Con el Reino Unido a la cabeza de las listas de densidad de ciberdelincuencia, con 4.783 víctimas por millón de habitantes, las empresas deben asegurarse de que están haciendo todo lo posible para proteger a la organización.
Una de las formas más poderosas de demostrar que la formación para la concienciación en materia de seguridad funciona es cuando los resultados del programa muestran un progreso positivo. Si los resultados de su formación de concienciación sobre seguridad pueden mejorar, debe entender por qué.
Optimizar su formación sobre concienciación en materia de seguridad es fundamental, ya que las ciberamenazas siguen volviéndose complejas y desafiantes. He aquí cinco razones por las que su formación en seguridad puede estar fallando:
#1 Falta de contenido motivador
El aburrimiento es el enemigo del aprendizaje; la planificación es crucial para crear campañas de formación sobre concienciación en materia de seguridad motivadoras e inspiradoras. El uso de "actividades interrelacionadas" y contenidos atractivos es una buena práctica en la formación de adultos y debe utilizarse para mejorar las experiencias de aprendizaje.
Un programa de concienciación en materia de seguridad debe estar diseñado para reflejar experiencias del mundo real con el fin de implicar a los empleados. Si la formación es poco inspiradora y poco amena, puede desanimar a los alumnos y parecerles aburrida. Un público aburrido no retendrá la información, y el mal comportamiento en materia de seguridad seguirá siendo un problema.
Planifique el diseño de una campaña de formación en seguridad que implique a su público a nivel emocional y aborde comportamientos de riesgo específicos, por ejemplo:
Formación basada en roles: utilice campañas de phishing simuladas basadas en roles que pongan a prueba las respuestas de los empleados a las amenazas que probablemente experimente un departamento concreto.
Contenido interactivo: utilice materiales de formación que ofrezcan experiencias interactivas e incluyan el aprendizaje en el punto de necesidad; de este modo, se aconseja a los alumnos durante una sesión y se les indica en qué se han equivocado, qué podría ocurrir y cómo evitar la acción en el futuro.
#2 Una mentalidad de caja de garrapatas
La normativa puede proporcionar una casilla que marcar en relación con el cumplimiento, pero marcar esta casilla no produce resultados de formación eficaces. Si se imparte una campaña de formación sobre concienciación en materia de seguridad con la mentalidad de marcar la casilla del cumplimiento, es poco probable que se obtengan buenos resultados. En última instancia, la formación sobre concienciación en materia de seguridad tiene que ver con la experiencia humana y las interacciones sociales.
En lugar de realizar la formación de concienciación sobre seguridad únicamente por motivos de cumplimiento, cree un programa de eventos interactivo y atractivo bien pensado. Organice sesiones de formación que reflejen las funciones de sus empleados, se basen en los conocimientos y ofrezcan oportunidades de aprendizaje que perduren.
Para ayudar a establecer un programa de formación exhaustivo y regular, automatice su campaña de formación de concienciación sobre seguridad para garantizar que el aprendizaje se produzca a lo largo de todo el calendario. La formación automatizada de concienciación sobre seguridad proporciona un marco para contenidos atractivos y continuos que impulsan un comportamiento positivo en materia de seguridad.
#3 La formación no se centra en el comportamiento
La formación sobre concienciación en materia de seguridad debe abordar comportamientos profundamente arraigados explotados por los ciberdelincuentes para manipular a sus empleados. Por desgracia, las tecnologías que utilizamos a diario en nuestro lugar de trabajo forman parte de esta manipulación, y los correos electrónicos de phishing siguen siendo la herramienta favorita de los ciberdelincuentes, según el Índice de Inteligencia de Amenazas 2022 de IBM.
Pero cambiar el comportamiento es difícil; no espere que la formación para la concienciación sobre la seguridad surta efecto de la noche a la mañana. Educar sobre cómo los estafadores manipulan a la gente requiere un esfuerzo concertado, utilizando contenidos de campaña diseñados para centrarse en cambiar los malos comportamientos en materia de seguridad. Utilice contenidos de formación en seguridad basados en el comportamiento, como vídeos interactivos, para obtener mejores resultados de sus programas de formación. Estos programas basados en el comportamiento reconocen los comportamientos de riesgo y los utilizan para desarrollar las necesidades de formación del individuo, basándose en los conocimientos adquiridos a lo largo del tiempo.
El diseño de la campaña debe basarse en los riesgos conocidos y previstos a nivel granular, de funciones y de departamentos. Los comportamientos que propagan estos riesgos, como hacer clic en un enlace de phishing, pueden abordarse mediante programas de formación especializados, como el phishing simulado.
#4 No sabe si sus empleados comprenden la formación
Uno de los aspectos más importantes del aprendizaje es juzgar el desarrollo y la comprensión individuales. Si su organización experimenta una falta de progreso en el comportamiento de seguridad de algunos o todos los empleados, entonces debe averiguar por qué esos empleados no aprenden del contenido. Con el tipo correcto de datos de medición, podrá ajustar el programa de concienciación sobre seguridad para que sea más eficaz.
Cuando realice campañas de concienciación sobre seguridad, utilice los análisis y los informes integrados para generar métricas para su revisión. Muchos sistemas avanzados de concienciación sobre seguridad, incluidas las plataformas de phishing simulado, proporcionan mecanismos para recopilar métricas por individuo o departamento. Utilice estos parámetros para evaluar la eficacia de los distintos aspectos de la formación. Por ejemplo, puede que descubra que determinados temas, o la forma en que se presentan, son menos eficaces para cambiar el comportamiento.
Diseñe sus campañas de concienciación sobre seguridad para recopilar métricas basadas en los riesgos y comportamientos que desea abordar. En cuanto a los principales riesgos, la tasa de clics en enlaces de phishing es un buen punto de partida, ya que las métricas se recopilan durante las simulaciones de phishing. A medida que recopile datos sobre la susceptibilidad a hacer clic en un enlace de phishing, ajuste las campañas para asegurarse de que el punto de aprendizaje se utiliza para abordar los puntos problemáticos. Siga midiendo la tasa de clics, ajustándola sobre la marcha, hasta que observe una reducción de los clics en enlaces de phishing. Esta estrategia de ajuste iterativo debería repetirse para otros comportamientos deficientes, como la reutilización de contraseñas.
Las métricas de la formación de concienciación sobre seguridad también ayudan a evaluar el programa en su conjunto y proporcionan una forma de mostrar a los líderes la importancia de la formación en seguridad. El análisis de métricas estratégicas debe alinearse con áreas como el número de incidentes, el coste de una infracción y las infracciones de políticas y normativas. Las plataformas avanzadas de concienciación sobre seguridad generarán informes completos y visuales para mostrar a su equipo directivo.
#5 Falta espíritu comunitario
En los círculos de formación sobre concienciación en materia de seguridad se habla mucho de desarrollar una cultura de la seguridad. Y no es para menos. Una cultura en la que la seguridad se toma en serio se traduce en una mejor postura de seguridad.
La falta de espíritu comunitario en materia de seguridad tiene resultados nefastos: un informe reciente muestra que el 61% de los empleados no denunciaría un incidente de seguridad. Esto puede significar que abordar las brechas y prevenir problemas de seguridad continuos sea más complicado.
Al fomentar un esfuerzo conjunto para garantizar la seguridad de una organización, es más probable que sus empleados sientan la responsabilidad general de mantener seguro el lugar de trabajo. La cultura de la seguridad surge cuando los programas de concienciación en materia de seguridad tienen éxito. Un programa eficaz de educación en materia de seguridad dota a los empleados de conocimientos y cambia los comportamientos deficientes en materia de seguridad por acciones positivas que frenan la ciberdelincuencia.
Con la colaboración de todos, se desarrolla una cultura de actitudes de seguridad positivas y se forma la cultura de la seguridad. Cuando se abordan, las cuatro razones anteriores ayudan a sentar las bases de esta cultura de seguridad. El resultado será una reducción de los ciberataques y del cumplimiento de la normativa.
Mientras prepara y pone en marcha su formación sobre concienciación en materia de seguridad en 2023, compruebe que sigue las mejores prácticas para obtener los mejores resultados.