La formación sobre concienciación en materia de seguridad es un reto clave para muchas organizaciones.
A menudo, los sectores de la seguridad de la información dan prioridad a tecnologías tradicionales como cortafuegos y soluciones antimalware. Sin embargo, estas defensas tecnológicas proporcionan una falsa sensación de seguridad de que se está defendiendo el perímetro.
A pesar de las fuertes inversiones en seguridad perimetral, muchas organizaciones no tienen en cuenta que sus empleados son tan importantes como la tecnología que utilizan para protegerse contra las ciberamenazas. Las acciones de un solo empleado pueden burlar totalmente estos controles, provocando circunstancias devastadoras. El año pasado, el coste medio de una violación de datos fue de 3,92 millones de dólares, y en el 34% de las violaciones de datos estuvieron implicados agentes internos .
Con el fin de remediar los riesgos derivados del aspecto humano de la ciberseguridad, la formación en concienciación sobre seguridad pretende influir en un cambio real de comportamiento e implantar una cultura de ciberseguridad en las organizaciones.
Dado que los ciberataques siguen aumentando en tamaño, sofisticación y coste, es vital que la formación de los empleados eduque y capacite a los usuarios finales para que cambien sus comportamientos y protejan a su organización de posibles riesgos.
Leer más: 10 errores comunes de concienciación sobre seguridad que hay que evitar en 2020
7 consejos para la formación en sensibilización sobre seguridad
Empezar con el liderazgo del director general
La ciberseguridad es responsabilidad de todos, pero las organizaciones resistentes cuentan con un fuerte liderazgo del CEO. Si el CEO se toma en serio la ciberseguridad, esto se extenderá a toda la organización y ayudará a crear una cultura de mayor concienciación sobre la ciberseguridad.
Conozca las tolerancias de su organización
Dedicar tiempo a identificar adecuadamente los riesgos puede ayudar a configurar el mensaje, la entrega y la orientación eficaz de su programa de concienciación sobre ciberseguridad.
Defienda sus activos de información
Debe determinar cuáles son sus activos de información más valiosos, dónde se encuentran y quién tiene acceso a ellos. Cada activo debe clasificarse (por ejemplo, público, privado o confidencial) y protegerse en función de su valor. Hacerlo es crucial a la hora de identificar los riesgos y priorizar las áreas que hay que defender.
Hazlo atractivo con la narración de historias
Contar historias es una de las formas más poderosas de dar vida a su campaña de concienciación sobre ciberseguridad. Aceptémoslo, la ciberseguridad puede ser un tema árido, pero es vital que encuentre formas de implicar a su personal si quiere influir positivamente en el comportamiento de su organización. El mensaje es demasiado importante para perderse en comunicaciones corporativas formales.
Actualice su gestión de políticas
Las políticas son cruciales para establecer los límites del comportamiento de las personas, los procesos, las relaciones y las transacciones dentro de su organización. Proporcionan un marco de gobernanza, identifican el riesgo y ayudan a definir el cumplimiento, lo cual es importante en el panorama normativo actual, cada vez más complejo.
Comience ya a prepararse para una filtración de datos
Ya no es cuestión de "si" su organización va a ser pirateada, sino de "cuándo". Hay que empezar a prepararse para lo inevitable y poner en marcha un plan que garantice la adopción de medidas adecuadas y oportunas cuando se produzca una violación de la seguridad.
Automatice la formación sobre concienciación en materia de seguridad
Automatice toda su formación de concienciación sobre seguridad de 12 meses y gestione la entrega adecuada de elementos clave a la audiencia correcta en el momento adecuado. Contar con un enfoque automatizado de la formación sobre concienciación en materia de seguridad permite registrar la información de auditoría para respaldar la defensa normativa que podría exigirse en caso de infracción o auditoría. Estos elementos deben incluir una combinación de eLearning a medida, políticas críticas, carteles, blogs relevantes, correos electrónicos de phishing simulados, evaluaciones de riesgos y encuestas.
Más información: 10 formas de mejorar la concienciación del personal en materia de ciberseguridad
