Con el Reino Unido a la cabeza en las listas de densidad de ciberdelincuencia, con 4.783 víctimas por millón de habitantes, las empresas deben asegurarse de que están haciendo todo lo posible para proteger a la organización.

Una de las formas más poderosas de demostrar que la formación para la concienciación en materia de seguridad funciona es cuando los resultados del programa muestran un progreso positivo. Si los resultados de su formación sobre concienciación en materia de seguridad pueden mejorar, debe entender por qué.

Optimizar su formación sobre concienciación en materia de seguridad es fundamental, ya que las ciberamenazas siguen volviéndose complejas y desafiantes. He aquí cinco razones por las que su formación en seguridad puede estar fallando:

#1 Falta de contenido motivador

El aburrimiento es el enemigo del aprendizaje; la planificación es crucial para crear campañas de formación sobre concienciación en materia de seguridad motivadoras e inspiradoras. El uso de «actividades interrelacionadas» y de contenidos atractivos es una de las mejores prácticas en la formación de adultos y debe utilizarse para mejorar las experiencias de aprendizaje.

Un programa de concienciación sobre la seguridad debe diseñarse de forma que refleje experiencias del mundo real para implicar a los empleados. Si la formación es poco inspiradora y poco relacionable, puede desanimar a los alumnos y considerarse aburrida. Un público aburrido no retendrá la información y el mal comportamiento en materia de seguridad seguirá siendo un problema.

Planifique el diseño de una campaña de formación en seguridad que implique a su público a un nivel emocional y aborde comportamientos de riesgo específicos, por ejemplo:

Formación basada en roles: utilice campañas de phishing simuladas basadas en roles que pongan a prueba las respuestas de los empleados a las amenazas que probablemente experimente un departamento concreto.

Contenido interactivo: utilice materiales de formación que ofrezcan experiencias interactivas e incluyan el aprendizaje en el punto de necesidad; de este modo se aconseja a los alumnos durante una sesión y se les indica en qué se han equivocado, qué podría ocurrir y cómo evitar la acción en el futuro.

#2 Una mentalidad de caja de garrapatas

Las normativas pueden proporcionar una casilla que marcar en relación con el cumplimiento, pero marcar esta casilla no produce resultados de formación eficaces. Si imparte una campaña de formación sobre concienciación en materia de seguridad con la mentalidad de marcar la casilla del cumplimiento, es poco probable que obtenga buenos resultados. La formación sobre concienciación en materia de seguridad tiene que ver, en última instancia, con la experiencia humana y las interacciones sociales.

En lugar de realizar una formación de concienciación sobre seguridad únicamente por motivos de cumplimiento, cree un programa de eventos interactivo y atractivo bien pensado. Construya sesiones de formación que reflejen la base de sus empleados, que se basen en las funciones, que se apoyen en los conocimientos y que presenten oportunidades de aprendizaje que se queden grabadas.

Para ayudar a establecer un programa de formación exhaustivo y regular, automatice su campaña de Formación de concienciación sobre seguridad para garantizar que el aprendizaje se produzca a lo largo de todo el calendario. La formación automatizada de concienciación sobre la seguridad proporciona un marco para un contenido atractivo y continuo que impulsa un comportamiento positivo en materia de seguridad.

#3 La formación no se centra en el comportamiento

La formación sobre concienciación en materia de seguridad debe abordar los comportamientos arraigados que aprovechan los ciberdelincuentes para manipular a sus empleados. Por desgracia, las tecnologías que utilizamos a diario en nuestro lugar de trabajo forman parte de esta manipulación, y los correos electrónicos de phishing siguen siendo la herramienta favorita de los ciberdelincuentes, según el Índice de Inteligencia de Amenazas 2022 de IBM.

Pero cambiar el comportamiento es difícil; no espere que la formación sobre concienciación en materia de seguridad surta efecto de la noche a la mañana. La formación sobre el modo en que los estafadores manipulan a la gente requiere un esfuerzo concertado, utilizando contenidos de campaña diseñados para centrarse en cambiar los comportamientos deficientes en materia de seguridad. Utilice contenidos de formación en seguridad basados en el comportamiento, como vídeos interactivos, para obtener mejores resultados de sus programas de formación. Estos programas basados en el comportamiento reconocen los comportamientos de riesgo y los utilizan para desarrollar las necesidades de formación del individuo, basándose en los conocimientos adquiridos a lo largo del tiempo.

