Lograr un buen entrenamiento en ciberseguridad requiere que las universidades establezcan un programa de cumplimiento periódico. En su elaboración conviene tomar en cuenta los siguientes puntos:

Promover el entrenamiento en ciberseguridad

Los directivos de la universidad necesitan estar convencidos de la importancia del entrenamiento impartido a todos los miembros de la comunidad en temas de ciberseguridad. Sólo así se tomará en serio el problema.

Supervisar el proceso

Los jefes de cada departamento asegurarse de que sus equipos participen en el entrenamiento. Debe subrayarles, ya sea por vía electrónica o presencialmente, la necesidad de completar el curso.

Personalizar el entrenamiento en ciberseguridad

Cada universidad tiene desafíos e información diferente. Si bien el entrenamiento puede incluir secciones genéricas, es importante que al elaborar los materiales se tome en cuenta la realidad específica de la institución en materia de ciberseguridad.

Segmentos cortos, en línea

Lo ideal es que el entrenamiento en ciberseguridad pueda completarse en línea, en cualquier momento. Incluir animaciones y videos en segmentos cortos lo hace más ligero y digerible. Cada sección puede estar acompañada de un pequeño test para verificar que verdaderamente se haya comprendido el contenido. Aunque el desarrollo de estos cursos puede parecer más caro al inicio, hacerlos presenciales puede resultar aún más caro e ineficiente.

Enfocarse en los ataques más frecuentes

La mayoría de los ataques cibernéticos comienzan con un correo electrónico. Es bastante probable que los empleados no toquen jamás pieza alguna de hardware y no sepan los detalles del software instalado en su computadora. Sin embargo, todos ellos tienen acceso a un correo electrónico. Es vital que estén conscientes de la manera cómo los hackers pueden convertirlos en un blanco a través de ese medio.

Crear y actualizar contraseñas, parte el entrenamiento en ciberseguridad

La práctica de cambiar las contraseñas de manera periódica es una pieza fundamental de una sólida cultura de ciberseguridad. En general, se recomienda que los usuarios no involucrados en TICs modifiquen su contraseña cada 60 días. Lo ideal es crear un sistema que obligue a empleados, profesores y alumnos a ese cambio, inclusive impidiéndole el acceso a sus cuentas en caso de no realizarlo.

Por otra parte, también se debe implementar un sistema que obligue a la creación de contraseñas fuertes que incluyan el uso de minúsculas, mayúsculas, símbolos y números.

Uso correcto del correo electrónico

En la medida de lo posible, es preferible que los empleados utilicen el correo institucional en lugar de uno personal. Asimismo, el entrenamiento debe incluir tips para que los empleados puedan detectar correos falsos. Por ejemplo, ver la dirección completa de correo electrónico del remitente.

Entrenar, entrenar, entrenar

No basta con entrenar una vez. Todos los empleados de una universidad deben recibir entrenamiento de ciberseguridad por lo menos dos veces al año.

Prohibir descargas peligrosas

Los errores siempre pueden suceder, ya sea por descuido o por prisa. Por ello, lo mejor es que ciertas descargas simplemente estén prohibidas en el sistema. Cosas tan simples como descargas de pantallas de computadoras pueden contener virus o ransomware.

Saber a quién dirigirse

Todos los miembros de la universidad deben saber a quién dirigirse para atender las amenazas a la ciberseguridad. En caso de recibir algún correo o mensaje de texto sospechoso, todos los miembros de la comunidad deben saber que es su obligación comunicarse con el departamento de TIC para dar aviso.