La elaboración de planes y presupuestos de ciberseguridad para 2023 está en pleno apogeo para muchos de nosotros. Dentro de nuestros planes estará el desarrollo o la continuación de un exitoso programa de concienciación sobre seguridad. Con ransomware como  Conti y Lockbit activos en el Reino Unido en 2022, y la guerra en Ucrania aumentan los niveles de estafas, las empresas necesitan más que nunca asegurarse de que su formación sobre concienciación en materia de seguridad sea un éxito. 

Ahora es el momento de elaborar estrategias para garantizar que su formación sobre concienciación en materia de seguridad funcione. Para ayudarle, MetaCompliance analiza cinco elementos que harán que su formación sobre concienciación en materia de seguridad sea un éxito.

Cinco elementos de una formación de concienciación sobre seguridad exitosa

He aquí cinco elementos clave que debe incluir a la hora de planificar un programa de formación sobre concienciación en materia de seguridad para 2023:

Inicie y continúe la formación con la automatización

La continuidad y la programación son elementos vitales para el éxito de un programa de formación en materia de seguridad. Personas  responden bien a la constancia y es más probable que un adiestramiento regular y atractivo se convierta en acciones y recuerdos positivos. La constancia en el adiestramiento también ayuda a crear relaciones positivas y confianza.

Una gran manera de simplificar el entrenamiento regular es utilizar un Plataforma de automatización de la formación de concienciación sobre seguridad. La plataforma le permitirá gestionar y programar su programa anual de concienciación sobre la seguridad, garantizar la formación continua y cumplir la normativa. En otras palabras, la automatización de la formación sobre concienciación en materia de seguridad es un excelente punto de partida para su programa y hace que la impartición sea más eficaz y coherente.

Adapte la formación a su empresa y a su personal

Los programas de formación personalizados son más eficaces porque resultan más cercanos. Sin embargo, la personalización también es utilizada por los ciberdelincuentes para dirigirse a funciones e individuos específicos de una organización. Por ejemplo, los administradores de TI son un objetivo ideal para las campañas de spear phishing utilizadas para robar credenciales de inicio de sesión.

Para que su programa de formación en concienciación sobre seguridad 2023 tenga éxito, asegúrese de que el programa está adaptado a los roles de la organización. La formación en ciberseguridad basada en roles tiene muchas ventajas, entre ellas una formación muy adaptada que se centra en tipos específicos de estafas, como el Business Email Compromise (BEC).

Phish, sus empleados

A El informe 2022 identificó al Reino Unido como un objetivo importante para el phishing: el estudio descubrió que el 91% de las empresas fueron objetivo de una campaña de phishing y el 84% sufrió al menos un ataque de ransomware basado en el correo electrónico. Por lo tanto, la formación para la concienciación sobre la seguridad basada en funciones debe incluir una formación dirigida a los empleados mediante el uso de métodos cuidadosamente elaborados  campañas de phishing simuladas.

Las campañas enseñan a los empleados las tácticas para engañarlos y hacerles hacer clic en un enlace malicioso o descargar un archivo adjunto infectado. Por lo tanto, enseñar a los empleados sobre el phishing es vital para el éxito de un programa de formación sobre concienciación en materia de seguridad.

Haga que el contenido de concienciación sobre seguridad funcione

Los tres últimos elementos sólo harán que un programa de concienciación sobre seguridad tenga éxito si el contenido es emocionante y divertido y utiliza la retroalimentación de forma constructiva. La gente aprende cuando está comprometida y el material es comprensible y relacionable; planifique el usodel «aprendizaje en el punto de necesidad» en su programa de formación.

Un programa de concienciación sobre seguridad debe utilizar una plataforma de formación que pueda aplicar el aprendizaje en el punto de necesidad para mejorar la comprensión y promover el aprendizaje. El aprendizaje en el punto de necesidad es un tipo de educación interactiva que se utiliza para garantizar que los empleados aprendan de sus errores; un ejemplo es un aviso de advertencia que aparece en pantalla si un empleado hace clic en un enlace malicioso.

Esta educación interactiva es ideal para explicar los peligros de los comportamientos poco seguros. El aprendizaje puntual también puede utilizarse para enseñar a un usuario cómo evitar realizar una actividad peligrosa en el futuro.

Utilice los resultados para optimizar su éxito

Uno de los factores esenciales para que algo sea un éxito es saber dónde y cuándo introducir mejoras. Aquí es donde entran en juego las métricas de la formación en materia de seguridad. Un programa de formación para la concienciación sobre la seguridad debe ser capaz de recopilar y analizar los datos de las sesiones de formación.

Estos datos pueden utilizarse después para generar perspectivas procesables que ayuden a adaptar los eventos de enseñanza. Por ejemplo, un programa de formación avanzada debe aprovechar los paneles de informes que pueden mostrar un análisis de un vistazo de las sesiones de phishing simuladas; este análisis puede ayudar a identificar a los empleados que tienen dificultades con los conceptos y ayudar a adaptar una campaña de formación que haga que la formación sea más eficaz.

Los tipos de métricas que ayudan a construir una formación en seguridad más eficaz y, por lo tanto, más exitosa incluyen:

  • El porcentaje de usuarios vulnerables a los ataques
  • Los dispositivos utilizados para acceder al correo electrónico de phishing
  • Qué departamentos y grupos de usuarios hacen clic en los enlaces

A continuación, se pueden analizar estas métricas y utilizar los datos para ajustar los programas de concienciación con el fin de garantizar que la formación mejore y que su programa se optimice.

Del éxito del programa de concienciación sobre seguridad al fracaso del ciberataque

Un viejo proverbio dice que «un objetivo sin un plan es sólo un deseo». Del mismo modo, para que su programa de concienciación sobre la seguridad tenga éxito necesita una planificación eficaz. Comience con la intención de continuar creando un programa atractivo, relacionable y continuo de eventos de formación en seguridad. De esta forma, su éxito en la concienciación sobre seguridad se traducirá en un fracaso de los ciberataques.

Formación sobre sensibilización en materia de seguridad para proveedores externos