Cada organización requiere un programa de capacitación en seguridad impactante que capacite a los empleados para que desempeñen sus funciones de manera intuitiva y segura.
No importa cuán avanzadas se vuelvan las soluciones tecnológicas, el error humano y la negligencia siempre serán un riesgo predominante que las organizaciones deben mitigar de manera proactiva. Inculcar y mantener un buen comportamiento de seguridad es una medida fundamental para prevenir, identificar y responder a los incidentes de seguridad causados por “el factor humano”.
El hecho de que un programa de este tipo deba desarrollarse e implementarse internamente o subcontratarse a un proveedor externo depende del tamaño y la madurez de la función de seguridad de la información de una organización. Incluso aquellas organizaciones con la experiencia especializada y los recursos necesarios para desarrollar y ejecutar internamente un programa de capacitación en seguridad pueden recurrir a la capacitación como servicio como aporte a su programa.
Se debe diseñar un programa de capacitación en seguridad para permitir que los empleados identifiquen amenazas cibernéticas e informen incidentes de seguridad reales o sospechados. No debe entregarse de forma aislada, sino como un programa holístico basado en la teoría psicológica, que combina educación, capacitación y concientización sobre seguridad (comúnmente conocido como SETA) con iniciativas prácticas que guían a los empleados a tomar las decisiones de seguridad correctas.
El desarrollo de sistemas, aplicaciones y procesos de una manera que promueva un comportamiento seguro pero que no obstaculice la productividad (por ejemplo, a través de indicaciones visuales o de audio) permite a los empleados aplicar proactivamente lo aprendido de SETA. Es importante destacar que también les recuerda las opciones disponibles para ellos.
Al adquirir capacitación como servicio, los compradores deben alejarse de una mentalidad centrada en el cumplimiento para seleccionar una solución que sea más aplicable al contexto específico de la organización. Los compradores solo pueden saber qué solución necesitan si comprenden los factores que contribuyen a un comportamiento de seguridad deficiente.
Un paso preliminar es establecer la actitud de la fuerza laboral hacia la capacitación en seguridad (a menudo vinculada a la cultura corporativa), las restricciones impuestas por la seguridad que los empleados descartan como obstáculos para hacer su trabajo y su familiaridad general con las prácticas seguras. Este análisis pondrá a los compradores en la mejor posición para identificar lo que realmente necesitan en un programa de capacitación, para seleccionar la solución que funcionará mejor para su organización.
Para tener éxito, un programa de capacitación debe resonar con la audiencia; debe impartir los conocimientos, habilidades y competencias deseados, y debe transmitirse de una manera estimulante que motive a los empleados a comportarse con seguridad. Por lo tanto, los compradores deben considerar si el contenido se presenta en el nivel correcto: ¿puede adaptarse a funciones y responsabilidades específicas, y cómo se entrega ese contenido?
Los programas de capacitación deben tener un impacto positivo y mejorar la percepción del empleado sobre la seguridad de la información. Por lo general, esto requiere que el programa tenga algún tipo de interacción con su audiencia, ya sea a través de juegos u otros medios para reforzar el compromiso con el contenido, como cuestionarios cortos, competencias amistosas o tareas de resolución de problemas.
La receptividad de los empleados a la capacitación a menudo depende del estilo, el lenguaje, la narración y la narrativa adoptada por el programa de capacitación: ¿se alinea con las normas culturales, los valores y los mensajes que ya conocen los empleados? ¿Existe la opción de brindar la capacitación como un servicio con la marca propia de una organización o insertar mensajes personales del equipo de liderazgo de la organización para respaldar su importancia? Los campeones de seguridad pueden ser una forma útil de validar el beneficio de la capacitación en seguridad.
Los compradores también deben considerar el formato y la frecuencia de la capacitación. Muchas organizaciones optan por la capacitación anual, pero el microcontenido pequeño y digerible es más efectivo para el aprendizaje y la retención de información a largo plazo, especialmente dado el ritmo implacable del cambio. También se deben tener en cuenta los diferentes estilos de aprendizaje; esto es particularmente pertinente en las organizaciones globales.
Ya sea que una organización opte por entregar su programa de capacitación en seguridad internamente o subcontratarlo, el punto clave no es tratarlo como un ejercicio de casilla de verificación que simplemente requiere presupuesto, sino invertir el tiempo y el esfuerzo necesarios para asegurarse de que sea el correcto programa de formación en seguridad. Solo será posible inspirar un cambio de comportamiento positivo si las organizaciones entienden a qué responderá positivamente la mente humana.