He aquí algunas formas de captar la medida por medida de su programa de formación en materia de concienciación sobre la seguridad.
Cuando se hace una medición sobre algo nos da datos. Tanto si esos datos son sobre la longitud de un trozo de cuerda como si el comportamiento de un empleado, ante un correo electrónico de phishing, ha cambiado, estos datos nos dan una visión importante de una tarea o proyecto.
El éxito, o no, de un programa de formación en materia de concienciación sobre la seguridad (SAT) puede medirse de más de un modo y, al hacerlo, proporciona información importante sobre la eficacia de la formación. Pero la forma de optimizar estas mediciones requiere un equipo interfuncional con visión de futuro.
¿Por qué molestarse en medir la eficacia de un programa de formación sobre seguridad?
Un documento reciente de Gartner inc., "Take 3 Steps to Prove That Your Security Awareness Program Is Really Working" ("Dé tres pasos para demostrar que su programa de concienciación en materia de seguridad está funcionando realmente"), establece el por qué y el cómo a la hora de medir un programa SAT. El documento, escrito para gestores de seguridad y riesgos, identifica tres razones clave por las que es importante medir la formación en materia de concienciación sobre seguridad:
- Si no puede demostrar que el riesgo cibernético se ha reducido a través del programa, no conseguirá que el nivel C se comprometa a continuar con la formación de concienciación sobre la seguridad.
- La formación en materia de concienciación sobre la seguridad suele introducirse en una organización sin tener una visión clara de lo que se pretende conseguir. El resultado es un programa que no consigue los cambios de comportamiento necesarios para reducir el ciberriesgo.
- La medición del éxito de una formación de concienciación sobre la seguridad no puede basarse en variables únicas. Estos programas contienen muchos elementos y estos deben ser capturados para mostrar el verdadero impacto de un programa de SAT.
Uno de los puntos principales del documento es que una visión clara debe establecer la base de un programa de concienciación sobre la seguridad. Sin esta visión clara de lo que se quiere conseguir, las mediciones no tendrán sentido. Dicho de otro modo, las mediciones son más eficaces si tienen un punto de partida como comparación. Sin embargo, esta visión debe estar directamente vinculada a los resultados empresariales. Una forma de establecer este punto de partida es utilizar un enfoque interfuncional, es decir, reunir a los equipos más allá de los límites de la organización para que aporten lo que es importante para mitigar el ciberriesgo.
Esto alinea la visión de la ciberseguridad con los objetivos empresariales; este enfoque es un ejercicio continuo y una buena práctica, ya que los ciberataques causan continuos estragos en todos los sectores de la industria. Las decisiones empresariales y operativas están ahora intrínsecamente entrelazadas con la seguridad. La pandemia de Covid-19 y los mandatos de trabajo desde casa demostraron este punto, con el aumento del riesgo de seguridad del trabajo en casa; los trabajadores en casa proporcionan más oportunidades para que los ciberdelincuentes ataquen la red de una empresa a través de sus empleados.
Pero una visión necesita medidas demostrables para demostrar que está cumpliendo su cometido. Para demostrar a la dirección o al consejo de administración el progreso de un programa se necesitan datos concretos. Aquí es donde entra en juego la medición.
Tres formas de medir el éxito del programa de formación en materia de concienciación sobre la seguridad
El documento de Gartner menciona tres aspectos clave que demuestran que su programa de concienciación sobre la seguridad está funcionando. Estas tres áreas se pueden desglosar en:
Generar
Genere una declaración de visión basada en la cultura de la seguridad: ¿qué es lo que su organización necesita del programa de concienciación sobre la seguridad? ¿Qué comportamientos en materia de seguridad quiere ver surgir de la educación de los empleados en materia de seguridad?
Captura
Capturar las métricas del comportamiento de seguridad: crear métricas de concienciación de seguridad que demuestren un cambio de comportamiento de seguridad significativo y positivo. Estas métricas pueden adoptar la forma de métricas tradicionales de concienciación en materia de seguridad a partir de encuestas y simulaciones de phishing, como ejemplos.
Demostrar
Demostrar la reducción de la exposición al riesgo: mostrar al equipo de Cx cambios rastreables en el comportamiento de seguridad relacionados con resultados materiales en términos de reducción de la exposición al ciberriesgo.
Captura de métricas y cambios de comportamiento
La visión de la seguridad es el eje sobre el que gira la captación de métricas y pruebas de comportamiento. Esta visión constituye la prueba necesaria para demostrar al equipo de Cx que la formación de concienciación sobre la seguridad funciona. Hay muchas maneras de medir las métricas de seguridad, y MetaCompliance ha hablado de las mediciones de la formación en materia de concienciación sobre la seguridad en una entrada anterior del blog.
La medición proporciona datos cuantificables que sirven de base para una evaluación del retorno de la inversión (ROI). Pero una simple ecuación de retorno de la inversión no capta el impacto positivo y continuo de un programa de concienciación sobre seguridad bien desarrollado. La visión central de la seguridad de una organización debe ser mapeada para validar los resultados finales que ven el riesgo cibernético general de una organización reducido. Esta visión de una organización segura debe traducirse en una mentalidad que dé prioridad a la seguridad y en un cambio de comportamiento asociado.
Para ayudarte en tu ejercicio de medición, el documento de Gartner habla de "Signature behaviours", que describe como "Signature behaviors are those that clearly reflect positive intent and support by end-users for realising the security awareness vision".
Gartner relaciona algunos ejemplos de prácticas de seguridad deseadas con los comportamientos de seguridad característicos:
Practicar: Todos los usuarios finales utilizan contraseñas seguras
Comportamiento: Siempre utilizamos frases de paso para construir nuestras contraseñas utilizadas para acceder a nuestras cuentas de trabajo
Practica: Comprueba los enlaces antes de hacer clic en ellos
Comportamiento: Estamos atentos a los correos electrónicos sospechosos y los comunicamos al servicio de asistencia informática
Como parte de su visión de la seguridad, trabaje con su equipo multifuncional para desarrollar un conjunto de comportamientos característicos que puedan utilizarse para demostrar el éxito del programa de formación en materia de concienciación sobre la seguridad.
La prueba del pastel a través de una mejor seguridad
En última instancia, una empresa quiere ver que su inversión en un programa de concienciación sobre la seguridad se refleja en la disminución de las posibilidades de que sus datos sean vulnerados. Al evaluar los comportamientos de las firmas frente a los tipos de amenazas, una organización puede enriquecer una simple ecuación de retorno de la inversión con un valor añadido.
La prueba de la formación en materia de seguridad está en los hechos. Con el tiempo, un programa de formación en materia de seguridad bien planificado y eficaz mostrará una reducción de los ciberataques. Pero una visión fuerte es donde todo esto comienza.