En 2022, el mundo empresarial siguió lidiando con embestidas de ransomware, estafas y violaciones de datos. Sin embargo, no sólo fueron atacadas empresas de alto perfil; la sanidad, la educación, la administración pública y las pequeñas empresas fueron víctimas de ciberataques.

En un informe de 2022, la Oficina de Estadísticas Nacionales (ONS) mostró un aumento del 25% (hasta los 4,5 millones) en los delitos de fraude para el año que finaliza en marzo de 2022 en comparación con el año que finaliza en marzo de 2020. Y en 2022, el phishing seguía siendo la amenaza más común contra las empresas británicas, ya que el 83% de los ataques se basaban en esta práctica.

Sin embargo, un nuevo año trae nuevas esperanzas e ideas.

La formación para la concienciación sobre la seguridad sigue siendo una prioridad para las empresas que quieren hacer frente al fraude, las estafas y otras ciberamenazas. Pero, ¿cómo puede su organización mejorar su Formación en Concienciación sobre Seguridad en 2023?

He aquí cinco ideas para que su organización esté preparada para la seguridad en 2023.

Sea positivo, sea seguro

Los ciberdelincuentes, especialmente los que utilizan la ingeniería social y el phishingtr, se basan en un comportamiento de seguridad deficiente para que sus estafas funcionen. Una buena formación en ciberseguridad consiste en cambiar los comportamientos negativos en materia de seguridad por una postura más positiva. Sin embargo, cambiar los patrones de comportamiento requiere trabajo.

El comportamiento, como el impulso de hacer clic, es un patrón aprendido y cambiar acciones profundamente arraigadas requiere un esfuerzo concertado que incluya estrategias como las campañas de phishing simulado. Mejore el contenido de su formación sobre concienciación en materia de seguridad mediante campañas basadas en estrategias probadas, como el aprendizaje interactivo que cambia los malos hábitos de comportamiento por acciones positivas. El aprendizaje interactivo y los contenidos atractivos impulsarán el compromiso de los empleados y ayudarán a su organización a desarrollar una cultura de seguridad positiva.

Manténgalo relevante e interesante

El organismo de la industria de la seguridad, ISACA, investigó cómo mejorar la formación sobre concienciación en materia de seguridad. En la investigación participaron más de 5000 organizaciones de todo el mundo. El estudio encontró pruebas claras de que una formación eficaz en materia de concienciación sobre la seguridad requería el tipo correcto de impartición de contenidos interesantes y pertinentes.

Entre las conclusiones de ISACA se incluía que la información debía entregarse en pequeños trozos después de la primera sesión y con frecuencias regulares para reforzar el aprendizaje. El tipo de información también importa. Los estudios de casos reales ayudaron a afianzar los conocimientos y a reforzar la importancia de los buenos comportamientos en materia de seguridad.

Los investigadores descubrieron que el contenido debe ser «pertinente, estar relacionado con la teoría y la práctica, y contar una historia». Utilice material de formación sobre concienciación en materia de seguridad, como vídeos explicativos breves y ejercicios de simulación de phishing, para implicar a los empleados y hacer que el contenido sea relacionable y pertinente.

Recompense el éxito y no juegue al juego de las culpas

A nadie le gusta jugar al juego de la culpa, y la formación sobre concienciación en materia de seguridad debe evitar el uso de la culpa cuando forme a los empleados. El problema de atribuir culpas es que puede hacer que la gente pierda confianza, lo que conduce a percances aún peores.

Desarrollar una postura de ciberseguridad sólida lleva tiempo y se basa en muchos aspectos de los sistemas informáticos, las personas y los procesos de la organización. No culpe a los empleados de los errores de seguridad, la tecnología cambia y los ciberdelincuentes cambian de técnicas; en su lugar, utilice un comportamiento deficiente en materia de seguridad como excusa para cambiar de conducta y aprender de los errores.

Los programas avanzados de formación para la concienciación sobre la seguridad ofrecerán sesiones de formación interactivas durante un ejercicio para mostrar a los empleados dónde se equivocaron y cómo asegurarse de que no repitan el mismo comportamiento.

Asimismo, recompense el éxito en lugar de utilizar la culpa para avergonzar. Si los empleados lo hacen bien en las sesiones de formación, ofrézcales pequeñas recompensas e incentive el buen comportamiento.

Generar datos procesables

Las métricas ofrecen una visión vital de la eficacia de un módulo de formación sobre concienciación en materia de seguridad; algunos sistemas avanzados proporcionan vistas muy granulares, a lo largo del tiempo y de forma individual, sobre la eficacia de la formación de un módulo determinado.

Los módulos de simulación de phishing, por ejemplo, generan datos por empleado, mostrando las curvas de aprendizaje de los empleados a medida que desarrollan las habilidades para identificar las amenazas transmitidas por correo electrónico. Utilice los datos de las métricas de concienciación sobre seguridad para ajustar sus módulos de formación e identificar los comportamientos difíciles de cambiar para prestarles mayor atención: diríjase a funciones y grupos específicos utilizando las métricas como ayuda para diseñar campañas de phishing simuladas a medida. Con el tiempo, la información proporcionada por las métricas de formación granular le permitirá desarrollar sesiones de formación más eficaces.

Integre la formación en seguridad en su organización

Las normas de seguridad deben establecerse a nivel organizativo, integrando a los individuos en una cultura de seguridad en la que la seguridad sea lo primero. El éxito de la formación para la concienciación en materia de seguridad radica en la maduración de métodos y enfoques, no sólo en los esfuerzos por cumplir la normativa.

Sin embargo, los requisitos reglamentarios para la Formación en Concienciación sobre Seguridad deben utilizarse como línea de base para establecer métricas sobre la eficacia de su formación. Al encajar los objetivos de la organización con la formación en materia de seguridad, este enfoque traslada la carga de la seguridad de un esfuerzo individual a uno colectivo: construya un programa de formación en materia de concienciación sobre la seguridad que se adapte a las necesidades de seguridad de su organización e incorpore a todos, desde el nivel directivo hacia abajo, en las sesiones de formación. Asegúrese de que cada departamento dispone de programas de formación a medida que reflejen las amenazas del mundo real. Por ejemplo, estafas como el Business Email Compromise (BEC) tienen como objetivo departamentos como la oficina del director general y las cuentas por pagar.

Lo más probable es que 2023 sea tan difícil para las empresas que se enfrentan a amenazas de seguridad como los años anteriores. Ninguna organización, sea cual sea su tamaño o sector, puede dormirse en los laureles y esperar no ser un objetivo.

Sin embargo, nuestra gente es nuestra fuerza. Aplicando estas cinco estrategias de mejora a su programa de formación sobre concienciación en materia de seguridad para 2023, puede ayudar a desarrollar una postura de ciberseguridad sólida y capacitar a sus empleados contra los ciberdelincuentes y los estafadores.