El diseño de la campaña debe basarse en los riesgos conocidos y previstos a nivel granular, de funciones y de departamentos. Los comportamientos que propagan estos riesgos, como hacer clic en un enlace de phishing, pueden abordarse mediante programas de formación especializados, como el phishing simulado.

#4 No sabe si sus empleados entienden la formación

Uno de los aspectos más importantes del aprendizaje es juzgar el desarrollo y la comprensión individuales. Si su organización experimenta una falta de progreso en el comportamiento de seguridad de algunos o todos los empleados, entonces debe averiguar por qué esos empleados no aprenden del contenido. Con el tipo correcto de datos de medición, podrá ajustar el programa de concienciación sobre la seguridad para que sea más eficaz.

Cuando lleve a cabo campañas de concienciación sobre la seguridad, utilice los análisis y los informes integrados para generar métricas para su revisión. Muchos sistemas avanzados de concienciación sobre la seguridad, incluidas las plataformas de phishing simulado, proporcionarán mecanismos para recopilar métricas por individuo o departamento. Utilice estas métricas para evaluar la eficacia de los distintos aspectos de su formación. Por ejemplo, puede descubrir que determinados temas, o la forma en que se presentan, son menos eficaces para cambiar el comportamiento.

Diseñe sus campañas de concienciación sobre seguridad para recopilar métricas basadas en los riesgos y comportamientos que desea abordar. En cuanto a los principales riesgos, la tasa de clics en enlaces de phishing es un buen punto de partida, ya que las métricas se recopilan durante las simulaciones de phishing. A medida que recopile datos sobre la susceptibilidad a hacer clic en un enlace de phishing, ajuste las campañas para asegurarse de que se utilizan los puntos de aprendizaje para abordar los puntos problemáticos. Siga midiendo la tasa de clics, ajustándola sobre la marcha, hasta que observe una reducción de los clics en enlaces de phishing. Esta estrategia de ajuste iterativo debería repetirse para otros comportamientos deficientes, como la reutilización de contraseñas.

Las métricas de la formación sobre concienciación en materia de seguridad también ayudan a evaluar el programa en su conjunto y proporcionan una forma de mostrar a los dirigentes la importancia de la formación en materia de seguridad. El análisis estratégico de las métricas debería alinearse con áreas como el número de incidentes, el coste de una brecha y las violaciones de políticas y normativas. Las plataformas avanzadas de concienciación sobre seguridad generarán informes completos y visuales para mostrar a su equipo directivo.

#5 Falta un espíritu comunitario

En los círculos de formación sobre concienciación en materia de seguridad se habla mucho de desarrollar una cultura de la seguridad. Esto es por una buena razón. Una cultura en la que la seguridad se toma en serio da como resultado una mejor postura de seguridad.

La falta de espíritu comunitario en materia de seguridad tiene resultados nefastos: un informe reciente muestra que el 61% de los empleados no informaría de un incidente de seguridad. Esto puede significar que abordar las infracciones y prevenir los problemas de seguridad continuados sea más complicado.

Al fomentar un esfuerzo conjunto para garantizar la seguridad de una organización, es más probable que sus empleados sientan la responsabilidad general de mantener seguro el lugar de trabajo. Una cultura de seguridad surge cuando los programas de concienciación en materia de seguridad tienen éxito. Un programa eficaz de educación en materia de seguridad dota a los empleados de conocimientos y cambia los comportamientos deficientes en materia de seguridad por acciones positivas que detienen la ciberdelincuencia.

Con la colaboración de todos, se desarrolla una cultura de actitudes de seguridad positivas y se forma la cultura de la seguridad. Cuando se abordan, las cuatro razones anteriores ayudan a construir los cimientos de esta cultura consciente de la seguridad. El resultado será la reducción de los ciberataques y el cumplimiento de la normativa.

Mientras prepara y pone en marcha su formación sobre concienciación en materia de seguridad en 2023, compruebe que sigue las mejores prácticas para obtener los mejores resultados.