La formación para la concienciación en materia de seguridad es un reto clave para muchas organizaciones.

A menudo, los sectores de la seguridad de la información dan prioridad a las tecnologías tradicionales, como los cortafuegos y las soluciones antimalware. Sin embargo, estas defensas tecnológicas proporcionan una falsa sensación de seguridad de que se está defendiendo el perímetro.

A pesar de las fuertes inversiones en seguridad perimetral, muchas organizaciones no tienen en cuenta que sus empleados son tan importantes como la tecnología que utilizan para protegerse contra las ciberamenazas. Las acciones de un solo empleado pueden burlar totalmente estos controles, provocando circunstancias devastadoras. El año pasado, el coste medio de una violación de datos fue de 3,92 millones de dólares, y en el 34% de las violaciones de datos participaron actores internos .

Con el fin de remediar los riesgos que se derivan del aspecto humano de la ciberseguridad, la formación sobre concienciación en materia de seguridad pretende influir en un cambio real de comportamiento e implantar una cultura de ciberseguridad en las organizaciones.

A medida que los ciberataques siguen aumentando en tamaño, sofisticación y coste, es vital que la formación de los empleados eduque y capacite a los usuarios finales para cambiar sus comportamientos y proteger a su organización de posibles riesgos.

Más información: 10 errores comunes de concienciación sobre seguridad que debe evitar en 2020

7 consejos para la formación en sensibilización sobre seguridad

Empezar por el liderazgo del director general

La ciberseguridad es responsabilidad de todos, pero las organizaciones resistentes cuentan con un fuerte liderazgo del CEO. Si el CEO se toma en serio la ciberseguridad, esto calará en toda la organización y ayudará a crear una cultura de mayor concienciación sobre la ciberseguridad.

Conozca las tolerancias de su organización

Dedicar tiempo a identificar adecuadamente los riesgos puede ayudar a dar forma a los mensajes, la entrega y la orientación eficaz de su programa de concienciación sobre ciberseguridad.

Defienda sus activos de información

Debe determinar cuáles son sus activos de información más valiosos, dónde se encuentran y quién tiene acceso a ellos. Cada activo debe clasificarse (por ejemplo, público, privado o confidencial) y protegerse en función de su valor. Hacerlo es crucial a la hora de identificar los riesgos y priorizar las áreas que necesitan ser defendidas.

Hágalo atractivo con la narración

Contar historias es una de las formas más poderosas de insuflar vida a su campaña de concienciación sobre ciberseguridad. Reconózcalo, la ciberseguridad puede ser un tema árido, pero es vital que encuentre formas de implicar a su personal si quiere influir positivamente en el comportamiento dentro de su organización. El mensaje es demasiado importante como para perderse en comunicaciones formales y corporativas.

Actualice su gestión de políticas

Las políticas son cruciales a la hora de establecer límites de comportamiento para los individuos, los procesos, las relaciones y las transacciones dentro de su organización. Proporcionan un marco de gobernanza, identifican el riesgo y ayudan a definir el cumplimiento, algo importante en el panorama normativo actual, cada vez más complejo.

Empiece ya a prepararse para una filtración de datos

Ya no es cuestión de «si» su organización va a ser pirateada, sino de «cuándo». Tiene que empezar a prepararse para lo inevitable y poner en marcha un plan que garantice una actuación adecuada y oportuna cuando se vulnere la seguridad.

Automatice su formación sobre concienciación en materia de seguridad

Automatice toda su formación de concienciación sobre seguridad de 12 meses y gestione la entrega adecuada de los elementos clave a la audiencia correcta en el momento adecuado. Contar con un enfoque automatizado de la Formación de Concienciación sobre Seguridad permite registrar la información de auditoría para respaldar la defensa normativa que podría exigirse en caso de infracción o auditoría. Estos elementos deben incluir una combinación de eLearning a medida, políticas críticas, carteles, blogs relevantes, correos electrónicos de phishing simulados, evaluaciones de riesgos y encuestas.