Becarios: una amenaza encubierta para la ciberseguridad

Cómo un becario o persona en prácticas puede ser una amenaza para la ciberseguridad de tu empresa y qué puedes hacer al respecto.

Cuando llega el verano, muchas empresas contratan a estudiantes para realizar prácticas durante un periodo determinado. Esto significa que personas jóvenes e inexpertas que probablemente no saben mucho sobre ciberseguridad están, de repente, involucradas en los procesos empresariales.

Las empresas no suelen dedicar mucho tiempo a pensar en los riesgos relacionados con esto, y no toman medidas de precaución. Se repiten a sí mismas que los becarios no estarán allí mucho tiempo y que es poco probable que accedan a información confidencial. Esto es cierto, pero no significa que se deba ignorar el hecho de que los becarios, sin la experiencia y sin los conocimientos adecuados, pueden comprometer gravemente la seguridad de tu empresa con tan solo hacer clic en un enlace de phishing, crear contraseñas poco seguras para sus cuentas de trabajo o siendo presas de la ingeniería social. Para evitar que ocurra cualquiera de esas cosas, aquí hay algunas recomendaciones a las que deberías prestar atención.

Sesión de orientación

Antes de darles acceso a la infraestructura y al equipo de la empresa, es una buena idea familiarizarlos con lo esencial. Lo primero y más importante es explicarles las normas o políticas de seguridad establecidas en la empresa, la autenticación de dos factores y las contraseñas.

Cuando involucras a gente en prácticas en tus operaciones, tienen que establecer contraseñas. Y, aunque la seguridad de las contraseñas es un tema muy recurrente hoy en día, es posible que una persona con menos experiencia no caiga en que no debe utilizar la misma contraseña para varios servicios, y puede que ni siquiera sepa exactamente lo que significa una “contraseña segura”.

Principio del mínimo privilegio

Cuando das acceso a becarios a los recursos de tu empresa, debes seguir el principio del mínimo privilegio. Esto significa que obtienen solo el nivel de acceso mínimo que necesitan para hacer su trabajo. Esta es una buena política para seguir de forma general, pero es especialmente importante cuando se trabaja con becarios.

Acuerdos de confidencialidad

Muchas empresas no hacen que sus becarios firmen acuerdos de no divulgación, de nuevo porque consideran que tienen un papel menor y temporal. Sin embargo, es recomendable hacerlo. Aunque los becarios no se acerquen a ningún secreto de la empresa, la firma de un acuerdo de confidencialidad es una buena forma de transmitir a estos empleados que no deben hablar de los procesos empresariales en sus conversaciones personales.

Seguridad de la información en las redes sociales personales

Los becarios son, en su mayoría, jóvenes, y los jóvenes de hoy en día tienden a hacer crónicas de su vida en las redes sociales. Es fácil imaginar que estarán deseosos de publicar sobre algo tan importante para ellos como es su primer trabajo.

Por un lado, la empresa puede beneficiarse de ello si los becarios hablan en redes sociales de forma positiva sobre lo interesante que es su trabajo. Pero, por otro lado, podrían revelar sin darse cuenta información importante en sus publicaciones, por ejemplo, si se hacen selfies en los que aparezcan documentos internos en un segundo plano.

Por eso, recomendamos que les expliques claramente la política de tu empresa sobre el uso de las redes sociales. Eso sí, intenta no enviarles un correo electrónico larguísimo al respecto, ya que entonces las posibilidades de que las lean de la A a la Z son bastante bajas. Es mucho más aconsejable dar una pequeña formación informativa de forma verbal.

Acceso a los recursos laborales una vez finalizadas las prácticas

Todas lo bueno, acaba. Y, aunque algunos estudiantes se queden en tu empresa cuando acaben su periodo de prácticas, otros, inevitablemente, se irán. Presta especial atención a estos últimos. Asegúrate de inhabilitar todos los accesos a los recursos internos de la empresa después de que se vayan. El mero hecho de tener una cuenta adicional con acceso es una vulnerabilidad potencial.

Incluir a los becarios en las formaciones sobre ciberseguridad

Como regla general, se recomienda formar a todos los empleados en los fundamentos de la ciberseguridad. Sin embargo, rara vez se incluye a los becarios en estas sesiones de formación. Esto es un error. La formación de los becarios ayudará a mitigar los riesgos para tu propia ciberseguridad y, al mismo tiempo, será una lección importante que se llevarán consigo cuando dejen la empresa.

Ni siquiera es necesario invertir muchos recursos en esta formación. Hay bastantes materiales en línea que tratan los aspectos básicos de la ciberseguridad y que puedes compartir con tus becarios. Por ejemplo, para ayudar a las empresas a que sus empleados sean más resistentes a los ciberataques, hemos lanzado recientemente un curso online gratuito, que forma parte de nuestra Plataforma de Concienciación de Seguridad Automatizada de Kaspersky (ASAP), sobre cómo utilizar las redes sociales y evitar ser presa de la ingeniería social.

Consejos