La capacitación interna en seguridad es a menudo un momento de última hora para la mayoría de las empresas, y el desarrollo del curso generalmente se acumula en la carga de trabajo de un CISO, que ya se encuentra en 110%.
No es que el contenido no sea bueno o que el capacitador no tenga experiencia, es solo que las empresas realmente no tienen tiempo para desarrollar, mantener y mejorar el material del curso. Deben concentrarse en lo que mejor saben hacer, que es vender sus productos y/o servicios y maximizar las ganancias.
Es arriesgado que el CISO de una empresa entregue personalmente la capacitación, sobre todo porque es posible que no obtenga mucho en cuanto a la comunicación bidireccional. El mismo personal que ha sido reprendido por el mismo CISO por hacer clic en clickbait puede no estar tan dispuesto a levantar la mano y hacer preguntas, por temor a una mayor reprimenda. Bueno, eso es realmente el resultado de una mala cultura empresarial y una estructura de comando de estilo militar, pero no profundizaré más en eso.
Por otro lado, un proveedor de capacitación subcontratado decente habría entregado y desarrollado contenido durante muchos años. Ya tendrá un aspecto y una sensación pulidos, y un entrenador puede manejarlo con confianza. Él o ella responderá con gusto a las preguntas y no necesitará estar al otro lado de un teléfono para manejar cualquier incidente de prioridad uno.
La capacitación en seguridad cibernética tampoco debe verse como un ejercicio anual para satisfacer el cumplimiento de FCA, ISO o PCI. El fenómeno del desvanecimiento de la capacitación ya está bien probado, por el cual el personal simplemente olvida lo que se les enseñó después de unas semanas, o unos meses si tiene suerte. Algunos lo hacen en unos pocos días, pero no metamos la tabla en eso…
Creo que la capacitación interna puede funcionar si tiene un capacitador dedicado o campeones internos de concientización sobre seguridad, y esta es una ruta que tomarán algunas empresas más grandes. Pero todo se reduce a esto: ¿usar personal interno es rentable y es lo que realmente quieren hacer?
El salario medio en Londres, por ejemplo, es de unas 35.000 libras esterlinas. Pero un conjunto decente de cursos de capacitación, videos, campañas de correo electrónico, etc., que mejoran continuamente la seguridad cibernética costará una fracción de esto, y sabrá que el trabajo se está haciendo correctamente, ya que nadie parece confiar en su propio personal cuando se trata de seguridad cibernética. de todos modos. De nuevo, un problema cultural.
He dicho muchas veces antes que la seguridad cibernética no es solo un problema del CISO, es de todos, y hasta que las empresas comiencen a confiar y empoderar a su personal en lo que respecta a la cibernética, ni siquiera el mejor capacitador en seguridad cibernética podrá ayudarlo.