La necesidad de cambiar de rumbo en la formación de usuarios en ciberseguridad
- Seguridad Inteligente
Solo el 10% de las empresas y el 12% de las organizaciones benéficas ofrecen capacitación al personal en seguridad cibernética.
Los hallazgos de la última Encuesta de Brechas de Seguridad Cibernética (un informe anual que detalla las acciones comerciales y benéficas sobre seguridad cibernética y los costes e impactos de las violaciones y ataques cibernéticos) muestran que, de lejos, el tipo más frecuente de infracciones o ataques fue el phishing (que afectó al 83 % de las empresas y al 79 % de las organizaciones benéficas). A esto le siguieron intentos de suplantación de identidad a través de una variedad de medios, incluido el correo electrónico (27 % y 23 %, respectivamente).
La falta de enfoque de las organizaciones en la capacitación de la conciencia del usuario es un problema de largo recorrido. Ya en 2002 sevcaracterizó a la comunidad de usuarios como "usuarios finales ordinarios, desprevenidos, desinteresados, laxos, ignorantes e indiferentes". Esta actitud puede haber calado en muchas organizaciones, llevándolas a concluir que no vale la pena capacitar a su personal en esta área.
Algunos enfoques comunes para la capacitación en concientización a menudo implican ver un video y una tarea simple que se ejecuta durante 30 minutos una vez al año. Este mismo módulo se repetirá posteriormente anualmente. Si bien este enfoque puede ayudar a crear conciencia sobre los problemas de seguridad, no ofrece formación en términos de cómo lidiar realmente con las cosas.
Este enfoque de capacitación se denomina como 'Goldfish', donde las organizaciones asumen que las personas olvidan todo, y debemos repetir lo mismo una y otra vez con la esperanza de que finalmente se afiance. En cambio, la capacitación debería ser más como un pez de Babel, donde realmente traducimos las cosas de una manera que nuestro personal entienda”.
Por lo tanto, la formación debe responder a las preguntas ¿por qué? ¿Quién? ¿Qué? ¿Cómo? y cuando/donde? Los programas de capacitación deben seguir tres puntos de acción principales:
Anime a los líderes sénior a liderar con el ejemplo, asegurándose de que los mensajes sobre ciberseguridad provengan de la parte superior de la organización.
Construya un diálogo efectivo con nuestro personal: esto incluye presentarles la seguridad cibernética de manera efectiva, no estigmatizar los errores y crear procesos para informar problemas.
Considere realizar campañas de concientización sobre seguridad: estas deben centrarse en mensajes positivos, como resaltar los beneficios de la capacitación en seguridad para el personal, brindar capacitación en dosis pequeñas y frecuentes y evitar la repetición.
El propósito general de este enfoque es pasar de la conciencia de seguridad a influir en el comportamiento y, en última instancia, crear una fuerte cultura de ciberseguridad. Un aspecto crucial de dicha estrategia debe ser adaptar la capacitación a los miembros individuales del personal, pensando en lo que necesitan para su función, cómo les gustaría recibir el mensaje y qué barreras existen con respecto a su posición, conocimiento, actitud.
Más información
CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace