La formación sobre concienciación en materia de seguridad, admitámoslo, puede ser árida y poco atractiva si no se hace bien. Una mala sesión de formación puede resultar desagradable, con empleados aburridos e incapaces de apreciar los problemas causados por los ataques de ciberseguridad. Sin embargo, la concienciación en materia de seguridad de los empleados es imprescindible en una época en la que los atacantes utilizan el comportamiento humano para ejecutar sus ataques. Cuando una empresa desarrolla un programa de concienciación en materia de seguridad, está abordando un área crítica de la empresa moderna: la lucha contra las amenazas de ciberseguridad. Pero el éxito de ese programa depende de que los empleados se comprometan con la gravedad de las amenazas a la ciberseguridad de la empresa.
Ideas para garantizar que la formación en materia de seguridad se toma en serio
Los ciberdelincuentes se proponen aprovechar al máximo el comportamiento humano. En consecuencia, los programas de concienciación sobre la seguridad también deben utilizar el comportamiento humano como base para involucrar al personal, de modo que se tome la formación más en serio. He aquí algunos consejos para que su formación de concienciación sobre la seguridad sea un éxito:
Capacite a los empleados en materia de ciberseguridad con la notificación sencilla de incidentes
Losinvestigadores Dupuis y Renaud han demostrado que el "Miedo, Incertidumbre y Duda" (FUD) puede ser desalentador e ineficaz para cambiar el comportamiento de los empleados en materia de seguridad. El FUD puede ser incluso contraproducente como táctica en la formación de concienciación sobre la seguridad, provocando ansiedad en los empleados. El miedo no debe ser el motor de una organización, a ningún nivel. En lugar de asustar a los empleados, hay que recompensar los comportamientos positivos en materia de seguridad y fomentar la notificación de incidentes de seguridad de forma sencilla y sin fisuras. Un sistema de notificación de incidentes de seguridad, que permita notificar de forma rápida y sencilla los problemas de seguridad, puede capacitar a los empleados y liberar el factor miedo. Los sistemas "Click and Report" cambian el comportamiento haciendo las cosas simples y positivas. Un sistema de notificación integrado en el proceso de la empresa de notificar, escalar y responder, se convierte en un elemento que facilita la cultura de seguridad ampliada de una organización, convirtiendo al empleado en el centro de esa cultura.
Hacer que la ciberseguridad sea integral, personal y cultural
Los individuos son el objetivo de los ciberdelincuentes. Aunque el estafador busque robar grandes cantidades de datos personales o hackear el sistema informático de una empresa, empieza por el individuo. El phishing, el spear-phishing y la ingeniería social son tácticas que sitúan al empleado en el centro de un ciberataque. Sin la aportación de un individuo como objetivo, muchos ciberataques fracasarían. Del mismo modo que los ciberdelincuentes se dirigen a los individuos, la formación en materia de concienciación sobre la seguridad debe ser específica y personalizada.
La formación sobre concienciación en materia de seguridad tiene más éxito si se personaliza: las personas responden más positivamente a algo con lo que pueden relacionarse. Los modelos de comportamiento, como la ecología del comportamiento, ofrecen información sobre el comportamiento humano que puede aplicarse para que la formación en materia de seguridad sea un éxito. Asegúrese de que su formación se basa en el perfil de trabajo típico del empleado, sus tareas y su nivel de riesgo. Un programa personalizado contribuirá a desarrollar una cultura de seguridad más integrada que sirva de puente entre los diferentes roles de una organización. La teoría del aprendizaje basado en el juego ha identificado que los juegos "experienciales", por ejemplo, los juegos de rol y los relacionados con la experiencia, tienen más éxito para el aprendizaje. Si un empleado es más receptivo al aprendizaje, verá la gravedad de las amenazas a la ciberseguridad sin necesidad de utilizar lecciones negativas y basadas en el miedo.
Haga de la formación en materia de seguridad un deporte de equipo
La investigación en áreas como la teoría cognitivasocial ha encontrado vínculos entre el aprendizaje humano y el comportamiento que se ven afectados por los entornos sociales, incluyendo las reacciones y la aprobación de los demás. Los juegos de concienciación sobre seguridad pueden ser la base de una experiencia de aprendizaje positiva. Intente crear equipos de empleados que actúen juntos para frustrar los métodos de ciberataque. El ambiente de equipo puede ayudar a fomentar el aprendizaje y demostrar al personal la seriedad de las amenazas de ciberseguridad contra la organización.
Haga que la formación en materia de seguridad forme parte de la cultura de la empresa
Las investigaciones del analista Forrester sugieren que el éxito de la formación en materia de concienciación sobre la seguridad debe centrarse en el usuario y en el cambio de comportamientos. Vaya más allá de la creación de una cultura de la seguridad para impregnar la seguridad en la cultura general de su empresa utilizando la automatización de las campañas de concienciación sobre la seguridad. Se pueden emplear soluciones de campañas de concienciación automatizadas para crear y gestionar campañas de formación en ciberseguridad eficaces y continuas. Al utilizar la automatización para impartir la formación en materia de concienciación sobre la seguridad, se convierte en parte de un sistema integrado que se imparte en toda la organización. La automatización facilita la impartición y el ajuste de la concienciación en materia de seguridad e integra la cultura de la seguridad en la cultura de la empresa, convirtiéndola en una parte importante de las tareas de los empleados, y no sólo en una idea de última hora. Al hacer de la seguridad una parte integral de las expectativas de su organización sobre el comportamiento de los empleados, el buen comportamiento en materia de seguridad se confirma como una parte importante y reconocida de su organización.
Cambiar los hábitos de seguridad que se tienen desde hace tiempo es un asunto serio
La clave de una empresa cibersegura es el compromiso de su personal para ayudar a mitigar las ciberamenazas. Concienciar al personal sobre la seguridad significa cambiar hábitos a menudo muy arraigados. Para ello es necesario que el personal se comprometa y comprenda la importancia de la formación en seguridad para el éxito de la organización. Las métricas y la retroalimentación pueden ser una ventaja para reproducir el éxito y la seriedad de los programas de formación en seguridad. Las métricas son útiles tanto para que los empleados vean el progreso como para que su organización ajuste los programas para mejorar su tasa de éxito. Si su organización despliega una solución de campaña de concienciación automatizada, este sistema también podrá mantener una auditoría del uso que hace su organización de la formación en materia de concienciación sobre la seguridad, proporcionando un recurso importante para demostrar el cumplimiento de la normativa.
Las amenazas a la seguridad son graves, las estadísticas lo demuestran. Pero el miedo no motiva a los empleados ni les hace darse cuenta de las implicaciones de sus acciones. Un programa de formación en materia de concienciación sobre la seguridad bien concebido, gestionado y permanente, que haga partícipes a los empleados de la ética de la empresa, hará que los empleados se tomen la seguridad en serio.
