No tiene mucho sentido hacer algo en la vida a menos que sepa que merece la pena y que lo que está haciendo va a funcionar. Este pensamiento se aplica a muchos aspectos de una empresa, incluido un programa de concienciación sobre seguridad.

Cuando una empresa pone en marcha un programa de concienciación sobre seguridad, debe tener siempre en mente qué es lo que pretende conseguir. Con un informe de Verizon de 2021 que subraya que el «elemento humano» está detrás del 85% de las violaciones de datos, debería ser primordial centrarse en crear un buen comportamiento en materia de seguridad.

Pero, ¿cómo se puede medir exactamente un elemento aparentemente nebuloso como el comportamiento?

¿Establecer una línea de base para un gran programa de concienciación sobre seguridad?

Para medir algo, se necesita un punto de partida, una línea de base. Un programa de concienciación sobre seguridad está diseñado para cambiar el comportamiento y la actitud de los empleados con el fin de mejorar la seguridad general en una empresa.

Un conjunto de objetivos claramente definidos es este punto de partida esencial en el que puede basarse para comprobar el éxito de su programa de concienciación sobre la seguridad. Estos objetivos formarán la base de la métrica de su programa de concienciación sobre la seguridad utilizando una metodología de «formación y prueba».

Al desarrollar un programa de concienciación sobre la seguridad, es una buena práctica tener en cuenta cómo se puede medir el éxito de cada área del programa. De este modo, podrá incorporar elementos comprobables al programa. Las partes típicas de un programa holístico de concienciación sobre la seguridad deben incluir:

  1. Higiene de la seguridad: abarca diversos elementos, como la elección de contraseñas y los hábitos de navegación por Internet.

  2. Ingeniería social: qué es la ingeniería social y los tipos de estafas que afectan a una organización y a sus empleados

  3. Concienciación sobre el phishing: formación de los empleados sobre cómo detectar las tácticas de phishing

  4. Hábitos de seguridad informática: incluyendo cómo detectar si un ordenador puede estar infectado y el uso de medidas para mejorar la seguridad, como una VPN para trabajar a distancia.

Cada uno de estos aspectos de un programa de concienciación sobre la seguridad puede medirse, y los resultados se utilizan después para proporcionar información que permita optimizar el éxito del programa.

¿La medida del éxito (o no) de un programa de concienciación sobre seguridad?

Medir los resultados de un programa de concienciación sobre la seguridad no es un ejercicio de aprobado/desaprobado. En su lugar, ofrece una visión de la eficacia de las diferentes vertientes de la formación en materia de concienciación sobre la seguridad.

Los resultados pueden utilizarse para retroalimentar las distintas partes del programa de seguridad con el fin de optimizar la formación; si algo no funciona, las métricas y la retroalimentación darán un indicador de ello, algunas métricas pueden incluso identificar puntos débiles en eventos de formación específicos. Esta información puede utilizarse entonces para adaptar mejor la formación de concienciación.

Entre las áreas que pueden utilizarse para captar datos sobre las métricas de la formación en materia de seguridad se incluyen:

Encuestas de sensibilización y comentarios de los empleados

Las encuestas de concienciación son cuestionarios que los empleados rellenan para hacerse una idea de la eficacia de la formación en materia de concienciación. Aunque este método es manual, puede ser una parte útil de una cartera de ejercicios de medición para establecer el éxito de su programa de concienciación en materia de seguridad. Los cuestionarios suelen correr a cargo de RRHH o de un consultor de seguridad, y suelen incluir preguntas o cuestionarios que ponen a prueba la capacidad del empleado para detectar una amenaza.

Simulaciones y métricas de phishing

Las simulaciones de phishing se realizan mediante plataformas automatizadas que envían mensajes de prueba de phishing a los empleados. La plataforma de simulación registrará si el empleado detecta con éxito que el mensaje de prueba es un mensaje de phishing, o no. Las plataformas de simulación de phishing y el asesoramiento sobre su uso, junto con las métricas que proporcionan, están disponibles a través de terceros especializados como MetaCompliance.

Ingeniería social y métricas

La forma en que los empleados responden a las estafas es un aspecto importante de la concienciación sobre la seguridad. Las estafas como el Business Email Compromise (BEC) suelen ser sofisticadas y utilizan la ingeniería social como base de la estafa.

La reacción de un empleado ante un evento simulado de ingeniería social puede medirse tanto cuantitativa como cualitativamente, dependiendo de cómo se lleven a cabo las simulaciones. Las empresas externas pueden asesorar en la creación de pruebas de ingeniería social simuladas que sean susceptibles de medición.

Captura y notificación de incidentes

La prueba está en el pudín, y ese pudín adopta la forma de notificación de incidentes de seguridad por parte de los empleados. Un sistema de notificación de incidentes de seguridad que permita a los empleados introducir fácilmente los incidentes de seguridad puede ofrecer una forma de medir la eficacia de un programa de concienciación sobre la seguridad.

La notificación de incidentes tiene un doble beneficio, ya que actúa como un sistema de triaje y respuesta para los problemas de seguridad a medida que surgen, y registra y audita la concienciación del personal. Se debe formar a los empleados para que utilicen el sistema de notificación de incidentes para registrar sucesos de seguridad, como:

  • Recepción de un mensaje de phishing

  • Exposición accidental de una contraseña

  • Sospecha de infección por malware

  • Exposición accidental de información a través de un envío erróneo de correo electrónico

  • Dispositivos perdidos o robados

  • Intentos de ingeniería social, por ejemplo, una estafa telefónica

Medir, escuchar, optimizar

Los programas de concienciación en materia de seguridad tienen fama de ser difíciles de medir. La medición del comportamiento y la comprensión suele ser más cualitativa que cuantitativa. Sin embargo, utilizando una combinación de factores que capten indicadores de cambio de comportamiento y concienciación, una empresa puede asegurarse de que su programa es eficaz.

En última instancia, una organización necesita un programa eficaz de concienciación en materia de seguridad para conseguir reducir los ciberataques y mejorar la ciberseguridad general de la empresa. A medida que los empleados vayan comprendiendo cómo funcionan las amenazas a la ciberseguridad, la optimización de la eficacia de un programa de concienciación en materia de seguridad dará lugar a una cultura de seguridad que se verá recompensada con una mejor seguridad.