El Mes de la Concienciación sobre la Ciberseguridad, en Europa y Estados Unidos, forma parte de un amplio esfuerzo para ayudar a las personas a mantenerse seguras en línea. La iniciativa se puso en marcha en 2004 en Estados Unidos y en 2012 en Europa. Este año, el evento en EE.UU. se centró en "Verte a ti mismo en el ciberespacio". En Europa, el esfuerzo promovió la concienciación sobre el phishing y el ransomware.
Evidentemente, apoyamos cualquier esfuerzo de concienciación en materia de ciberseguridad. Las personas son el eslabón más débil de los esfuerzos de seguridad de una organización. Es importante enseñarles las medidas sencillas que pueden tomar para protegerse en línea. Sigue siendo mucho más fácil para un adversario engañar a alguien para que revele una contraseña o haga clic en un enlace de correo electrónico que penetrar en una red bien protegida. Una buena concienciación en materia de ciberseguridad puede proteger a las organizaciones de pérdidas económicas, sanciones por incumplimiento de la normativa y daños a la reputación.
Sin embargo, tras años de eventos en torno a un "mes de la concienciación" anual, el aprovechamiento de la escasa concienciación en materia de ciberseguridad sigue siendo el principal vector de ataque en las violaciones de datos.
El Informe de Investigación de Violaciones de Datos de Verizon de 2022 descubrió que el 82% de las violaciones del año anterior estaban relacionadas con la ingeniería social y los índices de clics de phishing siguen aumentando. Una vez que los atacantes se afianzan, pueden establecer canales de mando y control, moverse lateralmente para identificar los datos del objetivo, cifrar los datos para pedir un rescate o robar información sensible.
¿Mes de la concienciación sobre la ciberseguridad?
Así que sí, apoyamos el mes de la concienciación sobre la ciberseguridad. Aporta la atención necesaria a un problema en cuya solución hemos trabajado durante años. Puede incitar a algunas organizaciones a dar sus primeros pasos para mejorar la concienciación sobre la seguridad en su plantilla o a reforzar sus programas existentes. Sólo nos oponemos a tratar la concienciación sobre la ciberseguridad como un evento anual.
El aprendizaje no es un acontecimiento único. Uno no aprende a hablar un nuevo idioma o a tocar un instrumento musical centrándose en la tarea una vez al año. Lo mismo ocurre con el reconocimiento y la evitación de las amenazas a la ciberseguridad. Aprender a hacer cualquiera de estas cosas requiere tiempo y repetición.
Cuando las sesiones de formación son eventos celebrados una vez o dos veces al año para cumplir con los requisitos, los estudiantes no retienen los conocimientos. El famoso Curva de olvido de Ebbinghaus muestra que los estudiantes olvidan más del 75% de una lección sólo en la primera semana. Al cabo de un mes, los estudiantes sólo retienen el 21% de la lección.
Concienciación de los empleados
La enseñanza es un proceso, no un acontecimiento. Esto incluye la enseñanza de la concienciación sobre la ciberseguridad. Los estudios demuestran que la pendiente descendente de la curva del olvido puede reducirse con un refuerzo regular de las lecciones. Estos refuerzos no tienen por qué incluir toda la información de la lección. El objetivo es mantener al alumno pensando en el material y poniéndolo en práctica.
Creación de una cultura de concienciación cibernética
El "mes" de la concienciación sobre ciberseguridad puede parecer un truco. Un programa eficaz de concienciación sobre la ciberseguridad debe practicarse los 12 meses del año utilizando diversas herramientas y técnicas.
Las lecciones de eLearning son ciertamente parte de cualquier programa exitoso, pero los equipos deben reforzar las lecciones regularmente a través de recordatorios, simulaciones de phishing, micro-lecciones, salvapantallas y carteles. Las lecciones deben estar orientadas a las diferentes amenazas a las que se enfrenta una organización.
La formación de los equipos financieros debe adaptarse a las amenazas específicas del departamento. Las organizaciones de TI deben estar atentas al robo de credenciales privilegiadas. Todo el mundo necesita una formación continua sobre los ataques de phishing y ransomware.
Un programa de concienciación sobre ciberseguridad es una parte importante de una evaluación global de riesgos. Los responsables de los programas de concienciación deben ser capaces de hacer un seguimiento de los progresos mediante la presentación de informes y de iniciar acciones correctivas cuando el riesgo siga existiendo en la organización. Si los individuos o los equipos obtienen una puntuación baja en la formación, debe programarse automáticamente una formación correctiva.
Lo más importante es que las organizaciones comprometidas con la concienciación sobre la ciberseguridad y la seguridad en línea reconocen la necesidad de contar con el apoyo de los ejecutivos. Los mensajes regulares directamente de la alta dirección sobre la necesidad de la higiene de la ciberseguridad -y por qué es una prioridad para la empresa- ayudan a crear una cultura de seguridad duradera.