por Nathalie Collins, Jeff Volkheimer y Paul Haskell-Dowland
La etiqueta comercial tiene una regla de oro: tratar a los demás con respeto y cuidado. Lo mismo ocurre con el fomento de la seguridad cibernética en el trabajo, en todo, desde la seguridad de las contraseñas hasta el mantenimiento de información valiosa como los números de archivo de impuestos a salvo.
Pero, ¿cómo puedes fomentar un comportamiento ciberseguro en el trabajo sin convertirte en el cascarrabias de la oficina?
El truco, como ocurre a menudo en la vida, consiste en fomentar los comportamientos correctos con tacto y ofreciendo soluciones útiles. Es poco probable que sirva de ayuda vilipendiar o burlarse de quienes “hacen lo incorrecto”.
En definitiva, ofrecer alternativas y no reprochar.
Oye, ¿cuál es tu contraseña?
Muchas organizaciones tienen políticas para evitar el intercambio de contraseñas (y la mayoría, a estas alturas, desalentaría activamente a las personas de mantener las contraseñas en una nota adhesiva pegada a una computadora). Sin embargo, pedir una contraseña a otras personas todavía no se considera necesariamente un tabú.
Quizás su colega quiera usar su computadora y le solicite su inicio de sesión. O pueden necesitar acceso a un repositorio compartido pero han olvidado la contraseña.
Si eres reacio a compartir tu contraseña personal o difundir una contraseña de equipo en Slack o en un chat grupal, tus instintos son correctos. Las contraseñas son piezas de información sumamente valiosas, y muchas brechas de seguridad catastróficas se remontan a una gestión deficiente de contraseñas en el trabajo.
Pero si tu colega te pide una contraseña, en lugar de responder con un “no” breve y brusco, suavice el golpe preguntándole por qué la quiere. Si hay una razón legítima, trabaje con ellos para resolver el problema, sin revelar nada.
Por ejemplo, en lugar de publicar una contraseña en Slack (por ejemplo), ¿puedes dirigirlos al administrador de contraseñas de su organización y ayudarlos a aprender cómo recuperar las contraseñas? Si lo que necesitan es acceso a una computadora, ¿puedes ayudarlos a reiniciar una computadora e iniciar sesión como invitado en lugar de como tú?
Nunca envíe nombres de usuario y contraseñas por correo electrónico.
Si no hay sistemas en el trabajo para ayudar a las personas que necesitan acceso a una contraseña compartida o una terminal de computadora, hable con su equipo de TI sobre cómo encontrar soluciones a largo plazo. Eso podría incluir invertir en un administrador de contraseñas como 1Password, Dashlane o LastPass.
Los archivos se pueden compartir dentro de los equipos a través de OneDrive, Dropbox u otro repositorio organizacional para reducir la necesidad de que un colega acceda a su computadora para “simplemente sacar un archivo”.
‘Por favor, complete este formulario confidencial y envíelo por correo electrónico’
No es raro que el personal de soporte administrativo de TI, RR.HH. o finanzas le pida que complete un formulario con información confidencial y simplemente se lo devuelva en un correo electrónico.
Incluso se sabe que los médicos y abogados manejan incorrectamente documentos con firmas, números de archivo de impuestos u otra información de identificación, como cumpleaños.
No se sienta presionado para hacerlo. El hecho es que dicha información es invaluable para los piratas informáticos y los ladrones de identidad. Si el correo electrónico de su lugar de trabajo sufre una violación de datos, los malos actores pueden recuperar estos formularios escaneados de las bandejas de entrada que han invadido.
La mayoría de las organizaciones tienen formas seguras de transferir archivos, que van desde una solución segura de almacenamiento en la nube hasta sitios seguros para compartir archivos. Úselos, y nunca su correo electrónico personal o soluciones en la nube.
Alternativamente, puede enviar un PDF cifrado en un correo electrónico, lo que significa un control mucho más estricto sobre quién puede acceder al archivo.
A veces, las soluciones más seguras son las más sencillas. Hagalo según un vieo metodo: acerque los documentos a la persona en lugar de escanearlos y enviarlos por correo electrónico.
Si te piden que envíes información personal de forma insegura, oculta tu cara de Pikachu. En su lugar, di: “Se supone que debemos transferir archivos de esta manera. Si quieres, ¿puedo mostrarte cómo para la próxima vez? “
Ofrecer una solución, en lugar de avergonzar, es mucho más probable que lleve a un cambio.
¿Puedes pasarme mi currículum?
Los buscadores de empleo pueden intentar poner un pie en la puerta aprovechando a un amigo o ex colega. Muchos de nosotros estaríamos dispuestos a ayudar a un amigo pasando su CV al jefe.
Desafortunadamente, los actores maliciosos de todo tipo también lo saben. Como se describe en este artículo, los CV falsos se pueden enviar por correo electrónico con un archivo adjunto de Microsoft Excel (por ejemplo). Cuando se abre, el archivo adjunto puede lanzar malware que:
… luego intenta secuestrar información privada, credenciales de usuarios de instituciones financieras específicas y contraseñas y cookies almacenadas en navegadores web. Los atacantes pueden entonces explotar estas adquisiciones para realizar transacciones financieras.
El malware no solo está incrustado en enlaces y archivos adjuntos, incluso los mensajes de LinkedIn pueden contener malware. Las consecuencias de abrir dichos enlaces o archivos adjuntos pueden ser extremas e incluso pueden incluir ransomware (donde los piratas informáticos rechazan el acceso a archivos o sistemas en línea hasta que la víctima pague).
No transmita CV, especialmente si la persona es amiga de un amigo. En su lugar, transmita el nombre de la persona al jefe, para que él o ella pueda buscarla en LinkedIn. No siga los enlaces que le envíen, ni siquiera los contactos de confianza. Los enlaces a menudo pueden ser difíciles de verificar sin hacer clic en ellos y puede ser redirigido a un sitio malicioso.
Y si usted es el buscador de empleo, demuestre su propia conciencia de seguridad cibernética al no hacer circular CV u otros documentos con información personal que pueda ser valiosa para los ladrones de identidad. Sin cumpleaños, direcciones, solo correo electrónico, número de teléfono móvil y LinkedIn.
La misma regla se aplica a los códigos QR: no abra a ciegas la página web señalada en el código QR de una tarjeta de presentación. Puede obtener más de lo que esperaba.
Resista la tentación de hacer algo inseguro cuando esté justo en el plazo
Desafortunadamente, muchos lugares de trabajo todavía ven el comportamiento inseguro cibernético como ampliamente aceptable y la presión para hacer algo inseguro, especialmente cuando se cumple el plazo, puede ser profunda.
Pero si actúa con respeto y amabilidad, puede mejorar la reputación de su oficina como miembro del personal cibernético y ayudar a reducir el riesgo para su organización.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
por Nathalie Collins, Jeff Volkheimer y Paul Haskell-Dowland
La etiqueta comercial tiene una regla de oro: tratar a los demás con respeto y cuidado. Lo mismo ocurre con el fomento de la seguridad cibernética en el trabajo, en todo, desde la seguridad de las contraseñas hasta el mantenimiento de información valiosa como los números de archivo de impuestos a salvo.
Pero, ¿cómo puedes fomentar un comportamiento ciberseguro en el trabajo sin convertirte en el cascarrabias de la oficina?
El truco, como ocurre a menudo en la vida, consiste en fomentar los comportamientos correctos con tacto y ofreciendo soluciones útiles. Es poco probable que sirva de ayuda vilipendiar o burlarse de quienes “hacen lo incorrecto”.
En definitiva, ofrecer alternativas y no reprochar.
Oye, ¿cuál es tu contraseña?
Muchas organizaciones tienen políticas para evitar el intercambio de contraseñas (y la mayoría, a estas alturas, desalentaría activamente a las personas de mantener las contraseñas en una nota adhesiva pegada a una computadora). Sin embargo, pedir una contraseña a otras personas todavía no se considera necesariamente un tabú.
Quizás su colega quiera usar su computadora y le solicite su inicio de sesión. O pueden necesitar acceso a un repositorio compartido pero han olvidado la contraseña.
Si eres reacio a compartir tu contraseña personal o difundir una contraseña de equipo en Slack o en un chat grupal, tus instintos son correctos. Las contraseñas son piezas de información sumamente valiosas, y muchas brechas de seguridad catastróficas se remontan a una gestión deficiente de contraseñas en el trabajo.
Pero si tu colega te pide una contraseña, en lugar de responder con un “no” breve y brusco, suavice el golpe preguntándole por qué la quiere. Si hay una razón legítima, trabaje con ellos para resolver el problema, sin revelar nada.
Por ejemplo, en lugar de publicar una contraseña en Slack (por ejemplo), ¿puedes dirigirlos al administrador de contraseñas de su organización y ayudarlos a aprender cómo recuperar las contraseñas? Si lo que necesitan es acceso a una computadora, ¿puedes ayudarlos a reiniciar una computadora e iniciar sesión como invitado en lugar de como tú?
Nunca envíe nombres de usuario y contraseñas por correo electrónico.
Si no hay sistemas en el trabajo para ayudar a las personas que necesitan acceso a una contraseña compartida o una terminal de computadora, hable con su equipo de TI sobre cómo encontrar soluciones a largo plazo. Eso podría incluir invertir en un administrador de contraseñas como 1Password, Dashlane o LastPass.
Los archivos se pueden compartir dentro de los equipos a través de OneDrive, Dropbox u otro repositorio organizacional para reducir la necesidad de que un colega acceda a su computadora para “simplemente sacar un archivo”.
‘Por favor, complete este formulario confidencial y envíelo por correo electrónico’
No es raro que el personal de soporte administrativo de TI, RR.HH. o finanzas le pida que complete un formulario con información confidencial y simplemente se lo devuelva en un correo electrónico.
Incluso se sabe que los médicos y abogados manejan incorrectamente documentos con firmas, números de archivo de impuestos u otra información de identificación, como cumpleaños.
No se sienta presionado para hacerlo. El hecho es que dicha información es invaluable para los piratas informáticos y los ladrones de identidad. Si el correo electrónico de su lugar de trabajo sufre una violación de datos, los malos actores pueden recuperar estos formularios escaneados de las bandejas de entrada que han invadido.
La mayoría de las organizaciones tienen formas seguras de transferir archivos, que van desde una solución segura de almacenamiento en la nube hasta sitios seguros para compartir archivos. Úselos, y nunca su correo electrónico personal o soluciones en la nube.
Si su organización no tiene una forma segura de guardar los archivos, puede usar una y enviarle a su colega el enlace en un correo electrónico del trabajo.
Alternativamente, puede enviar un PDF cifrado en un correo electrónico, lo que significa un control mucho más estricto sobre quién puede acceder al archivo.
A veces, las soluciones más seguras son las más sencillas. Hagalo según un vieo metodo: acerque los documentos a la persona en lugar de escanearlos y enviarlos por correo electrónico.
Si te piden que envíes información personal de forma insegura, oculta tu cara de Pikachu. En su lugar, di: “Se supone que debemos transferir archivos de esta manera. Si quieres, ¿puedo mostrarte cómo para la próxima vez? “
Ofrecer una solución, en lugar de avergonzar, es mucho más probable que lleve a un cambio.
¿Puedes pasarme mi currículum?
Los buscadores de empleo pueden intentar poner un pie en la puerta aprovechando a un amigo o ex colega. Muchos de nosotros estaríamos dispuestos a ayudar a un amigo pasando su CV al jefe.
Desafortunadamente, los actores maliciosos de todo tipo también lo saben. Como se describe en este artículo, los CV falsos se pueden enviar por correo electrónico con un archivo adjunto de Microsoft Excel (por ejemplo). Cuando se abre, el archivo adjunto puede lanzar malware que:
El malware no solo está incrustado en enlaces y archivos adjuntos, incluso los mensajes de LinkedIn pueden contener malware. Las consecuencias de abrir dichos enlaces o archivos adjuntos pueden ser extremas e incluso pueden incluir ransomware (donde los piratas informáticos rechazan el acceso a archivos o sistemas en línea hasta que la víctima pague).
No transmita CV, especialmente si la persona es amiga de un amigo. En su lugar, transmita el nombre de la persona al jefe, para que él o ella pueda buscarla en LinkedIn. No siga los enlaces que le envíen, ni siquiera los contactos de confianza. Los enlaces a menudo pueden ser difíciles de verificar sin hacer clic en ellos y puede ser redirigido a un sitio malicioso.
Y si usted es el buscador de empleo, demuestre su propia conciencia de seguridad cibernética al no hacer circular CV u otros documentos con información personal que pueda ser valiosa para los ladrones de identidad. Sin cumpleaños, direcciones, solo correo electrónico, número de teléfono móvil y LinkedIn.
La misma regla se aplica a los códigos QR: no abra a ciegas la página web señalada en el código QR de una tarjeta de presentación. Puede obtener más de lo que esperaba.
Resista la tentación de hacer algo inseguro cuando esté justo en el plazo
Desafortunadamente, muchos lugares de trabajo todavía ven el comportamiento inseguro cibernético como ampliamente aceptable y la presión para hacer algo inseguro, especialmente cuando se cumple el plazo, puede ser profunda.
Pero si actúa con respeto y amabilidad, puede mejorar la reputación de su oficina como miembro del personal cibernético y ayudar a reducir el riesgo para su organización.
Fuente: The Conversation
Compartir esto: