Comprenda su “necesidad” de capacitación cibernética antes de comprometerse con un programa

Las grandes empresas que desarrollan una amplia gama de soluciones, incluido software crítico para la seguridad, y brindan servicios de monitoreo de seguridad y respuesta a incidentes, hacen uso de una amplia gama de capacitación en seguridad y concientización sobre seguridad. Esto toma muchas formas y necesita cubrir una gran cantidad de temas en diferentes niveles de comprensión técnica.

Si busco “Seguridad” en un catálogo de capacitación corporativa, obtengo más de 200 resultados, que van desde capacitación básica de concientización sobre seguridad para todos los empleados, pasando por concientización y riesgo cibernético para ejecutivos y capacitación más detallada sobre DevOps seguro para desarrolladores hasta cursos avanzados sobre análisis forense digital. y análisis de malware para los respondedores de incidentes.

La mayor parte de esto se proporciona externamente, pero las empresas también desarrollan su propia capacitación internamente, así como también desarrollan y venden capacitación de seguridad personalizada a otros.

Por lo tanto, el primer paso en el desarrollo de cualquier programa de capacitación es identificar la necesidad de capacitación en función del rol y la capacidad técnica del alumno, así como el resultado que se logrará con la capacitación. Hay una gran cantidad de roles diferentes y personas con habilidades diferentes, por lo que necesitamos un conjunto de programas de capacitación para combinar. La pregunta de hacer/comprar, la decisión sobre capacitación interna o externa, solo puede abordarse cuando haya identificado esa necesidad.

Una vez que existe una necesidad de capacitación definida, hay una serie de cosas a considerar, todas las cuales tendrán un impacto en la decisión de hacer/comprar, que incluyen:

Certificación – Si proporciona servicios profesionales a otras organizaciones, es posible que necesite una certificación independiente, por ejemplo, a través de un programa reconocido. En algunos casos, la formación propia del certificador será un requisito previo para la certificación (por ejemplo, SANS), mientras que en otros se puede utilizar la formación interna o de terceros (por ejemplo, CISSP).

Más contenido para leer:  Record-breaking 2023 for UK home broadband

Compromiso – La seguridad cibernética es intangible en muchos sentidos, por lo que puede ser difícil involucrar a aquellos para quienes la seguridad no es parte de sus actividades diarias y creen que la seguridad es el trabajo del departamento de TI y simplemente los llamarán si hay un problema. Por lo tanto, es importante hacer que la formación de concienciación, en particular, sea interesante y relevante para la vida cotidiana del alumno, posiblemente utilizando situaciones en el hogar cuando no hay un servicio de asistencia para llamar para ilustrar las consecuencias de un ataque cibernético y crear una motivación para aprender a protegerse. El humor también puede ser útil para aclarar lo que puede ser un tema aburrido para algunos, haciendo que el mensaje sea más memorable.

La formación debe contener cierto nivel de interacción por parte del usuario. Simplemente enseñar desde una serie de diapositivas rara vez es efectivo, particularmente con temas técnicos más detallados. Muchos cursos de capacitación en línea son muy buenos en esto, incluidos juegos de animación y comentarios interactivos para involucrar al alumno y también evaluar cuánto ha aprendido.

Los temas técnicos más profundos deberán incluir ejercicios prácticos en entornos reales o simulados para que los usuarios puedan aprender en circunstancias realistas, idealmente con una biblioteca de ataques predefinidos que se pueden usar para probar cómo responden. La capacidad del capacitador para monitorear las actividades de los individuos y registrar y reproducir eventos también hace que este sea un entorno de aprendizaje muy poderoso.

Evolucionando con el mundo real – La seguridad cibernética es un tema que cambia rápidamente, por lo que cualquier capacitación debe evolucionar para mantenerse al día con lo que sucede en el mundo real. Un ejemplo de esto es el uso de correos electrónicos de phishing simulados para probar y capacitar a los usuarios sobre cómo reconocer este tipo de ataque. Esto ciertamente puede ser efectivo y es probable que vea una reducción en los usuarios que no detectan correos electrónicos de phishing a medida que se repite el ejercicio.

Más contenido para leer:  Para seguir un camino, necesitas un buen mapa

Sin embargo, si cada vez se utilizan técnicas de phishing e ingeniería social iguales o similares, puede parecer que los usuarios han mejorado, pero aún así no pueden detectar correos electrónicos de phishing reales porque los atacantes han cambiado su enfoque. Por lo tanto, es importante tener en cuenta el costo de mantener la capacitación para reflejar los cambios del mundo real si planea desarrollar su propia capacitación.

La mayoría de las empresas necesitarán desarrollar algún tipo de formación interna o tener formación adaptada a su situación específica. Pero para una capacitación más general, la compra puede ser una mejor ruta, debido al costo de desarrollar la capacitación y mantenerla en un entorno cibernético cambiante.

En general, lo principal es comprender completamente la necesidad de capacitación antes de tomar una decisión de hacer/comprar, o comprometerse con un proveedor.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales