La capacitación en seguridad cibernética es una estrategia de seguridad vital para muchas empresas en todo el mundo. Esta formación se ha establecido en las grandes empresas y organizaciones gubernamentales desde hace muchos años. Las pequeñas y medianas empresas han visto cada vez más el valor de contratar capacitación para ayudar a los usuarios a evitar problemas de seguridad comunes. También se requiere capacitación en seguridad cibernética para los regímenes normativos y estándares como ISO 27001.
Phishing y otras amenazas
El phishing sigue siendo una de las mayores amenazas a las que se enfrenta todo el mundo. Los estafadores y los ciberdelincuentes tienen tácticas diferentes y variables para las campañas de phishing. Estos malos actores se han adaptado y seguirán adaptándose a fuerzas de trabajo cada vez más preparadas. Obtener acceso a las cuentas de usuario es casi siempre un motivo. Spear-phishing es la variante más dirigida, en la que los ejecutivos y administradores son las víctimas previstas. El correo electrónico solía ser el principal vector de phishing. Todavía es un canal muy utilizado, pero los ciberdelincuentes ahora también usan mensajes de texto SMS, otras aplicaciones de mensajería, mensajes de redes sociales y llamadas telefónicas (a veces llamadas vishing, por phishing de voz). Los programas de formación en ciberseguridad empresarial se han centrado tradicionalmente en el vector del correo electrónico, pero también deben tener en cuenta la variedad de canales de ataque para mostrar a los usuarios qué tipo de contenido de phishing puede aparecer en todas estas diferentes plataformas de comunicación.
Pero el phishing no es el único tema de capacitación en seguridad cibernética. Otros temas sobre los que los usuarios necesitan recordatorios periódicos incluyen cómo disuadir el acceso a las instalaciones (sin pasar por los controles de acceso físico), administración de contraseñas, cómo manejar medios extraíbles, usar solo servicios en la nube autorizados, no enviar datos de la empresa e información personal a través de canales no aprobados, como correo electrónico personal, no revelar información de la empresa en las redes sociales, evitar el uso de redes inalámbricas públicas, usar VPN, etc.
La mayor parte de la capacitación de esta naturaleza está diseñada para aumentar la conciencia del usuario para evitar errores de usuario que conduzcan a incidentes de seguridad cibernética. Pero los empleados necesitan saber qué hacer cuando sucede algo malo. ¿Qué deben hacer cuando reciben un correo electrónico de phishing? ¿Qué deben hacer cuando creen que la información confidencial se ha visto comprometida? ¿Qué deben hacer cuando el ransomware explota en sus máquinas?
La mayoría de las empresas tienen políticas para muchas de estas situaciones, pero evaluar las respuestas de los usuarios y brindar orientación en el caso de incidentes de seguridad cibernética puede contribuir en gran medida a reducir el daño que se puede causar.
Evolución de los formatos de formación y tendencias
Cuando las organizaciones comenzaron a realizar capacitaciones en seguridad cibernética en la década de 2000, generalmente era un ejercicio anual. Esas clases de capacitación para la población de usuarios en general se pueden haber ofrecido solo en la incorporación de los empleados o anualmente para todos los empleados durante una hora o dos.
Hoy vemos empresas y proveedores de servicios de capacitación en seguridad cibernética que ofrecen sesiones mucho más frecuentes, a veces incluso mensuales. Sin embargo, los programas de formación más frecuentes son de menor duración. De hecho, algunas sesiones pueden ser solo videos y cuestionarios de actualización de tres a cinco minutos.
Las sesiones de capacitación más breves y más frecuentes ofrecen múltiples ventajas, como menos tiempo fuera de la jornada laboral a la vez, mayor participación del usuario y mayor satisfacción del usuario. Quizás lo más importante es que el material de capacitación se puede actualizar más rápido para reflejar el panorama de amenazas en constante cambio.
Los videos son el formato preferido, pero la interacción del usuario es clave. Las sesiones de capacitación comienzan con recordatorios y actualizaciones sobre el panorama de amenazas. Los ejemplos del mundo real tienen el mayor impacto. Aproveche las noticias sobre seguridad cibernética que se han publicado. Probar el conocimiento de los usuarios al final de cada sesión puede ser esclarecedor para que las organizaciones midan la susceptibilidad de la fuerza laboral a las técnicas predominantes de los atacantes y cuantifiquen mejor esos riesgos. Esto puede servir como circuito de retroalimentación para capacitación adicional, aumento de la capacitación y otros controles de seguridad. Las pruebas también pueden ser divertidas para los usuarios si se hacen bien, con recompensas y refuerzos positivos por la participación y las respuestas correctas.
Los regímenes de entrenamiento actuales también cuentan con aprendizaje a su propio ritmo. Los usuarios reciben invitaciones para recibir capacitación cuando se ajusta a sus propios horarios. Esto evita conflictos con otros trabajos. Por supuesto, se deben establecer plazos y recordatorios para garantizar que se lleve a cabo la capacitación. Por otro lado, es valioso tener sesiones de capacitación cortas que interrumpan el trabajo no crítico. Esto es para abordar situaciones en las que los usuarios están realmente ocupados y es más probable que cometan errores de juicio que afecten negativamente la postura de seguridad de la organización.
Hay una serie de servicios de capacitación en seguridad cibernética para elegir que ofrecen este tipo de capacitación en múltiples formatos y estilos. Con la proliferación de ataques de apropiación de cuentas y ransomware, ahora es el momento de enfatizar las mejores prácticas de seguridad cibernética entre sus poblaciones de usuarios.
Recomendaciones
- Aumente la frecuencia de las sesiones de capacitación en seguridad cibernética para sus empleados, mientras disminuye la duración de cada sesión.
- Asegúrese de que el nuevo contenido de capacitación se base en información actualizada sobre amenazas.
- Busque servicios de capacitación en seguridad cibernética que brinden contenido personalizable que satisfaga las necesidades de su organización.
- Promover una cultura abierta que aliente a los usuarios a denunciar comportamientos sospechosos y recompense la vigilancia de la seguridad cibernética.