Cuando se trata de la capacitación para concienciación de ciberseguridad, lo más probable es que el programa de cada organización sea al menos ligeramente único. De hecho, nosotros recomendamos a las organizaciones que pongan su impronta en sus iniciativas de capacitación para reflejar las políticas y elementos específicos de su cultura corporativa. Dicho esto, hemos identificado diversos elementos que los programas más eficaces tienen en común, así como consejos de ciberseguridad para empresas. Estas son las buenas prácticas de ciberseguridad y los componentes clave a considerar cuando planifique sus formaciones de concienciación:
Participación en toda la organización
Los programas de conciencia de seguridad más exitosos no solo cuentan con aprobación de los altos niveles de la gerencia, sino también con su participación. Esto es simplemente porque un enfoque de inmersión total es la mejor, por no decir la única, manera de crear una cultura de seguridad en la que una buena toma de decisiones y la aplicación de buenas prácticas de ciberseguridad, se conviertan en actividades diarias para los usuarios finales a todos los niveles. Cuando ciertos grupos, ubicaciones o individuos quedan excluidos de un programa, resulta más difícil promover una mentalidad en la que todos los empleados se sientan igual de involucrados en mejorar la higiene digital.
Comunicaciones claras
Los ejecutivos de alto nivel, miembros de la junta directiva y gerentes deben recibir comunicaciones con gran prontitud y frecuencia acerca de la visión y el avance de su programa. Pero los usuarios finales también deben ser considerados partes interesadas, un factor que las organizaciones tienden a pasar por alto (en su detrimento, por cierto).
¿Cómo mejorar la ciberseguridad de manera más eficaz? Es fundamental que los empleados comprendan el valor y el propósito de la capacitación en ciberseguridad antes de que reciban su primera asignación de capacitación. Y, a medida que continúa el programa de conciencia de seguridad y capacitación, los usuarios finales deben estar claros en qué es lo que está ocurriendo y, más importante aún, por qué está ocurriendo y cómo les afecta específicamente.
Medidas de vulnerabilidades de base
La premisa de esta recomendación es sencilla: ¿Cómo puede saber qué tan lejos ha llegado si no sabe dónde comenzó? Las calificaciones de evaluación de base, relacionadas con los niveles de susceptibilidad al phishing y conocimientos de ciberseguridad, le permiten marcar su punto de inicio y medir el avance. Pero también es buena idea tomar nota de otras métricas, como las tasas de infecciones de malware y ataques de phishing exitosos, antes de comenzar con la capacitación para la conciencia de los empleados. Se esperaría que se vea una reducción en las incidencias de ciberseguridad creadas por empleados en el tiempo, que es un buen indicador del éxito del programa.
Evaluaciones y capacitación habituales y continuadas
Para cambiar las mentalidades y reducir la cantidad de errores y riesgos asociados con los comportamientos de usuario final, la ciberseguridad debe convertirse en una actividad constante. Hacer pruebas de phishing ocasionales y una o dos capacitaciones anuales no será suficiente para generar la conciencia necesaria y ayudar a sus empleados a aprender cómo aplicar las prácticas recomendadas. Para desarrollar nuevas habilidades, los usuarios finales deben recibir el beneficio de una capacitación regular en ciberseguridad, y la oportunidad de aprender con el tiempo.
Creando un vínculo claro entre las evaluaciones y la capacitación
Tal como se refleja en nuestra metodología de capacitación continua (Continuous Training Methodology), hacemos una clara distinción entre las evaluaciones (como ataques de phishing simulados y evaluaciones basadas en preguntas) y la capacitación. Estos dos tipos de actividades funcionan mejor cuando se usan en conjunto. Una prueba de phishing, por ejemplo, es una excelente manera de motivar a los empleados a completar una capacitación de seguimiento. Sin embargo, es fundamental que estas iniciativas estén claramente vinculadas entre sí, con un período corto entre las evaluaciones y las capacitaciones. Después de todo, si se envía una prueba de phishing en enero, y después se aplica una capacitación antiphishing en octubre, la conexión entre ambas cosas se pierde totalmente.
Refuerzo
Hemos hablado frecuentemente acerca de la necesidad de reforzar los mensajes clave con los usuarios finales. Cuando se revisitan temas constantemente y se incorporan actividades de concienciación constantes, se contribuye a que los empleados tengan siempre presentes las buenas prácticas de ciberseguridad. Sin refuerzos, usted queda en un punto en el que es necesario reconstruir las bases de la ciberseguridad, en vez de avanzar a partir del trabajo realizado.
Seguimiento e informes constantes
Tal como se refleja en la jerarquía datos-información-conocimiento-sabiduría, los datos son útiles, pero la sabiduría debería ser el objetivo final. Como tal, otro de los consejos para mejorar la ciberseguridad es que es importante elegir una conciencia de seguridad y las herramientas de capacitación que hagan más que procesar datos simplemente por el hecho de procesarlos. En su lugar, vale la pena enfocarse en obtener prestaciones de seguimiento y generación de informes que les brinden acceso a datos de adición de valor que, en última instancia, se conviertan en inteligencia empresarial viable.
Motivación para el usuario final
Hemos visto a una gran cantidad de organizaciones generar excelentes niveles de interacción y resultados aplicando técnicas de ludificación a sus programas. Estamos convencidos de la alta eficacia de usar recompensas y refuerzo positivo para aumentar la motivación y la participación de los empleados; de hecho, nuestras funcionalidades de generación de informes, incluyendo nuestro informe de clasificaciones de capacitación (Training Leaderboard report), están diseñadas para ayudar a las organizaciones a hacer seguimiento a los éxitos a niveles individual y departamental, y a aplicar con más facilidad la ludificación a sus programas. Recomendamos explorar esta opción si es compatible con su cultura corporativa, porque puede incrementar la eficacia de su programa.