Gartner, Inc. predice que para finales de 2021 es probable que el gasto en seguridad y gestión de riesgos alcance los 150.400 millones de dólares. El trabajo del CISO (Chief Information Security Officer) nunca ha sido tan vital y asegurarse de que el presupuesto se gasta bien es un aspecto importante de la gestión de la ciberseguridad y el control de riesgos. La formación para la concienciación sobre la seguridad es un área que ayuda a mitigar los ataques dirigidos a manipular a los empleados. Esto está respaldado por un informe de McKinsey que esboza siete áreas de acción, la segunda de las cuales es reclutar personal de primera línea y llevar a cabo una formación de concienciación sobre seguridad. Este enfoque en el elemento humano de la mitigación de las ciberamenazas significa que un CISO suele destinar un presupuesto a la Formación en Concienciación sobre Seguridad.

Sin embargo, asegurarse de que un programa de formación es eficaz requiere una estrategia sólida. He aquí seis pasos para el éxito de la concienciación en materia de seguridad que garantizan que su presupuesto esté bien invertido.

Seis pasos para maximizar el éxito de la concienciación sobre seguridad

El elemento humano de un ciberataque está ahora bien establecido, con investigaciones que muestran que alrededor del 85% de todos los ataques implican a un ser humano engañado (o no) para que «pulse el botón de ataque». La formación para la concienciación en materia de seguridad es uno de los métodos aceptados para prevenir con éxito los ciberataques centrados en el ser humano. En consecuencia, es probable que el gasto previsto en programas de concienciación sobre seguridad alcance los 10.000 millones de dólares en 2027. Los seis pasos siguientes pueden ayudarle a formular un plan de éxito para asegurarse de que su presupuesto está bien empleado.

Paso 1: Conseguir la participación de la alta dirección y la junta directiva

Ni que decir tiene que si quiere efectuar un cambio tiene que conseguir la participación de las personas adecuadas para hacerlo. La seguridad es un problema de todos, incluso a nivel de la junta directiva. Un tono positivo desde arriba ayuda a cambiar la actitud hacia la seguridad que luego se filtra por toda la organización. Con el apoyo del nivel C y de la junta directiva, un CISO tiene el poder de establecer las herramientas y los procesos necesarios para hacer que la empresa sea más segura. El apoyo del nivel C proporciona la espina dorsal necesaria para construir una cultura de la seguridad utilizando un paquete de formación para la concienciación sobre la seguridad.

Consejo MetaCompliance: Muchos reglamentos y normas de protección de datos exigen ahora un programa de concienciación sobre la seguridad. Utilice estos requisitos para aprovechar la necesidad de establecer un programa de concienciación sobre la seguridad.

Paso 2: Empezar por el principio

Conozca sus necesidades de seguridad evaluando el panorama de las amenazas, especialmente en lo que respecta a su sector. Esta comprensión es la base de un programa eficaz de concienciación sobre la seguridad. Conociendo los tipos de amenazas con los que es probable que se encuentre su sector o su empresa, podrá adaptar con mayor eficacia un programa de formación sobre concienciación en materia de seguridad.   Por ejemplo, ¿qué aplicaciones en la nube utiliza su organización? ¿De qué tipo de amenazas corren más riesgo? ¿Ofrece trabajo flexible y tiene trabajadores a distancia? ¿Existe algún problema a la hora de compartir contraseñas entre su personal?

Además, las necesidades de cumplimiento normativo pueden ser específicas de su sector: por ejemplo, es posible que su personal trabaje con grandes volúmenes de datos muy sensibles que deban ajustarse a los requisitos de la DPA2018. Cuando elabore un programa de concienciación a medida, recuerde incluir detalles específicos sobre la normativa de protección de datos.

Consejo MetaCompliance: Sus políticas y procedimientos deben corresponderse con la formación de concienciación. De este modo, la formación de concienciación sobre seguridad puede utilizarse para ayudar a hacer cumplir los procesos de seguridad.

Paso 3: Hágalo real (y entretenido)

La formación para la concienciación sobre la seguridad debe ser práctica y centrada en el ser humano. Para que la formación sea un éxito, un programa debe sintonizar con su audiencia. Hay muchas maneras de conseguirlo y no todos los programas de concienciación sobre seguridad son iguales. Los mejores ofrecerán contenidos interactivos y atractivos que los empleados encuentren interesantes. Si puede mantener el interés de un individuo, es más probable que fomente un aprendizaje activo que se fije.

Para desarrollar un programa que funcione bien para mitigar las ciberamenazas centradas en el ser humano, los temas tratados deben reflejar los tipos de amenazas que su organización experimenta o experimentará. Los temas típicos a cubrir incluyen:

  • Higiene de contraseñas
  • Estafas por correo electrónico
  • Malware y soportes extraíbles
  • Estar seguro en Internet
  • Redes sociales: privacidad y seguridad
  • Cumplimiento y normativas y cómo afectan a los empleados

Los ejercicios de simulación de phishing son una forma excelente de ofrecer una manera creativa y atractiva de enseñar a los empleados los peligros de los correos electrónicos de phishing. Más sobre ellos en el paso 4…

Consejo de MetaCompliance: En general, sea cual sea el contenido de su programa de concienciación sobre la seguridad, debe ofrecer contenidos que sean interactivos y atractivos.

Paso 4: Cómo detectar un phishing

El phishing es lo que está pasando en el mundo de los piratas informáticos. El phishing se ha convertido con los años en el método de ataque por excelencia y la sofisticación es el nombre del juego. Las campañas de phishing son un gran negocio y modelos como el «phishing como servicio» proporcionan a los hackers de todo el mundo las herramientas para robar credenciales y datos, e infectar las redes con malware, incluido el ransomware. Por ello, enseñar al personal a detectar los correos electrónicos de phishing es una herramienta vital para el éxito de la concienciación en materia de seguridad.

Las soluciones de simulación de phishing son una herramienta importante en el kit de formación de concienciación del CISO. Las simulaciones de phishing permiten a una organización automatizar la formación sobre phishing para entrenar a los usuarios a detectar los signos reveladores de las campañas de phishing.

Consejo de MetaCompliance: Utilice los ejercicios de simulación de phishing como parte de un programa más amplio de concienciación sobre la seguridad y diséñelos de forma que reflejen los tipos de amenazas de phishing que se dirigen a su sector.

Paso 5: Medir, medir, medir

Es importante comprender el impacto y la eficacia de un programa de concienciación sobre la seguridad. Los cursos de formación sobre concienciación en materia de seguridad suelen ofrecer métricas que muestran su eficacia. Algunos ejemplos de métricas de formación que pueden ofrecer una visión de la eficacia del programa son:

Encuestas (cualitativas): Cuestionarios utilizados para explorar la comprensión de los participantes sobre el programa y su impartición.

Resultados de la simulación de phishing (cuantitativos): Por ejemplo, cuántos usuarios hicieron clic en los enlaces de phishing frente a cuántos alertaron a la empresa al recibir un correo electrónico de phishing.

Métricas de notificación (cuantitativas y cualitativas): ¿Cuántos usuarios informan de los problemas de seguridad identificados en la formación?

Las métricas pueden visualizarse para ofrecer una visión general de los resultados a los participantes y a la dirección.

Consejo MetaCompliance: Además de utilizar las métricas para adaptar los programas de formación, utilice también las métricas para hacer un mapeo de las políticas de seguridad y ajustarlas para captar las áreas problemáticas identificadas durante la formación.

Paso 6: Adaptar y actualizar

Utilice las métricas de las tareas y eventos de concienciación sobre seguridad para adaptar su entrega de futuras iteraciones de la campaña de concienciación. Las métricas recopiladas en el paso 5 ayudarán a impartir una formación más eficaz. Sin embargo, los responsables del programa deben celebrar reuniones periódicas para asegurarse de que los programas de formación reflejan las realidades de los retos de la ciberseguridad corporativa, ya que las amenazas a la ciberseguridad no son acontecimientos estáticos. A medida que cambia el panorama de la seguridad, que se incorporan nuevos empleados y que se despliega nueva tecnología en su organización, la formación sobre concienciación en materia de seguridad debe adaptarse para reflejar estos cambios.

Consejo de MetaCompliance: Mezcle y combine diferentes formas de formar al personal. Utilice diversas opciones, como juegos, simulaciones de phishing, carteles, boletines informativos, adaptándolas con el tiempo a las necesidades del departamento y de concienciación en materia de seguridad. Implique a los departamentos de toda la organización en el diseño y desarrollo de los programas.

Cortafuegos humano