Cuando las personas toman la decisión de ponerse en forma, tienen que dedicar el tiempo y la energía para hacerlo. Ir al gimnasio una vez no lo va a cortar. Lo mismo ocurre cuando se trata de cambiar la cultura de una organización . Para ser efectivo en cambiar el comportamiento de los empleados, la capacitación debe ser continua y relevante.
La tecnología está evolucionando rápidamente. Cada vez más, las nuevas soluciones son capaces de defender mejor la empresa contra actores maliciosos desde dentro y desde fuera, pero las herramientas por sí solas no pueden proteger contra los ataques cibernéticos.
El informe de investigación de violaciones de datos de 2019 (DBIR) de Verizon encontró que:
Si bien la piratería y el código malicioso pueden ser las palabras que más resuenan entre las personas cuando se utiliza el término «violación de datos», existen otras categorías de acción de amenazas que han existido por mucho más tiempo y aún son ubicuas. La ingeniería social, junto con el uso indebido, el error y lo físico, no se basan en la existencia de la cibernética.
En resumen, la gente importa. La educación de los empleados importa.
El enfoque tecnológico para asegurar la empresa ha comenzado a desmoronarse en la última década, según Lance Spitzner, director de investigación y comunidad del Instituto SANS. “El desafío al que nos enfrentamos es que siempre hemos percibido la ciberseguridad como un problema técnico. Los malos usan la tecnología para atacar la tecnología, así que concentrémonos en usar la tecnología para asegurar la tecnología «, dijo Spitzner.
Cada vez más, las organizaciones han llegado a comprender que también tenemos que abordar el problema humano. Los hallazgos del DBIR de este año son evidencia de que el comportamiento humano es un problema para la seguridad de la empresa. Según el informe:
- El 33 por ciento de las violaciones de datos incluyeron ataques sociales.
- 21 por ciento resultó de errores en eventos casuales
- El 15 por ciento de las infracciones se debió a un uso incorrecto por parte de usuarios autorizados.
- El 32 por ciento de las violaciones involucradas al phishing.
- El 29 por ciento de las violaciones involucró el uso de credenciales robadas
Llamando a todos los interesados
Algunas organizaciones aún están implementando el anticuado entrenamiento anual por computadora y se preguntan por qué su programa de conciencia de seguridad no está funcionando. A pesar de que el equipo de seguridad entiende que deben hacer más, crear un programa efectivo de educación para empleados requiere la participación de una variedad de diferentes partes interesadas, dijo Perry Carpenter, evangelista jefe y oficial de estrategia de KnowBe4 y autor de Transformational Security Awareness: Qué neurocientíficos, narradores de historias y los especialistas en marketing pueden enseñarnos sobre cómo conducir conductas seguras .
“Si se quedan estancados una vez al año, tienen que encontrar una manera de justificar el cambio, por lo que hay algunas ventas que tienen que hacer a su equipo ejecutivo para obtener soporte para comunicaciones más frecuentes y más presupuesto. Esencialmente es el toque más alto que tienen que vender «, dijo Carpenter.
Incluso aquellas organizaciones que no tienen el presupuesto para utilizar un proveedor externo pueden encontrar formas de crear contenido atractivo, lo que significa que los equipos de seguridad tienen la tarea de tener que justificar la necesidad de un mayor compromiso de los empleados.
Una forma de vender esa necesidad, según Carpenter, es aprovechar el efecto psicológico conocido como la decadencia del conocimiento. “Vamos a algo y dos días después, olvidamos la mayor parte del contenido. Cuanto más nos alejamos de él, más irrelevante, desconectado e invisible se vuelve «.
La evidencia muestra que una mayor frecuencia de educación sobre seguridad es el primer paso hacia la creación de un programa de concientización más atractivo. «En todas las cosas que haces, estás fortaleciendo o permitiendo la atrofia», dijo Carpenter.
