El Mes de Concienciación sobre Ciberseguridad, en Europa y EE.UU., forma parte de un amplio esfuerzo para ayudar a las personas a mantenerse seguras y protegidas en Internet. La iniciativa se puso en marcha en 2004 en EE.UU. y en 2012 en Europa. Este año el evento en EE.UU. se centró en «Verse a sí mismo en el ciberespacio«. En Europa, el esfuerzo promovió la concienciación sobre el phishing y el ransomware.

Evidentemente, apoyamos cualquier esfuerzo de concienciación en materia de ciberseguridad. Las personas son el eslabón más débil en los esfuerzos de seguridad de una organización. Enseñarles pasos sencillos que pueden dar para protegerse en línea es importante. Sigue siendo mucho más fácil para un adversario engañar a alguien para que revele una contraseña o haga clic en un enlace de correo electrónico que penetrar en una red bien protegida. Una buena concienciación en materia de ciberseguridad puede proteger a las organizaciones de pérdidas financieras, sanciones por incumplimiento y daños a su reputación.

Sin embargo, tras años de eventos en torno a un «Mes de Concienciación» anual, explotar la escasa concienciación sobre la ciberseguridad sigue siendo el principal vector de ataque en las violaciones de datos.

El Informe de Verizon sobre la investigación de las filtraciones de datos de 2022 descubrió que el 82% de las filtraciones del año anterior estuvieron relacionadas con la ingeniería social y las tasas de clics de phishing siguen aumentando. Una vez que los atacantes consiguen afianzarse, pueden establecer canales de mando y control, desplazarse lateralmente para identificar los datos objetivo, cifrar los datos para exigir un ransomware o robar información confidencial.

imagen

¿El «mes» de la concienciación sobre ciberseguridad?

Así que sí, apoyamos el Mes de concienciación sobre la ciberseguridad. Aporta la atención necesaria a un problema en cuya solución hemos trabajado durante años. Puede incitar a algunas organizaciones a dar sus primeros pasos para mejorar la concienciación sobre la seguridad en su plantilla o a reforzar sus programas existentes.   Simplemente nos oponemos a tratar la concienciación sobre la ciberseguridad como un acontecimiento anual.

El aprendizaje no es un hecho aislado. Uno no aprende a hablar un nuevo idioma o a tocar un instrumento musical concentrándose en la tarea una vez al año. Lo mismo ocurre a la hora de reconocer y evitar las amenazas a la ciberseguridad. Aprender a hacer cualquiera de estas cosas requiere tiempo y repetición.

Cuando las sesiones de formación son eventos que se celebran una o por-qué-nos-olvidamosdos veces al año para cumplir los requisitos de conformidad, los alumnos no retienen los conocimientos. La famosa curva del olvido de Ebbinghaus muestra que los alumnos olvidan más del 75% de una lección sólo en la primera semana. Al cabo de un mes, los alumnos sólo retienen el 21% de la lección.

imagen 1

Sensibilizar a los empleados

La enseñanza es un proceso, no un acontecimiento. Esto incluye la enseñanza de la concienciación sobre la ciberseguridad. Los estudios demuestran que la pendiente descendente de la curva del olvido puede reducirse con un refuerzo regular de las lecciones. No es necesario que estos refuerzos incluyan toda la información de la lección. El objetivo es mantener al alumno pensando en el material y poniéndolo en práctica.

imagen 2

Crear una cultura de concienciación cibernética

El «mes» de concienciación sobre ciberseguridad puede parecer un truco. Un programa eficaz de concienciación sobre ciberseguridad debe practicarse los 12 meses del año utilizando diversas herramientas y técnicas.

Sin duda, las lecciones de eLearning forman parte de cualquier programa de éxito, pero los equipos deben reforzar las lecciones con regularidad mediante recordatorios, simulaciones de phishing, microlecciones, salvapantallas y carteles. Las lecciones deben estar orientadas a las diferentes amenazas a las que se enfrenta una organización.

La formación de los equipos financieros debe adaptarse a las amenazas específicas del departamento. Las organizaciones de TI deben estar alerta ante el robo de credenciales privilegiadas. Todos requieren una formación continua para los ataques de phishing y ransomware.

Un programa de concienciación sobre ciberseguridad es una parte importante de una evaluación global de riesgos. Los responsables de los programas de concienciación deben ser capaces de realizar un seguimiento de los progresos mediante la elaboración de informes e iniciar acciones correctivas en los casos en los que persista el riesgo en la organización. Si los individuos o los equipos obtienen una mala puntuación en la formación, debe programarse automáticamente una formación correctiva.

Y lo que es más importante, las organizaciones comprometidas con la concienciación sobre la ciberseguridad y la seguridad en línea reconocen la necesidad del apoyo ejecutivo. Los mensajes regulares y directos de la alta dirección sobre la necesidad de la higiene de la ciberseguridad -y por qué es una prioridad para la empresa- ayudan a crear una cultura de seguridad duradera.

Formación sobre sensibilización en materia de seguridad para proveedores externos