El cortafuegos humano es un elemento crítico en la lucha en curso, y muchos dirían que va en aumento, contra los ciberdelincuentes. Construir uno depende de varios elementos, pero comienza con un programa sólido para la capacitación en seguridad de TI.
El programa debe ser lo suficientemente completo para adaptarse a la organización de modo que, además de la capacitación cibernética básica, incluya módulos como privacidad de datos o seguridad de dispositivos móviles, si son relevantes. También debe ser adecuado para la industria: las instituciones financieras enfrentan riesgos diferentes a los de las empresas manufactureras, por ejemplo.
Además, debe ser lo más realista posible, centrándose en las amenazas reales a las que se enfrenta la organización, evitando entorpecer el desarrollo de las actividades diarias de las personas.
Y, para ser eficaz, la capacitación debe ser inclusiva y accesible para todos dentro de la empresa, con diferentes canales de entrega adoptados, idealmente que incluyan módulos de capacitación basados en computadora y “espectáculos itinerantes”, en los que el equipo va a diferentes lugares para interactuar con las personas en -persona.
Alcanzar altos niveles de conciencia de seguridad requiere que la capacitación sea continua, en lugar de tener lugar como períodos de actividad finita. Esto requiere compromiso y creencia: es poco probable que las empresas que ven la capacitación como una lista de verificación o un requisito de cumplimiento operen programas exitosos.
El objetivo es crear un entorno en el que las personas se sientan seguras y se animen a plantear problemas y expresar nuevas ideas desde el principio, con el resultado final de que su organización sea más segura.
Características de un buen programa de capacitación en seguridad
Antes de analizar si sus requisitos de capacitación deben subcontratarse a un proveedor especializado o llevarse a cabo internamente, las organizaciones deben tener claro cómo es un buen programa de capacitación.
Las personas son el eje. Impulsan la formación, que se crea en torno a sus necesidades. El mejor punto de referencia de un buen programa es el compromiso de los empleados, junto con la contribución que hace la capacitación para garantizar que exista una sólida cultura de seguridad dentro de la organización.
Los indicadores pueden incluir la forma en que los empleados interactúan con las actividades de capacitación: ¿cuáles son las tasas de finalización de los distintos módulos, por ejemplo, y los usuarios realizan la capacitación a tiempo o la dejan para el último minuto? Estos detalles pueden indicar la calidad del contenido de la capacitación y la eficacia con la que comunica la importancia del tema.
El seguimiento de cualquier aumento en las actividades basadas en la seguridad también es una guía útil para la aceptación de los alumnos. Si el contenido del programa incluye llamados a la acción medibles, como informar correos electrónicos de phishing o alentar a los usuarios a cambiar a administradores de contraseñas, debería notarse que los empleados están cambiando sus hábitos diarios para incluirlos.
Desde una perspectiva más cualitativa, se debe observar la postura general sobre la seguridad dentro de la organización, particularmente en términos de si los empleados realmente se sienten como una parte valiosa de la estrategia de defensa contra los ataques cibernéticos o si la encuentran una carga. Este conocimiento establecerá el tono de la capacitación que, en lugar de usar tácticas de miedo excesivas que pueden conducir a una cultura de culpa, necesita empoderar a las personas para que hagan lo correcto.
¿Tercerizar o internamente?
Al considerar la implementación de un programa de capacitación en concientización sobre seguridad, los puntos de partida clave para determinar son la fuente del contenido del esquema y quién lo administrará. Ambos pueden ser proporcionados internamente, por un proveedor subcontratado o mediante una combinación de ambos.
Administrar todo internamente es la opción más costosa y que requiere más recursos. Es el mejor curso de acción para las organizaciones que requieren una formación muy personalizada, con información potencialmente sensible incluida. A cambio del control total que ofrece este tipo de programa, la empresa debe comprometerse a mejorar las habilidades de los equipos e invertir en sus capacidades técnicas, además de dedicar una cantidad significativa de tiempo para poner en marcha la capacitación.
