¿Cómo te están yendo esos propósitos de Año Nuevo? Con 2023 ya en marcha, es posible que muchas de sus mejores intenciones para el año ya se hayan ajustado, pospuesto o abandonado por completo. Después de todo, solo eres humano.
A menudo sucede lo mismo con la capacitación en seguridad cibernética de los empleados. En muchas organizaciones, se requiere que el personal complete un curso de capacitación una o dos veces al año. El contenido suele ser muy corporativo y la narración es relativamente genérica. Estas sesiones generalmente cubrirán mucho terreno en un período corto, explicando los riesgos comunes de seguridad cibernética, presentando políticas corporativas y destacando las mejores prácticas para mantener seguros los datos y los sistemas.
Si la sesión está bien diseñada, si se entrega de manera atractiva y si los empleados le prestan toda su atención, y eso ya es un montón de ‘si’, entonces los participantes pueden irse con las mejores intenciones para poner en práctica su nuevo conocimiento. . Pero pronto, las presiones de la vida laboral o el buen olvido pasado de moda entran en acción, echando por tierra su determinación. Rápidamente caen en los mismos viejos malos hábitos, prestando menos atención a medida que trabajan rápido, tratando de hacer tres cosas a la vez y, en consecuencia, volviéndose más susceptibles a los intentos de ingeniería social.
Es por eso que creo que, en 2023, debemos ir mucho más allá de la capacitación periódica en línea sobre seguridad cibernética si queremos ayudar a nuestra fuerza laboral a salir adelante de los malos. Necesitamos un enfoque más nuevo y mejor.
hábitos atómicos
Con esto en mente, recientemente revisé Hábitos atómicos de James Clearun número uno New York Times éxito de ventas con 10 millones de copias vendidas en todo el mundo. En su libro, el autor argumenta que la transformación real proviene del efecto compuesto de hacer pequeños cambios regulares en el comportamiento. Él llama a estos ‘hábitos atómicos’.
Como CISO, veo cómo este enfoque podría funcionar bien con la ciberseguridad corporativa. Por supuesto, las sesiones de capacitación periódicas aún pueden tener su lugar, pero una cultura de conciencia cibernética solo puede florecer cuando se alienta a los empleados a mantenerse al día y adherirse a las mejores prácticas a través de empujones regulares y oportunos en la dirección correcta.
Entonces, ¿cómo podría ser esto? Para mí, se trata de incorporar recordatorios de seguridad, alertas y capacitación en las actividades laborales diarias. Después de todo, cuando usa Google Docs o Microsoft Word, obtiene sugerencias de contenido, así como indicaciones de ortografía y gramática. Cuando usa el correo electrónico, recibe alertas sobre mensajes que pueden ser spam o contener enlaces sospechosos.
Este enfoque podría ir mucho más allá. Muchos productos SaaS ya cuentan con dichas indicaciones y protecciones; los usuarios pueden recibir una ventana emergente que explica por qué no pueden completar una solicitud en particular o se les puede pedir que confirmen su identidad con un método de verificación adicional para realizar una tarea en particular.
Como CISO, debemos responsabilizar a nuestros proveedores de software clave por incorporar esta capacidad en sus productos. Al mismo tiempo, debemos asegurarnos de que las aplicaciones y los servicios integrados ofrezcan niveles similares de protección y educación para los empleados.
Al mismo tiempo, debemos mejorar nuestro juego en lo que respecta al monitoreo de incidentes para que los eventos de seguridad, por pequeños que sean, se conviertan en oportunidades de aprendizaje para los empleados. Por ejemplo, deberíamos poder detectar comportamientos de riesgo, como cargar archivos confidenciales en dispositivos no autorizados, conectarse a redes Wi-Fi no seguras o usar aplicaciones en la nube no autorizadas para almacenar documentos corporativos. En cada situación, nuestro enfoque debe alertar al empleado sobre sus acciones y ayudarlo a comprender los riesgos de su comportamiento: ‘Es por eso que lo que está haciendo no es seguro y así es como debe proceder’.
Y con los enfoques de análisis e informes adecuados, también podemos utilizar datos sobre comportamientos descuidados o accidentales para evaluar la eficacia de nuestros controles de seguridad, identificar áreas de mejora e incorporar nuevas oportunidades de aprendizaje en los puntos óptimos de cualquier flujo de trabajo para mantener a los empleados al día.
Cambio de comportamiento
La elegancia de este enfoque es que tiene el potencial de apuntar a los hábitos indeseables y corregirlos antes de que se produzca un daño real. Mantiene fresca la necesidad de conciencia cibernética en la mente de los empleados de una manera que no lo hace el aprendizaje periódico. Y los recordatorios podrían estar dirigidos a los empleados que más lo necesitan, brindando ajustes y recordatorios cuando se observan malos hábitos y continuar haciéndolo hasta que su comportamiento cambie.
Es un gran paso adelante respecto a la entrega periódica de información básica a los empleados, muchos de los cuales ya pueden estar al tanto de la información que se entrega. Otros empleados pueden lograr un nivel básico de conocimiento a través de estas sesiones, pero lo más probable es que no puedan mantenerlo.
Los pequeños empujones regulares en la dirección correcta son una mejor manera de establecer el tono correcto cuando se trata de conciencia cibernética: las mejores prácticas de seguridad no son una carga destinada a ralentizar el trabajo, sino que son parte de la responsabilidad de cada empleado para mantener seguros los datos y sistemas de la organización.