Tecnología (general)

Cómo fomentar un comportamiento ciberseguro en el trabajo sin convertirse en el cascarrabias de la oficina

por Nathalie Collins, Jeff Volkheimer y Paul Haskell-Dowland

La etiqueta comercial tiene una regla de oro: tratar a los demás con respeto y cuidado. Lo mismo ocurre con el fomento de la seguridad cibernética en el trabajo, en todo, desde la seguridad de las contraseñas hasta el mantenimiento de información valiosa como los números de archivo de impuestos a salvo.

Pero, ¿cómo puedes fomentar un comportamiento ciberseguro en el trabajo sin convertirte en el cascarrabias de la oficina?

El truco, como ocurre a menudo en la vida, consiste en fomentar los comportamientos correctos con tacto y ofreciendo soluciones útiles. Es poco probable que sirva de ayuda vilipendiar o burlarse de quienes “hacen lo incorrecto”.

En definitiva, ofrecer alternativas y no reprochar.

Oye, ¿cuál es tu contraseña?

Muchas organizaciones tienen políticas para evitar el intercambio de contraseñas (y la mayoría, a estas alturas, desalentaría activamente a las personas de mantener las contraseñas en una nota adhesiva pegada a una computadora). Sin embargo, pedir una contraseña a otras personas todavía no se considera necesariamente un tabú.

Quizás su colega quiera usar su computadora y le solicite su inicio de sesión. O pueden necesitar acceso a un repositorio compartido pero han olvidado la contraseña.

Dos mujeres charlan mientras miran una computadora.
Si no está dispuesto a compartir su contraseña personal, sus instintos son correctos.

Si eres reacio a compartir tu contraseña personal o difundir una contraseña de equipo en Slack o en un chat grupal, tus instintos son correctos. Las contraseñas son piezas de información sumamente valiosas, y muchas brechas de seguridad catastróficas se remontan a una gestión deficiente de contraseñas en el trabajo.

Pero si tu colega te pide una contraseña, en lugar de responder con un “no” breve y brusco, suavice el golpe preguntándole por qué la quiere. Si hay una razón legítima, trabaje con ellos para resolver el problema, sin revelar nada.

Por ejemplo, en lugar de publicar una contraseña en Slack (por ejemplo), ¿puedes dirigirlos al administrador de contraseñas de su organización y ayudarlos a aprender cómo recuperar las contraseñas? Si lo que necesitan es acceso a una computadora, ¿puedes ayudarlos a reiniciar una computadora e iniciar sesión como invitado en lugar de como tú?

Nunca envíe nombres de usuario y contraseñas por correo electrónico.

Si no hay sistemas en el trabajo para ayudar a las personas que necesitan acceso a una contraseña compartida o una terminal de computadora, hable con su equipo de TI sobre cómo encontrar soluciones a largo plazo. Eso podría incluir invertir en un administrador de contraseñas como 1Password, Dashlane o LastPass.

Los archivos se pueden compartir dentro de los equipos a través de OneDrive, Dropbox u otro repositorio organizacional para reducir la necesidad de que un colega acceda a su computadora para “simplemente sacar un archivo”.

‘Por favor, complete este formulario confidencial y envíelo por correo electrónico’

No es raro que el personal de soporte administrativo de TI, RR.HH. o finanzas le pida que complete un formulario con información confidencial y simplemente se lo devuelva en un correo electrónico.

Incluso se sabe que los médicos y abogados manejan incorrectamente documentos con firmas, números de archivo de impuestos u otra información de identificación, como cumpleaños.

No se sienta presionado para hacerlo. El hecho es que dicha información es invaluable para los piratas informáticos y los ladrones de identidad. Si el correo electrónico de su lugar de trabajo sufre una violación de datos, los malos actores pueden recuperar estos formularios escaneados de las bandejas de entrada que han invadido.

La mayoría de las organizaciones tienen formas seguras de transferir archivos, que van desde una solución segura de almacenamiento en la nube hasta sitios seguros para compartir archivos. Úselos, y nunca su correo electrónico personal o soluciones en la nube.

Si su organización no tiene una forma segura de guardar los archivos, puede usar una y enviarle a su colega el enlace en un correo electrónico del trabajo.

Alternativamente, puede enviar un PDF cifrado en un correo electrónico, lo que significa un control mucho más estricto sobre quién puede acceder al archivo.

A veces, las soluciones más seguras son las más sencillas. Hagalo según un vieo metodo: acerque los documentos a la persona en lugar de escanearlos y enviarlos por correo electrónico.

Si te piden que envíes información personal de forma insegura, oculta tu cara de Pikachu. En su lugar, di: “Se supone que debemos transferir archivos de esta manera. Si quieres, ¿puedo mostrarte cómo para la próxima vez? “

Ofrecer una solución, en lugar de avergonzar, es mucho más probable que lleve a un cambio.

Una persona escanea formularios en el trabajo.
A veces, las soluciones más seguras son las más sencillas; si puede, pase los documentos hacia la persona en lugar de escanearlos y enviarlos por correo electrónico. Shutterstock

¿Puedes pasarme mi currículum?

Los buscadores de empleo pueden intentar poner un pie en la puerta aprovechando a un amigo o ex colega. Muchos de nosotros estaríamos dispuestos a ayudar a un amigo pasando su CV al jefe.

Desafortunadamente, los actores maliciosos de todo tipo también lo saben. Como se describe en este artículo, los CV falsos se pueden enviar por correo electrónico con un archivo adjunto de Microsoft Excel (por ejemplo). Cuando se abre, el archivo adjunto puede lanzar malware que:

… luego intenta secuestrar información privada, credenciales de usuarios de instituciones financieras específicas y contraseñas y cookies almacenadas en navegadores web. Los atacantes pueden entonces explotar estas adquisiciones para realizar transacciones financieras.

El malware no solo está incrustado en enlaces y archivos adjuntos, incluso los mensajes de LinkedIn pueden contener malware. Las consecuencias de abrir dichos enlaces o archivos adjuntos pueden ser extremas e incluso pueden incluir ransomware (donde los piratas informáticos rechazan el acceso a archivos o sistemas en línea hasta que la víctima pague).

Una computadora muestra la página de inicio de LinkedIn.
Incluso los mensajes de LinkedIn pueden contener malware. Shutterstock

No transmita CV, especialmente si la persona es amiga de un amigo. En su lugar, transmita el nombre de la persona al jefe, para que él o ella pueda buscarla en LinkedIn. No siga los enlaces que le envíen, ni siquiera los contactos de confianza. Los enlaces a menudo pueden ser difíciles de verificar sin hacer clic en ellos y puede ser redirigido a un sitio malicioso.

Y si usted es el buscador de empleo, demuestre su propia conciencia de seguridad cibernética al no hacer circular CV u otros documentos con información personal que pueda ser valiosa para los ladrones de identidad. Sin cumpleaños, direcciones, solo correo electrónico, número de teléfono móvil y LinkedIn.

La misma regla se aplica a los códigos QR: no abra a ciegas la página web señalada en el código QR de una tarjeta de presentación. Puede obtener más de lo que esperaba.

Resista la tentación de hacer algo inseguro cuando esté justo en el plazo

Desafortunadamente, muchos lugares de trabajo todavía ven el comportamiento inseguro cibernético como ampliamente aceptable y la presión para hacer algo inseguro, especialmente cuando se cumple el plazo, puede ser profunda.

Pero si actúa con respeto y amabilidad, puede mejorar la reputación de su oficina como miembro del personal cibernético y ayudar a reducir el riesgo para su organización.

Fuente: The Conversation