Para ofrecer un programa eficaz de formación sobre concienciación en materia de seguridad, la formación debe estar localizada para captar la atención de todos los empleados.
El inglés ha sido tradicionalmente el idioma de la tecnología, simplemente por la influencia temprana de Silicon Valley en Estados Unidos. Sin embargo, hemos recorrido un largo camino desde aquellos primeros días, y ahora la tecnología es global.
Está comprobado que es esencial que la formación en materia de concienciación sobre la seguridad sea divertida. Sin embargo, para que la formación de concienciación sobre la seguridad sea eficaz hay que hacer algo más que divertirse y jugar.
Las personas necesitan un contexto y una conexión a nivel local. Los seres humanos nacen y viven en culturas. Estas culturas influyen significativamente en nuestra forma de ver el mundo e interactuar con él: las culturas y los lugares nos conforman como individuos. La cultura informa e influye y comprende los rasgos, la historia y el lenguaje de toda una sociedad.
Integrar un enfoque localizado en su programa de formación sobre concienciación en materia de seguridad es una gran idea; he aquí tres razones para ello.
Tres razones para utilizar la formación de concienciación sobre seguridad localizada
La formación para la concienciación sobre la seguridad es más eficaz cuando involucra a su personal. Pero el compromiso no es un tipo de escenario único. El compromiso necesita una mezcla de escenarios contextuales, personalizados y divertidos.
Si usted es una organización que cuenta con una fuerza de trabajo global, debe estudiar la mejor manera de involucrar a esa fuerza de trabajo. Por ejemplo, un programa de formación para la concienciación en materia de seguridad que no tenga en cuenta a los empleados que no hablan inglés o que proceden de otras culturas puede ser poco adecuado; el resultado son lagunas en la concienciación en materia de ciberseguridad que ponen a su empresa en peligro.
He aquí tres ventajas de localizar su formación en materia de sensibilización sobre la seguridad:
Localizar el contenido para involucrar mejor a los empleados
Su organización puede ser una gran empresa multinacional o formar parte de una cadena de suministro más amplia y global; si es así, es probable que tenga empleados o contratistas de países de todo el mundo. Es posible que muchos de ellos no hablen inglés o lo utilicen como segunda lengua. Por lo tanto, cualquier formación, incluida la de concienciación sobre la seguridad, se imparte mejor en la lengua materna del alumno.
Durante las primeras etapas del diseño del programa de formación en ciberseguridad, cree un inventario de la localidad de su audiencia:
- ¿En qué países se encuentran sus empleados?
- ¿Qué idiomas se hablan?
- ¿Existen normas culturales específicas que puedan afectar al lenguaje y a la forma en que los empleados interactúan con la tecnología?
Las respuestas ayudarán a crear un programa de formación más eficaz. Por ejemplo, la plataforma MetaCompliance Security Awareness Training está disponible en más de 40 idiomas, y hay más previstos. Al contar con este apoyo de localización, es más fácil ofrecer contenidos de formación en seguridad localizados. Además, es más probable que sus empleados se sientan atraídos por la diversión y los juegos incorporados en las plataformas avanzadas de formación sobre concienciación en materia de seguridad.
Los contenidos localizados ayudarán a prevenir los ciberataques selectivos
El phishing, y otras formas de ataques de ingeniería social, funcionan mejor cuando tienen un elemento de aprendizaje dirigido. Por ejemplo, los correos electrónicos de phishing que se dirigen a una función específica de los empleados, como RRHH o cuentas por pagar, se escribirán para captar la atención de esa persona utilizando un lenguaje y un contenido particulares.
Los ataques de Business Email Compromise (BEC) son famosos por utilizar roles y dirigirse a las personas utilizando el tipo de lenguaje común que esperarían en un correo electrónico. Del mismo modo, un estafador que se dirija a personas de un país redactará el correo electrónico de phishing en el idioma de ese país.
Los correos electrónicos de phishing no sólo se crean para los angloparlantes. Se ha producido un aumento de los correos electrónicos de phishing que utilizan otros idiomas además del inglés. Un estudio de Google y la Universidad de Stanford lo demuestra. El estudio analizó 1.200 millones de ataques de phishing y malware por correo electrónico contra usuarios de Gmail. Los estafadores que se dirigen a usuarios de países de habla no inglesa suelen utilizar el idioma nativo de ese país. Uno de los ejemplos más claros del estudio es que el 78% de los correos electrónicos de phishing dirigidos a usuarios japoneses estaban redactados en japonés.
Si sus usuarios finales se enfrentan a correos electrónicos de phishing localizados, sus simulaciones de phishing y su formación deben reflejar esto. Una formación localizada en el idioma del empleado tendrá más probabilidades de educarles en los trucos de los phishers con éxito.
Los correos electrónicos en lengua materna pueden eludir las medidas tecnológicas
Los filtros de correo electrónico y de contenido web están configurados para detectar enlaces o archivos adjuntos maliciosos o detener la navegación hacia sitios web falsos. Suelen hacerlo mediante la creación de listas de bloqueo o la búsqueda de palabras conocidas utilizadas en los correos electrónicos de phishing.
Estas medidas suelen basarse en el idioma inglés. Los correos electrónicos de phishing en idioma nativo tienen más probabilidades de eludir esta medida tecnológica porque el sistema de filtrado no está configurado para hacer frente a los ataques de phishing en otros idiomas.
Al añadir soporte en el idioma nativo a un programa de formación de concienciación sobre la seguridad, puede asegurarse de que los correos electrónicos en el idioma nativo que evaden la detección por parte de la tecnología no evaden la detección por parte de un ser humano.
La formación de concienciación sobre la seguridad en el idioma nativo ofrece una seguridad centrada en las personas
La formación en ciberseguridad localizada forma parte de un enfoque más amplio de la seguridad de la información centrado en las personas. Al desplegar programas de formación centrados en las personas y localizados en el idioma de sus usuarios finales, su organización será más eficaz a la hora de involucrar a sus empleados en la formación.
Su organización cosechará los frutos de esto con una plantilla más informada que entiende cómo los ciberdelincuentes manipulan su comportamiento. En última instancia, esto reducirá el riesgo de su empresa y evitará los ciberataques.
El lenguaje es importante y cualquier táctica que mejore el compromiso de los empleados con los materiales de formación en materia de concienciación sobre la seguridad es fundamental para crear una cultura de la seguridad y luchar contra la avalancha de ciberataques en la industria y en el mundo.