Una vez que tenga la participación para poder hacer crecer realmente el programa de concienciación de seguridad de la empresa, debe descubrir cómo conectarse con las personas. Es por eso que Carpenter es un fanático de un enfoque de marketing que utiliza varios canales.
Dado que algunas personas aprenden mejor visualmente, mientras que otras prefieren la instrucción en persona, la identificación de los formularios de contenido más atractivos para los diferentes empleados informará los tipos de capacitación necesarios para que el programa tenga éxito.
No más muerte por PowerPoint
Los antiguos programas de capacitación basados en computadoras desarrollados por auditores han hecho poco para defender a la empresa contra los sofisticados ataques de phishing. Si quiere que la gente se preocupe por la seguridad, necesita construir un puente entre la tecnología y la gente.
A veces, aquellos que tienen una alta habilidad técnica no son expertos en comunicarse con las personas. «Tradicionalmente, algunos de los mayores bloqueadores de los programas de concientización eran personas de seguridad que creían que si el contenido no era técnico no era seguridad», dijo Spitzner.
Ahora, los profesionales de la seguridad están comenzando a darse cuenta de que los empleados responden de manera diferente a una variedad de vectores de ataque, por lo que Omer Taran, cofundador y CTO de CyberReady dijo que recopilar y analizar datos de rendimiento en tiempo real es crucial para crear una mejor educación de sensibilización programa.
«Los ‘planes de tratamiento’ especialmente diseñados deben incluir una frecuencia ajustada, recordatorios oportunos, simulaciones personalizadas y contenido de capacitación que ayude a reformar este grupo particularmente susceptible», dijo Taran.
Empoderar a los empleados
Para que las empresas se mantengan un paso por delante de los ciberdelincuentes, los programas de educación de sus empleados deben ser atractivos. Es por eso que construir una cultura consciente de la seguridad es uno de los pasos más importantes que puede tomar la organización.
“Los procesos y las políticas están bien, pero si no está ganando los corazones y las mentes y no está ganando la aceptación de los empleados, es probable que no se inicie. A los malos no les importa lo bien escritas que estén sus políticas, o incluso si tiene alguna «, dijo Lisa Plaggemier, evangelista jefe de Infosec.
También es importante no jugar el juego de la culpa. Más bien, dijo Plaggemier, «capacitar a los empleados con campañas de concientización y capacitación de buena calidad, que se realizan a través de un programa que influye en el comportamiento»
Para que la protección contra fraudes cibernéticos y el fraude sean partes clave de la cultura de su empresa, Plaggemier recomendó que los líderes y gerentes consideren estos consejos:
- Sé un ejemplo. Los líderes tienen la capacidad de cambiar actitudes, creencias y, en última instancia, el comportamiento de los empleados. Si los líderes están tomando atajos de seguridad que ponen a la compañía en riesgo, los empleados no creerán que la compañía tome en serio todo lo posible para mantener un lugar de trabajo seguro.
- Ser claro Donde la confusión puede crear una cultura de comportamientos reactivos en lugar de proactivos, la claridad ayuda a priorizar el trabajo. Deje en claro que proteger a la empresa es una prioridad principal al crear políticas escritas y tener procesos y procedimientos claros establecidos.
- Ser repetitivo . La repetición es clave para inculcar buenos hábitos de seguridad en sus empleados. Los seres humanos crean nuevos hábitos a lo largo del tiempo al repetir sus acciones. Aliente a los empleados a realizar esas tareas fuera de lo común, como llamar a un proveedor para confirmar que realmente le pide que cambie su cuenta de «pago a», se convierta en rutina.
- Sea positivo . El miedo, la incertidumbre y la duda no son buenos motivadores. En su lugar, utilice un lenguaje que empodere a sus empleados. Haga que las personas sientan que son importantes en la información que comparte con ellos para que puedan ser mejores, más inteligentes y más confiados en sus decisiones cuando se enfrentan a algo potencialmente malicioso
Sobre el autor