La ciberseguridad y el cumplimiento de la normativa son dos temas que no han pasado a formar parte de la actividad habitual de una organización hasta los últimos diez años. Sin embargo, la difusión de estos conocimientos entre el personal y los contratistas de la organización ha resultado ser un gran problema. Esto se debe a una multitud de razones, pero el mayor obstáculo a la hora de aumentar la concienciación de los usuarios sobre la ciberseguridad y el cumplimiento de la normativa es el hecho de que el tema es soso y aburrido. Esto significa que existe una aversión natural a esta materia entre los usuarios y la dirección. La organización no ayuda con un enfoque incoherente de la comunicación, ya sea a través del correo electrónico o de la Intranet, así como la baja calidad de los cursos de eLearning.
En MetaCompliance creemos que la organización debe reconocer estas barreras naturales para el cambio de comportamiento y encontrarse con la población de usuarios a mitad de camino mediante comunicaciones reconocibles, repetibles y de alta calidad sobre ciberseguridad y cumplimiento.
También es importante adoptar un enfoque basado en el riesgo para la concienciación de los usuarios, en lugar de un enfoque general. Es necesario ampliar la cantidad correcta de esfuerzos para dirigirse a los grupos de usuarios de alto riesgo con mecanismos de transferencia de conocimientos pertinentes y de alta calidad, que pueden ser en forma de políticas, avisos y aprendizaje electrónico. Al facilitar la participación del usuario en las actividades de seguridad de la información, la política de cumplimiento y el aprendizaje, la organización se asegura de que se sigan las mejores prácticas y de que los usuarios problemáticos reciban la atención necesaria por no participar.
Se necesita un enfoque combinado para la concienciación del personal que reúna un aprendizaje electrónico de alta calidad, la mejor automatización de su clase y el apoyo de profesionales de la concienciación con experiencia. Hemos combinado nuestra solución en una solución integrada de gestión de la concienciación de los usuarios. Por ejemplo, los clientes tendrán la opción de cursar un módulo como el de phishing, que ayuda a promover cómo evitar el error humano, o incluso aprender a adoptar un enfoque más amplio para cambiar su cultura interna de ciberseguridad y cumplimiento.