Formación y concienciación en seguridad informática

En términos generales, se puede concebir la formación y concienciación en ciberseguridad simplemente como asegurar que los usuarios comprendan y sigan ciertas prácticas para ayudar a garantizar la seguridad de una organización. Desde esta perspectiva, la concientización en seguridad informática ha existido prácticamente desde siempre, particularmente cuando se toma en cuenta la necesidad de seguridad en aplicaciones militares.

Hoy en día, la concienciación se enfoca en la seguridad de la información y especialmente en la ciberseguridad. Los rápidos avances en la tecnología de la información ─ y las innovaciones paralelas por parte de los cibercriminales ─ implican que los empleados y otros usuarios finales necesiten de una capacitación regular y específica para mantenerse seguros en línea y proteger su información y la de sus empleadores.

Este artículo es una introducción a la formación y concientización en ciberseguridad y su importancia: por qué las organizaciones la emplean, cómo ha evolucionado con los años y cómo ayuda a reducir las amenazas de ciberataques y otros tipos de violaciones a la seguridad. Por último, presentaremos algunas herramientas para crear un programa eficaz para concienciar en seguridad.

La concientización en ciberseguridad juega un papel clave para minimizar las serias amenazas de ciberseguridad a las que se enfrentan los usuarios finales debido a los ataques de phishing e ingeniería social. Algunos puntos claves en esta formación suelen incluir la gestión de contraseñas, privacidad, seguridad en correo electrónico/phishing, seguridad en internet/web y seguridad física y en la oficina.

También existen beneficios para las empresas que realizan formación y concienciación en seguridad informática, tal como se indica en el informe del Aberdeen Group sobre la formación y concienciación en ciberseguridad: pequeña inversión, gran reducción en el riesgo. Los investigadores llevaron a cabo un taller con líderes de seguridad corporativa para determinar por qué invierten en concientización en ciberseguridad. Hallaron lo siguiente:

• El 91% utiliza la concienciación en seguridad para reducir los riesgos de ciberseguridad relacionados con el comportamiento de los usuarios
• El 64% la usa para cambiar comportamientos
• El 61% la usa para cumplir con requisitos regulatorios
• El 55% la usa para cumplir con políticas internas

Tal como sugieren estas estadísticas, algunas organizaciones emplean la formación y concientización en ciberseguridad para empleados simplemente porque están obligados a ello, para cumplir con requisitos internos o externos. Pero esta capacitación también tiene sentido a nivel financiero, según el informe: “un aumento en el nivel de inversión en concientización en seguridad produce una reducción media de alrededor del 50% en los ataques de phishing y un retorno medio sobre la inversión de aproximadamente 5:1”.

Si bien los conceptos clave un curso de concienciación en seguridad informática no son nuevos, han llegado al conocimiento del público en general en tiempos relativamente recientes. Un indicador de esto fue el lanzamiento, en el 2004, del mes nacional de la concienciación de ciberseguridad. La iniciativa, generada por la Alianza Nacional para la Ciberseguridad y el Departamento de Seguridad Nacional de los EE. UU., tenía como propósito ayudar a que la gente estuviese más segura en línea, alentando prácticas tales como la actualización habitual de software antivirus.

Desde entonces, el mes de la concienciación anual ha inspirado eventos similares en otros países, ha expandido sus temas y contenidos y ha generado un aumento en la participación en diversas industrias y gobiernos, así como universidades, instituciones sin ánimo de lucro y el público en general.

El enfoque, métodos y efectividad de los cursos de concienciación en ciberseguridad han experimentado cambios significativos con el pasar de los años. En el 2004, la mayoría de los programas existían simplemente porque era necesario cumplir con los requisitos normativos. Hoy en día, este enfoque ha cambiado hacia considerar esta formación como un medio para gestionar y mitigar los ciberriesgos empresariales.

En todo este tiempo, los métodos de formación y capacitación también han madurado. En 2004, el paradigma dominante era la realización de presentaciones anuales, tanto en forma de sesiones de formación en persona como cursos online. Desafortunadamente, estas sesiones tan largas e infrecuentes no generan una buena retención de conocimientos. Una transición paulatina hacia una capacitación más corta y orientada a temas muy específicos representó una mejora, pero estas formaciones se llevaban a cabo con poca frecuencia, cosa que permitía que el conocimiento se disipase con el tiempo.

Alrededor del 2014, la formación y concienciación en seguridad informática comenzó a orientarse hacia la formación y mejora continuas, en las que un programa incluye ciclos continuos de evaluación y capacitación. Los desarrollos más recientes son la formación “justo a tiempo” y “en contexto”, que adicionan la capacidad de lanzar una capacitación en respuesta a un usuario final que exhibe un comportamiento deficiente en materia de ciberseguridad, como por ejemplo una navegación web insegura.

Hoy en día, los profesionales de seguridad informática usan una variedad de herramientas para capacitar a los usuarios finales, como se puede ver en nuestro Informe State of the Phish™ de 2019. La herramienta más utilizada ─ y que sigue ganando contínuamente popularidad ─ es la formación online.

• El 79% usa cursos de ciberseguridad online
• El 68% usan ejercicios de simulación de phishing
• El 46% emplean campañas de concienciación (vídeos y pósteres)
• El 45% usan cursos presenciales de concienciación y formación en ciberseguridad
• El 38% usan notificaciones mensuales o boletines informativos

Los programas de capacitación bien diseñados suelen usar varias de estas herramientas mencionadas. Igualmente importante, es el hecho de implementar estas herramientas de una manera sistemática y metódica que le permita hacer un seguimiento y medir el progreso en un tiempo determinado.

Nuestras soluciones de capacitación son altamente eficaces y emplean nuestra metodología de capacitación continua, diseñada con principios de pedagogía para interactuar con el alumno y cambiar su comportamiento.

La manera en que utilizamos los principios de la pedagogía ha resultado sumamente eficaz, según investigaciones realizadas en la universidad Carnegie Mellon.

Nuestros propios casos prácticos y resúmenes de resultados también arrojaron datos persuasivos: