¿Cómo consigo que mis usuarios presten atención a la formación en seguridad?

Los seres humanos a menudo se consideran la primera línea de defensa en la postura de seguridad cibernética de las organizaciones en la actualidad. Al ofrecer programas de capacitación sobre concienciación sobre seguridad, las empresas pueden educar a sus empleados sobre una gama de riesgos crecientes de seguridad cibernética y qué hacer si se dan cuenta de uno.

Dado que los ciberdelincuentes se dirigen cada vez más a las empresas y sus empleados, la formación en concienciación sobre seguridad es más importante que nunca. Pero a pesar de esto, los usuarios a menudo prestan poca atención a la formación cibernética y, como consecuencia, terminan poniendo en riesgo la seguridad de su organización. Entonces, ¿cómo pueden los equipos de seguridad lograr que los empleados se tomen en serio la capacitación?

Desarrollar una cultura de seguridad

Lograr que el personal comprenda la importancia de la capacitación en seguridad para ellos mismos y para toda la organización es un desafío importante al que se enfrentan actualmente los empleadores, según el líder de seguridad de aplicaciones de Immersive Labs, Sean Wright.

“La formación en seguridad es realmente difícil de abordar. A menudo, ya tiene una connotación negativa asociada, esa molesta gente de seguridad nuevamente, por lo que tratar de convencer a los empleados de que esta capacitación es importante no solo para la organización, sino también útil para ellos, es un desafío ”, dice Wright.

Argumenta que se necesita un cambio de cultura para resolver este problema. “La forma en que logramos que los empleados comiencen a tomar en serio la capacitación es un cambio de cultura, en el sentido de que se desarrolla una cultura de seguridad dentro de la organización. Esto ayudará a los empleados a incorporarse a los esfuerzos relacionados con la seguridad, como la formación ”, añade.

Para desarrollar una cultura de seguridad y garantizar que todos los empleados tomen en serio la formación en concienciación cibernética, Wright cree que muchos problemas deben abordarse primero. “Elimine el estigma del ‘no’. Necesitamos cambiar la percepción de que somos un obstáculo y que, igualmente, la seguridad es un obstáculo ”, dice.

“Necesitamos enfocar y resaltar los aspectos positivos de tratar la seguridad correctamente, como una mejor reputación con los clientes, menos posibilidades de una infracción y pérdida de clientes, por ejemplo.

“Necesitan entender por qué necesitan hacer algo y que se les explique en términos y en un lenguaje que entiendan; elimine la mayor cantidad de jerga técnica posible”.

Wright dice que las organizaciones también deben cambiar la mentalidad de que “la seguridad no es mi problema” y dejar en claro que todos los empleados deben desempeñar su papel en la mejora de la seguridad en toda la organización. “Ayude a los empleados a comprender que todos tienen un papel que desempeñar, explicando por qué y cuáles son los riesgos si no es así”, dice.

Los empleadores también deben asignar el tiempo adecuado para que los empleados realicen su capacitación en seguridad y asegurarse de que no esté abarrotada de una sola vez, dice Wright. “Es probable que solo quieran revisarlo rápidamente en lugar de absorber la información de él. Asegúrese de recibir retroalimentación, averigüe las cosas que no les gustan, pero también lo que les gusta ”, agrega.

“Trate de implementar cambios que ayuden a abordar algunos de los comentarios negativos o sugerencias hechas. Demuestra que los empleados también tienen voz en el asunto y ayudará a impulsarlo para que se adapte mejor a sus necesidades. También ayuda con su relación con el equipo de seguridad, evitando el mantra y la percepción del ‘no’ ”.

Otra motivación para que los empleados participen en la capacitación en seguridad es que se verá bien en su currículum. Wright agrega: “Otro giro positivo es, especialmente si usan servicios en línea, que posiblemente podrían incluir esto en sus CV, por lo que esto es un beneficio para ellos. También pueden aumentar sus propios conocimientos sobre seguridad y la conciencia de sus vidas personales. Para mí, esta es una gran ventaja adicional “.

Transformando la formación en seguridad

Durante mucho tiempo, las empresas y sus empleados consideran que la capacitación en seguridad es irritante, según el especialista en seguridad de ESET, Jake Moore. “Continúa causando fricciones entre los departamentos con el objetivo que a menudo se toma en RR.HH. para orquestarlo. Desafortunadamente, hacer que la formación sea obligatoria es un mal necesario ”, dice.

Pero dice que la capacitación en seguridad puede ser extremadamente valiosa y ahorrar dinero a la empresa a largo plazo si se entrega bien. “Ser innovador o creativo puede ser complicado en un tema a menudo mundano, pero se puede ofrecer de formas coloridas que no impactan en la rutina diaria de las personas”, dice.

“Hacerlo interesante puede ayudar a prestar atención a los ataques estándar, como los correos electrónicos de phishing, y puede ayudar a las personas a ralentizar y cuestionar las técnicas de ingeniería social que suelen utilizar los actores de amenazas cuando intentan obtener información o incluso ingresar”.

Moore advierte que forzar las pruebas para castigar a aquellos con puntajes bajos puede tener un efecto negativo en el personal y debe evitarse a toda costa. En cambio, las organizaciones deben recompensar a los empleados por tener éxito en su capacitación en seguridad.

“Los incentivos o premios por los puntajes ganadores pueden ayudar a que el personal lea los módulos y aumente la conciencia, lo que a su vez ayuda a crear una fuerte conciencia y una cultura inteligente”, dice. “Sin embargo, la clave es hacer que los módulos de capacitación sean breves, interesantes y efectivos, salpicados de historias de la vida real que ayudarán a aumentar la comprensión detrás de la educación”.

Un programa de concientización sobre seguridad debe ser un esfuerzo continuo y no un evento único, dice la directora ejecutiva y fundadora de la Asociación de Seguridad Cibernética del Reino Unido, Lisa Ventura. “Implementar la misma capacitación para sus usuarios finales año tras año es ineficaz. Revisar y actualizar constantemente su programa de capacitación en concientización sobre seguridad cibernética es la clave para que tenga éxito ”, agrega.

Otra buena idea es agregar capacitación en seguridad al proceso de incorporación para que los nuevos empleados conozcan los diferentes riesgos cibernéticos y cómo responder a ellos, según Ventura. “Esto ayudará a crear una cultura consciente de la seguridad desde el principio, y hacer que la capacitación sea obligatoria en lugar de opcional es crucial”, agrega.

Ventura cree que los programas de concienciación sobre seguridad más exitosos son personales. “Los piratas informáticos no solo atacan a las organizaciones, se dirigen a personas y, a menudo, utilizan el correo electrónico, las redes sociales y otros métodos para piratear los sistemas corporativos. Será más probable que los empleados se involucren con él si pueden ver cuánto afectará sus vidas tanto desde una perspectiva personal como laboral o corporativa ”, dice.

La formación en seguridad es primordial

Dado que los riesgos cibernéticos aumentan rápidamente, la formación en seguridad es fundamental en todas las empresas y organizaciones. Josh Douglas, vicepresidente de producto de Mimecast, dice: “Las amenazas a las que se enfrentan las organizaciones están creciendo en número de manera significativa, lo que hace que la capacitación en concientización sobre seguridad cibernética sea más importante que nunca.

“El trabajo remoto en particular ha creado muchos desafíos, ya que los empleadores pierden visibilidad del comportamiento de los empleados, lo que genera un riesgo adicional. Esta es una gran preocupación, ya que la investigación de Mimecast encontró que el 70% de los líderes de TI creen que los malos comportamientos de los empleados, como la mala higiene de las contraseñas, ponen en riesgo a las empresas. Este problema se puede abordar de frente con capacitación en conciencia cibernética “.

Su opinión es que los líderes empresariales deben garantizar que los programas de capacitación en seguridad capaciten a los empleados para proteger su organización. “Las organizaciones pueden impulsar este empoderamiento a través de un programa sólido que sea más atractivo, use el humor y mantenga los puntos concisos”, dice.

“Para impulsar aún más ese empoderamiento, la retroalimentación de los empleados siempre debe capturarse y utilizarse para brindar la mejor capacitación a sus necesidades”, dice Douglas.

El propio análisis de Mimecast sugiere que los empleados que reciben capacitación de concientización regular tienen 5.2 veces menos probabilidades de hacer clic en enlaces de riesgo que aquellos que no lo tienen, mientras que la reciente Estado de la seguridad del correo electrónico El informe muestra que solo el 19% de las organizaciones ofrecen actualmente formación continua sobre concienciación cibernética.

La única forma en que las empresas pueden educar a los empleados sobre los riesgos de seguridad y su función en la protección de toda la organización es mediante la formación periódica de concienciación cibernética, dice Douglas.

“A medida que el trabajo remoto se convierta en la nueva norma, el conocimiento que brinda dicha capacitación será crucial para desarrollar la resiliencia de las organizaciones y garantizar que los empleados puedan trabajar con éxito desde casa a largo plazo”, agrega.

Hacer que la formación en seguridad sea divertida

Laurence Pitt, estratega de seguridad global de Juniper Networks, dice que la capacitación en seguridad a menudo es aburrida, corporativa y poco gratificante. “Los empleados pueden encontrar formas de prestar la mínima atención posible: ver videos a doble velocidad, realizar múltiples tareas y adivinar respuestas, o esperar que el mandato desaparezca si se ignora”, dice.

Sostiene que algo debe cambiar y que la respuesta está en la gamificación. “Cree actividades personalizadas que brinden una experiencia diferente en función de las respuestas a las preguntas. Varias rutas diferentes a través de un ejercicio lo hacen más divertido. Limite cualquier juego de seguridad a 10 minutos, algo que cabe en una pausa para el café ”, dice Pitt.

“Haz que el entrenamiento sea divertido. Los seres humanos aprenden mejor de las recompensas positivas que de las experiencias negativas. Un beneficio adicional es que las personas comparten algo que disfrutan y, por lo tanto, pueden transmitir consejos de sensibilización a colegas, familiares y amigos.

“Entregue credenciales virtuales para completar la capacitación, tal vez cree un cuadro de mando basado en la rapidez con la que los empleados completan su capacitación una vez asignada. Evite recompensar las respuestas correctas o el tiempo para completar la tarea “.

Pitt dice que la combinación de estas ideas podría crear una experiencia divertida y gratificante para los empleados a partir de la capacitación en conciencia de seguridad. “Esto requerirá inversión, pero organizaciones como The Infosec Institute ya han comenzado a gamificar las ideas de capacitación y es posible que puedan ayudar”, agrega.

“La inversión en seguridad no será un ejercicio barato, pero sin duda será más asequible que el daño causado por un ataque de ransomware o una filtración accidental de datos. Hacer de la capacitación una actividad que los empleados deseen, en lugar de tener que completar, solo puede ser positivo para ayudar a fortalecer su postura de seguridad “.

Hoy en día, las empresas enfrentan una variedad de riesgos de seguridad cibernética diferentes, y el aumento del trabajo remoto en el último año solo los ha exacerbado. Claramente, la forma más efectiva de mitigar los riesgos de seguridad cibernética corporativa es hacer que el personal los conozca a través de la capacitación. Pero a menos que dicha formación sea atractiva e interesante, muchos empleados seguirán sin prestarle atención y, posteriormente, serán víctimas de ciberataques.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.