Los errores ocurren, es inevitable. 

Pero la realidad es que
cuando se trata de su campaña de concienciación sobre ciberseguridad, cualquier error, por pequeño que sea, puede tener un efecto enormemente perjudicial para la seguridad de su organización
.

Los resultados de estos errores aparentemente inocentes se
reproducen continuamente en la prensa con informes diarios de violaciones de datos, ataques cibernéticos
y multas paralizantes impuestas por prácticas negligentes de Ciberseguridad.

Ahora vivimos en una era diferente, una era que exige un mejor enfoque de la Ciberseguridad. Su campaña de concienciación sobre Ciberseguridad no puede limitarse a un intento sin brillo de marcar simplemente una casilla. Tiene que mitigar el riesgo, proporcionar una defensa real contra las ciberamenazas y educar al personal sobre la importancia de su papel en la salvaguarda de los datos sensibles de la empresa.

Puede resultar difícil saber por dónde empezar o qué áreas
presentan el mayor riesgo, pero reconociendo los errores de concienciación sobre seguridad
más comunes, puede empezar a desarrollar una sólida campaña de concienciación sobre seguridad cibernética
 que le defienda de las amenazas cibernéticas en evolución y
cumpla eficazmente con los marcos normativos.

Algunos de los errores más comunes en la concienciación sobre la seguridad son:

1.Un enfoque despreocupado de la ciberseguridad

Muchas organizaciones hablan de boquilla de la ciberseguridad pero no se toman la amenaza lo suficientemente en serio. Pueden creer que son demasiado pequeñas para ser atacadas o que el dinero podría invertirse en otras áreas donde hay un retorno más inmediato de la inversión. Estas suposiciones son peligrosas.

Según el Informe de Verizon sobre investigaciones de violaciones de datos (DBIR) de 2019, el 43% de todos los ciberataques se dirigen ahora contra pequeñas empresas. La realidad es que los ciberdelincuentes van cada vez más a por las organizaciones más pequeñas y medianas, ya que suelen disponer de menos dinero y recursos para invertir en ciberseguridad. Puede que sean las grandes marcas las que acaparen los titulares, pero toda organización es un objetivo y necesita disponer de las medidas de Ciberseguridad adecuadas para defenderse de los ataques.

El error humano sigue siendo la causa principal de todas las violaciones de la ciberseguridad, por lo que es vital que su organización ponga en marcha una campaña eficaz de concienciación sobre la ciberseguridad que eduque al personal sobre cómo identificar y responder adecuadamente a las amenazas en evolución.

2. Sin objetivos claros

Para que su campaña de concienciación sobre la seguridad tenga éxito, debe
tener unos objetivos claramente definidos que describan lo que espera conseguir. Sus objetivos
deben identificar y abordar los problemas a los que se enfrenta actualmente su organización
. Podría tratarse de ataques de phishing, trabajo a distancia, seguridad de las contraseñas
, cuestiones normativas o seguridad física. Los ciberdelincuentes están
continuamente buscando áreas que explotar, así que a menos que su campaña de concienciación sobre la seguridad
identifique adecuadamente todas las áreas de riesgo, su organización será vulnerable
a los ataques.

El siguiente paso es identificar a su público objetivo. Los distintos miembros del personal de su organización se enfrentan a amenazas diferentes, por lo que en lugar de enviar el mismo contenido genérico a todos, sus empleados deben recibir una formación específica que sea relevante para su función. Al realizar una evaluación detallada de los riesgos, su organización estará en una posición mucho mejor para crear una campaña de concienciación sobre la seguridad con objetivos claros que puedan medirse y evaluarse adecuadamente en una fecha posterior.

3. Contenido aburrido

Su campaña de concienciación sobre ciberseguridad está condenada al fracaso si sigue bombardeando a su personal con los mismos contenidos anodinos y repetitivos de siempre. La ciberseguridad ya es un tema bastante árido de por sí como para complicarlo con largas presentaciones en PowerPoint y monótonas diapositivas que no sirven para transmitir la amenaza real que los ciberdelincuentes suponen para su empresa. Y no se equivoque, estas amenazas son reales. Independientemente de su tamaño, sector o ubicación, toda organización es vulnerable y será objetivo activo de los ciberdelincuentes.

La clave para mitigar este riesgo y crear una plantilla más cibersegura es mediante el uso de contenidos atractivos y relevantes. Contar historias es una forma muy eficaz de ayudar a reforzar su mensaje de ciberseguridad. Según una investigación de la Universidad de Stanford, las historias son hasta 22 veces más memorables que los hechos por sí solos. Si consigue que la ciberseguridad resulte familiar, es más probable que sus empleados retengan la información, mejorando así la postura general de seguridad de su organización.

También es importante utilizar una variedad de métodos y formatos diferentes para mantener a su público interesado. Los vídeos de acción en directo, las animaciones, los cuestionarios, las políticas, los blogs y los carteles de concienciación pueden combinarse para crear un programa de seguridad integral que repercuta positivamente en el comportamiento de los empleados.

4. Formación poco frecuente

En años pasados, las organizaciones organizaban un curso anual de ciberseguridad
y esperaban que fuera suficiente para mantener a su personal al día de las últimas amenazas. Sin embargo, los tiempos han cambiado. Las amenazas cibernéticas están
evolucionando todo el tiempo, por lo que a menos que su personal esté recibiendo una formación regular,
no será capaz de reconocer las sofisticadas amenazas que se están utilizando para
dirigirse a ellos.

Por lo general, los ciberdelincuentes intentarán infiltrarse en su organización aprovechando las vulnerabilidades del software, mediante phishing, malware o a través de malas prácticas de seguridad en general. A medida que hemos ido conociendo mejor estos diferentes tipos de métodos de ataque, los ciberdelincuentes han tenido que volverse más retorcidos en sus intentos de estafarnos. En la actualidad, el 30% de los incidentes de seguridad pueden atribuirse a empleados descuidados o desinformados, por lo que, a menos que su personal reciba una formación periódica, podría suponer una amenaza importante para la seguridad de su organización.

5. No recompensar al personal

Puede ser demasiado fácil quedar atrapado en el intento de identificar a los individuos que suponen un riesgo para la seguridad de su organización, en lugar de recompensar a los miembros del personal que están identificando activamente las amenazas, practicando buenos comportamientos de seguridad y motivando a sus compañeros en el proceso. Estos son los miembros del personal clave para el éxito de su programa de concienciación sobre la seguridad y deben ser recompensados en consecuencia.

Las recompensas podrían incluir trofeos, premios o elogios públicos y el reconocimiento de que sus esfuerzos están siendo apreciados. Se ha demostrado científicamente que las recompensas influyen enel comportamiento humano, por lo que si crea un programa de incentivos que recompense el comportamiento positivo en materia de seguridad, tendrá más probabilidades de crear una plantilla cibersegura y comprometida con la protección de su organización.

Gartner ha elaborado un detallado documento de investigación que destaca 10 errores comunes en la concienciación sobre la seguridad y cómo pueden evitarse. Para leer el documento de investigación y descubrir cómo puede cambiar los comportamientos de seguridad dentro de su organización, visite