la vez, un partner que...

Leer más
El reinado del dato en los entornos híbridos
Sin categoría

El reinado del dato en los entornos híbridos

27 abril, 2023

El dato es el rey en la nueva era de la economía digital. Su gestión y protección se tornan críticas...

Leer más
Siguiente noticia
5G será la plataforma que permitirá el crecimiento en muchas industrias

5G será la plataforma que permitirá el crecimiento en muchas industrias

SOBRE NOSOTROS

DirectorTic es una publicación de T.a.i. Editorial con información de valor para la toma de decisiones del C-Level de mediana y gran empresa

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
View All Result
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Gestión del dato 2023
    • Centro de datos 2023
    • Educacion 2023
    • Seguridad en la nube 2023
    • Puesto de trabajo 2023
    • Horeca 2023
    • Retail 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
  • GUÍAS
    • Guía de ciberseguridad 2023
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • FORO TAI
  • SUSCRIPCIONES
  • VMWARE

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí