La formación sobre concienciación en materia de seguridad, admitámoslo, puede ser árida y poco atractiva si no se hace bien. Una mala sesión de formación puede resultar desagradable, con empleados aburridos e incapaces de apreciar los problemas causados por los ataques a la ciberseguridad. Sin embargo, la concienciación de los empleados en materia de seguridad es imprescindible en una época en la que los atacantes utilizan el comportamiento humano para ejecutar sus ataques. Cuando una empresa desarrolla un programa de concienciación en materia de seguridad, está abordando un área crítica de los negocios modernos: la lucha contra las amenazas a la ciberseguridad. Pero lograr que ese programa sea un éxito depende de que se logre implicar a los empleados en la gravedad de las amenazas a la ciberseguridad de una empresa.  

Ideas para garantizar que la formación sobre concienciación en materia de seguridad se toma en serio

Los ciberdelincuentes se proponen aprovechar al máximo el comportamiento humano. En consecuencia, los programas de concienciación sobre la seguridad también deben utilizar el comportamiento humano como base para implicar al personal, de modo que se tomen más en serio su formación. He aquí algunos consejos para asegurarse de que su formación sobre concienciación en materia de seguridad sea un éxito:

Capacite a los empleados en materia de ciberseguridad con una notificación de incidentes sencilla

Los investigadores Dupuis y Renaud han demostrado que el «Miedo, Incertidumbre y Duda» (FUD) puede resultar desalentador e ineficaz para cambiar el comportamiento de los empleados en materia de seguridad. El FUD puede ser incluso contraproducente como táctica en la formación para la concienciación sobre la seguridad, provocando ansiedad en los empleados. El miedo no debe ser el motor de una organización, a ningún nivel. En lugar de asustar a los empleados, recompense los comportamientos positivos en materia de seguridad y fomente la notificación fácil y fluida de los incidentes de seguridad. Un sistema de notificación de incidentes de seguridad, que permita notificar de forma rápida y sencilla los problemas de seguridad, puede empoderar a los empleados y liberar el factor miedo. Los sistemas «haga clic e informe» cambian el comportamiento haciendo que las cosas sean sencillas y positivas. Un sistema de notificación que se integre en un proceso de la empresa de informar-triunfar-escalar-responder, se convierte en un facilitador de la cultura de seguridad ampliada de una organización, haciendo que el empleado sea el centro de esa cultura.

Hacer que la ciberseguridad sea integral, personal y cultural

Los individuos son el objetivo de los ciberdelincuentes. Aunque el estafador puede estar buscando robar grandes cantidades de datos personales o piratear un sistema informático corporativo, empiezan a nivel individual. El phishing, el spear-phishing y la ingeniería social son tácticas que sitúan al empleado en el centro de un ciberataque. Sin la aportación de un individuo como objetivo, muchos ciberataques fracasarían. De la misma manera que los ciberdelincuentes se dirigen a los individuos, la formación en materia de concienciación sobre la seguridad debe ser específica y personalizada.

La formación para la concienciación sobre la seguridad tiene más éxito si está personalizada: las personas responden más positivamente a algo con lo que pueden identificarse. Los modelos de comportamiento, como la ecología del comportamiento, ofrecen perspectivas sobre el comportamiento humano que pueden aplicarse para que la formación sobre concienciación en materia de seguridad sea un éxito. Asegúrese de que su formación se basa en el perfil de trabajo típico de un empleado, sus tareas y su nivel de riesgo. Un programa personalizado ayudará a desarrollar una cultura de la seguridad más integrada que sirva de puente entre las distintas funciones de una organización. La teoría del aprendizaje basado en juegos ha identificado los juegos «experienciales», por ejemplo, los juegos de rol y los que tienen que ver con la experiencia, como los que tienen más éxito para el aprendizaje. Si un empleado es más receptivo al aprendizaje, verá la gravedad de las amenazas a la ciberseguridad sin necesidad de utilizar lecciones negativas basadas en el miedo.

Haga de la formación en sensibilización sobre seguridad un deporte de equipo

La investigación en áreas como la teoría cognitiva social ha encontrado vínculos entre el aprendizaje humano y el comportamiento que se ven afectados por los entornos sociales, incluidas las reacciones y la aprobación de los demás. Los juegos de concienciación sobre seguridad pueden ser la base de una experiencia de aprendizaje positiva. Pruebe a crear equipos de empleados que actúen juntos para desbaratar métodos de ciberataque. El ambiente de equipo puede ayudar a fomentar el aprendizaje y demostrar al personal la gravedad de las amenazas de ciberseguridad contra la organización.  

Haga que la formación sobre concienciación en materia de seguridad forme parte de una cultura empresarial continua

Las investigaciones del analista Forrester, sugieren que el éxito de la formación para la concienciación sobre la seguridad debe centrarse en el usuario y en cambiar los comportamientos. Vaya más allá de la creación de una cultura de la seguridad para imbuir la seguridad en la cultura general de su empresa utilizando la automatización de campañas de concienciación sobre seguridad. Las soluciones automatizadas de campañas de concienciación pueden emplearse para crear y gestionar campañas eficaces y continuas de formación en ciberseguridad. Al utilizar la automatización para impartir la formación sobre concienciación en materia de seguridad, la convierte en parte de un sistema integrado que se imparte en toda su organización. La automatización facilita la impartición y la puesta a punto de la concienciación en materia de seguridad e incrusta la cultura de la seguridad en la cultura de la empresa, convirtiéndola en una parte importante del cometido de un empleado, y no en una mera ocurrencia tardía. Al hacer de la seguridad una parte integral de las expectativas de su organización sobre el comportamiento de los empleados, el buen comportamiento en materia de seguridad se confirma entonces como una parte importante y reconocida de su organización.

Cambiar hábitos de seguridad arraigados es un asunto serio

La clave de una empresa cibersegura es el compromiso de su personal para ayudar a mitigar las ciberamenazas. Concienciar al personal en materia de seguridad significa cambiar hábitos a menudo arraigados. Para ello es necesario que el personal se comprometa y comprenda la importancia de la formación en materia de seguridad para el éxito de la organización. Las métricas y la retroalimentación pueden ser una ventaja a la hora de reproducir el éxito y la seriedad de los programas de formación en seguridad. Las métricas son útiles tanto para que los empleados vean los progresos como para que su organización ajuste los programas para mejorar su tasa de éxito. Si su organización despliega una solución automatizada de campañas de concienciación, este sistema también podrá mantener una auditoría del uso que hace su organización de la formación en concienciación sobre seguridad, proporcionando un recurso importante para demostrar el cumplimiento de la normativa.

Las amenazas a la seguridad son graves, las estadísticas lo demuestran. Pero el miedo no motiva a los empleados ni les hace darse cuenta de las implicaciones de sus acciones. Un programa de formación sobre concienciación en materia de seguridad bien pensado, gestionado y continuado, que implique a los empleados en una ética de empresa, hará que los empleados se tomen en serio la seguridad.  

10 formas de mejorar la concienciación del personal en materia de ciberseguridad