En 2022, el mundo empresarial siguió enfrentándose a ataques de ransomware, estafas y filtraciones de datos. Sin embargo, los ataques no solo afectaron a empresas de renombre: la sanidad, la educación, la administración pública y las pequeñas empresas fueron víctimas de ciberataques.
En un informe de 2022, la Oficina de Estadísticas Nacionales (ONS) mostró un aumento del 25% (hasta 4,5 millones) en los delitos de fraude para el año que finaliza en marzo de 2022 en comparación con el año que finaliza en marzo de 2020. Y en 2022, el phishing seguía siendo la amenaza más común contra las empresas británicas, con un 83% de los ataques basados en phishing.
Sin embargo, un nuevo año trae nuevas esperanzas e ideas.
La formación en concienciación sobre seguridad sigue siendo una prioridad para las empresas que quieren hacer frente al fraude, las estafas y otras ciberamenazas. Pero, ¿cómo puede su organización mejorar su formación en materia de concienciación sobre seguridad en 2023?
He aquí cinco ideas para que su organización esté preparada para la seguridad en 2023.
Sé positivo, sé seguro
Los ciberdelincuentes, especialmente los que utilizan la ingeniería social y el phishingtr, se basan en un comportamiento de seguridad deficiente para que sus estafas funcionen. Una buena formación en ciberseguridad consiste en cambiar los comportamientos negativos en materia de seguridad por una postura más positiva. Sin embargo, cambiar los patrones de comportamiento requiere trabajo.
El comportamiento, como el impulso de hacer clic, es un patrón aprendido y cambiar acciones profundamente arraigadas requiere un esfuerzo concertado que implique estrategias como las campañas de phishing simulado. Mejore el contenido de su formación sobre concienciación en materia de seguridad mediante campañas basadas en estrategias probadas, como el aprendizaje interactivo, que cambian los malos hábitos de comportamiento por acciones positivas. El aprendizaje interactivo y los contenidos atractivos impulsarán el compromiso de los empleados y ayudarán a su organización a desarrollar una cultura de seguridad positiva.
Mantenga la relevancia y el interés
ISACA, el organismo del sector de la seguridad, ha investigado cómo mejorar la formación sobre concienciación en materia de seguridad. En la investigación participaron más de 5.000 organizaciones de todo el mundo. El estudio halló pruebas claras de que una formación eficaz en materia de concienciación sobre la seguridad requiere el tipo correcto de impartición de contenidos interesantes y pertinentes.
Entre las conclusiones de ISACA se incluye que la información debe entregarse en pequeños fragmentos después de la primera sesión y con una frecuencia regular para reforzar el aprendizaje. El tipo de información también es importante. Los estudios de casos reales ayudaron a consolidar los conocimientos y a reforzar la importancia de los buenos comportamientos en materia de seguridad.
Los investigadores descubrieron que el contenido debe ser "pertinente, estar relacionado con la teoría y la práctica, y contar una historia". Utilice material de formación sobre concienciación en materia de seguridad, como vídeos explicativos breves y ejercicios de simulación de phishing, para implicar a los empleados y hacer que el contenido sea relacionable y pertinente.
Recompensar el éxito y no culpar a nadie
A nadie le gusta jugar al juego de la culpa, y la formación sobre concienciación en materia de seguridad debe evitar el uso de la culpa al formar a los empleados. El problema de atribuir culpas es que puede hacer que la gente pierda confianza, lo que conduce a percances aún peores.
Desarrollar una postura de ciberseguridad sólida lleva tiempo y se basa en muchos aspectos de los sistemas informáticos, las personas y los procesos de la organización. No culpe a los empleados de los errores de seguridad, la tecnología cambia y los ciberdelincuentes cambian de técnicas; en su lugar, utilice un comportamiento deficiente en materia de seguridad como excusa para cambiar de conducta y aprender de los errores.
Los programas avanzados de formación para la concienciación sobre la seguridad ofrecerán sesiones de formación interactivas durante un ejercicio para mostrar a los empleados en qué se equivocaron y cómo asegurarse de que no repitan el mismo comportamiento.
Asimismo, recompense el éxito en lugar de utilizar la culpa para avergonzar. Si los empleados obtienen buenos resultados en las sesiones de formación, ofrézcales pequeñas recompensas e incentive el buen comportamiento.
Generar datos procesables
Las métricas ofrecen una visión vital de la eficacia de un módulo de formación sobre concienciación en materia de seguridad; algunos sistemas avanzados proporcionan vistas muy detalladas, a lo largo del tiempo y de forma individual, de la eficacia de la formación de un módulo determinado.
Los módulos de simulación de phishing, por ejemplo, generan datos por empleado, mostrando las curvas de aprendizaje de los empleados a medida que desarrollan las habilidades para identificar las amenazas transmitidas por correo electrónico. Utilice los datos de las métricas de concienciación sobre seguridad para ajustar sus módulos de formación e identificar los comportamientos difíciles de cambiar a los que debe prestarse más atención: diríjase a funciones y grupos específicos mediante el uso de métricas que le ayuden a diseñar campañas de phishing simuladas a medida. Con el tiempo, la información proporcionada por las métricas de formación granular le permitirá desarrollar sesiones de formación más eficaces.
Integre la formación en seguridad en su organización
Las normas de seguridad deben establecerse a nivel organizativo, integrando a los individuos en una cultura de la seguridad en la que la seguridad sea lo primero. El éxito de la formación para la concienciación en materia de seguridad radica en la maduración de métodos y enfoques, no en meros esfuerzos por cumplir la normativa.
Sin embargo, los requisitos normativos para la formación de concienciación en materia de seguridad deben utilizarse como referencia para establecer parámetros sobre la eficacia de la formación. Al encajar los objetivos organizativos con la formación en seguridad, este enfoque traslada la carga de la seguridad de un esfuerzo individual a uno colectivo: elabore un programa de formación en concienciación sobre la seguridad que se adapte a las necesidades de seguridad de su organización e incorpore a todos, desde el nivel directivo hacia abajo, en las sesiones de formación. Asegúrese de que cada departamento dispone de programas de formación a medida que reflejen las amenazas del mundo real. Por ejemplo, estafas como Business Email Compromise (BEC) se dirigen a departamentos como la oficina del director general y cuentas por pagar.
Lo más probable es que 2023 sea tan difícil para las empresas que se enfrentan a amenazas de seguridad como los años anteriores. Ninguna organización, independientemente de su tamaño o sector, puede dormirse en los laureles y esperar no ser un objetivo.
Sin embargo, nuestra gente es nuestra fuerza. Aplicando estas cinco estrategias de mejora a su programa de formación en concienciación sobre seguridad para 2023, puede ayudar a desarrollar una postura de ciberseguridad sólida y empoderar a sus empleados frente a ciberdelincuentes y estafadores.