En el otro extremo del espectro, la subcontratación puede ofrecer ahorros en costos y tiempo, aunque esto se logra a expensas de que la capacitación se adapte menos a las necesidades específicas de la empresa.
También hay opciones para un enfoque híbrido. Por ejemplo, se podría administrar un programa de capacitación externo e inmediato con la supervisión de equipos internos. En este escenario, aspectos como la personalización de los contenidos, o el horario de entrega, se limita a los parámetros establecidos por el proveedor del servicio (las sesiones se programarán en función de la disponibilidad del servicio y del número de horas contratadas, en lugar de cuando los empleados necesitan la formación, por ejemplo).
Alternativamente, una organización podría personalizar completamente el material que se usará en la capacitación, pero hacer que lo entregue una empresa de capacitación especializada, que también programaría las sesiones.
Esto ilustra que la cuestión de si la capacitación se lleva a cabo internamente oa través de un proveedor externo no debe verse como una pregunta binaria: “depende” es una guía más útil. No hay una solución correcta o incorrecta; se trata de equilibrar el presupuesto y los recursos disponibles con los requisitos de la organización, que a menudo se rige por su tamaño.
El costo más bajo de un programa totalmente subcontratado puede ser preferible para las empresas más pequeñas, mientras que es más probable que las corporaciones más grandes tengan la capacidad de un equipo interno, lo que les permite beneficiarse de un aumento continuo en la conciencia cibernética.
Sin embargo, incluso con el último enfoque, generalmente se requiere cierto nivel de experiencia externa, por ejemplo, para generar nuevas ideas para la interacción, así como para garantizar que los avances en la industria de la capacitación se incorporen a los programas.
También vale la pena tener en cuenta que la contratación de un proveedor subcontratado que adaptará las campañas a las necesidades específicas de la organización permite la inclusión de servicios de valor agregado, como la inteligencia de ciberamenazas o la orientación a usuarios de aplicaciones críticas, elementos que se pueden perder con un equipo íntegramente interno.
Un socio externo a menudo también puede involucrar múltiples partes del negocio, cerrando la brecha entre las funciones de recursos humanos, gestión de riesgos y seguridad de la información para lograr integraciones, por ejemplo, con gestión de identidad y acceso (IDAM), que los programas internos no pueden.
Formación como servicio: encontrar el proveedor adecuado
La contratación de formación como servicio no es diferente a la compra de cualquier otro servicio de un tercero. Los compradores deben entender cómo el proveedor puede cumplir con los requisitos de su organización, y esto se puede aclarar con preguntas como las siguientes:
- Conocimiento: ¿Tiene el proveedor conocimientos específicos de la industria en la que opera la empresa?
- Personalización: ¿Hasta qué punto es el programa de capacitación personalizable en términos de contenido, programación, frecuencia y localización?
- Niveles de servicio: ¿El proveedor ofrece niveles de servicio escalonados para que pueda tener el tamaño adecuado para la empresa en cuestión?
- Formatos: ¿Qué formatos de capacitación están disponibles (en persona, video, presentación de diapositivas, carteles, juegos, etc.) y en qué dispositivos pueden los participantes acceder al programa (computadora, teléfono móvil, tableta)?
- Alcance: ¿Cuál es el alcance del servicio? ¿El proveedor se involucra en la decisión sobre el mejor contenido para la capacitación? ¿Y proporcionarán los informes necesarios si es necesario cumplir con las normas y los estándares de cumplimiento?
- Gestión de cuentas: En cuanto a la gestión del servicio, ¿habrá un único punto de contacto entre la organización y el proveedor del servicio?
- Relevancia: ¿Cómo mantiene actualizado el proveedor su conocimiento de capacitación?
Una apuesta por la cultura
El objetivo final de cualquier programa de capacitación en concientización sobre seguridad es cultivar una cultura basada en la seguridad dentro de la organización. Visto desde la otra dirección, es probable que una empresa que esté muy comprometida con incorporar la seguridad en cada faceta de la vida empresarial esté ejecutando un programa de capacitación eficaz, independientemente de si se brinda internamente o se subcontrata.