La ciberseguridad en el gobierno requiere entrenar periódicamente. Toda dependencia debe asegurarse de que sus empleados estén conscientes con respecto a los desafíos de la ciberseguridad en el gobierno y su rol en ella. Para lograrlo, es fundamental considerar estos puntos:
Campeones internos
La alta dirección de cualquier institución necesita estar convencida de la importancia de entrenar a todos los empleados en temas de ciberseguridad. El gobierno no es ajeno a ello. Esta convicción permeará en toda la organización y hará que la seguridad cibernética sea tomada en serio.
Supervisar el proceso
Los jefes de área deben de ser los responsables de asegurar que sus equipos participen en el entrenamiento. Debe subrayar a sus equipos, ya sea por vía electrónica o presencialmente, la necesidad de completar el curso.
Ciberseguridad en el gobierno: entrenamiento personalizado
Cada institución tiene desafíos e información diferente. Si bien los entrenamientos pueden incluir secciones genéricas, es importante que al elaborar los materiales se tome en cuenta la realidad específica de la organización.
Crear entrenamientos en línea, con segmentos cortos
Lo ideal es desarrollar entrenamientos que puedan completarse en línea en cualquier momento, que incluyan animaciones y videos y estén conformados por segmentos cortos para hacerlos más ligeros y digeribles. Cada sección puede estar acompañada de un pequeño test para verificar que verdaderamente se haya comprendido el contenido. Aunque el desarrollo de estos cursos puede parecer más caro al inicio, hacerlos presenciales puede resultar más caro e ineficiente.
En el caso de las instituciones de gobierno, los responsables de la ciberseguridad pueden checar con sus pares en otros organismos si ellos cuentan con entrenamientos en línea que puedan ser fácilmente adaptados.
Ciberseguridad en el gobierno: contraseñas fuertes
A nadie le gusta cambiar sus contraseñas. Tenemos tantas que es difícil mantenerse al tanto de cuál utilizamos y en dónde. Sin embargo, la práctica de cambiar las contraseñas de manera periódica es una pieza fundamental de una sólida cultura de ciberseguridad. En general, se recomienda que los usuarios no involucrados en TICs modifiquen su contraseña cada 60 días. Lo ideal es crear un sistema que obligue al empleado a realizar ese cambio, inclusive impidiéndole el acceso a su computadora en caso de no realizar el cambio.
Por otra parte, también se debe implementar un sistema que obligue a la creación de contraseñas fuertes que incluyan el uso de minúsculas, mayúsculas, símbolos y números.
Enfocarse en los ataques más frecuentes
La mayoría de los ataques a la ciberseguridad en el gobierno comienzan con un correo electrónico. Es bastante probable que los empleados no toquen jamás pieza alguna de hardware y no sepan los detalles del software instalado en su computadora. Sin embargo, todos ellos tienen acceso a un correo electrónico. Es vital que estén conscientes de la manera cómo los hackers pueden convertirlos en un blanco a través de ese medio.
Ciberseguridad en el gobierno: correo electrónico, clave
En la medida de lo posible, es preferible que los empleados utilicen el correo institucional en lugar de uno personal. Asimismo, el entrenamiento debe incluir tips para que los empleados puedan detectar correos falsos. Por ejemplo, ver la dirección completa de correo electrónico del remitente.
Prohibir posibles descargas peligrosas
Es mejor prevenir que lamentar. No importa que tan bien entrenados estén los miembros de una organización, los errores siempre pueden suceder, ya sea por descuido o por prisa. Por ello, lo mejor es que ciertas descargas simplemente estén prohibidas en el sistema. Cosas tan simples como descargas de pantallas de computadoras pueden contener virus o ransomware.
Ciberseguridad en el gobierno: entrenar, entrenar, entrenar
Para lograr la ciberseguridad en el gobierno hay que entrenar más de una vez. Todos los empleados de una institución deben recibir entrenamiento de ciberseguridad por lo menos dos veces al año.
Saber a quién dirigirse
Todos los empleados deben tener los datos de contacto de los responsables de tecnologías de información y comunicación o, de existir, del responsable de ciberseguridad de la organización. En caso de recibir algún correo o mensaje de texto sospechoso, los empleados deben saber que es su obligación comunicarse con el departamento de TICs para dar aviso.
