“Los humanos son el eslabón más débil” ha sido el estribillo de la comunidad de seguridad de TI durante muchos años y, con los ataques de ingeniería social cada vez más prominentes y sofisticados, las personas de una organización seguirán siendo uno de sus mayores riesgos de seguridad.
A pesar de esto, educar esta línea central de defensa ha tendido a tener un enfoque basado en el cumplimiento, un ejercicio de ‘marcar casillas’ usando cursos genéricos disponibles que describen los peligros de la ingeniería social, con poca inclusión para crear conciencia sobre por qué. es necesario emprender capacitaciones. Quizás, como era de esperar, uno de los mayores desafíos es lograr que el usuario promedio del sistema complete este entrenamiento de seguridad cibernética, que a menudo se ve como un inconveniente y no como el habilitador clave para defender el perímetro que es.
Un enfoque basado en el riesgo
Sin embargo, en 2022, la capacitación y la concientización comenzaron a evolucionar para adoptar un enfoque de “riesgo humano” más equilibrado. Esto reconoce que existe un riesgo significativo de que las personas hagan clic en correos electrónicos de phishing y estafas de Business Email Compromise (BEC), y que se debe hacer más para administrarlo de la misma manera que otros riesgos organizacionales, con la aplicación de controles de mitigación y remediación específicos.
Un punto focal es el área de cambio de comportamiento. Si bien es posible mostrar si alguien ha completado un módulo de capacitación en seguridad cibernética, pocas herramientas de seguridad pueden indicar si la persona ha prestado atención y está tomando decisiones más inteligentes para reducir el riesgo que enfrenta todos los días. Modificar el comportamiento generalmente requiere un enfoque diferente, uno que incorpore capacitación específica, repetida a intervalos frecuentes para garantizar que los puntos clave se retengan y se actúe en consecuencia. (Esto debe llevarse a cabo sin sobrecargar al usuario con recordatorios constantes o ejercicios extensos, los cuales probablemente serán ignorados).
Por lo general, las áreas comerciales como recursos humanos, finanzas y soporte de TI reciben la mayor parte de la atención en la capacitación en seguridad cibernética, ya que tienen acceso a información confidencial o acceso privilegiado a aplicaciones y procesos. Pero un enfoque más avanzado es revisar todas las partes del negocio; el análisis de los informes de incidentes mostrará dónde se están materializando los riesgos, y las tasas de finalización de la capacitación, junto con los puntajes de las pruebas breves realizadas después del curso, indicarán dónde luchan las personas. El panorama de amenazas, y su cambio a lo largo del tiempo, también debe ser una consideración, ya que indicará dónde enfocarse en términos de mejorar el conocimiento y la conciencia del personal.
Yendo más allá, la capacitación debe graduarse en función de los riesgos que están presentes dentro de un rol de trabajo en particular y el impacto en el negocio, en caso de que la persona en ese rol se vea comprometida. La educación (y la prueba de esa educación) de un empleado que tiene acceso privilegiado a servidores, bases de datos o aplicaciones, por ejemplo, debe tener más rigor aplicado que la de alguien sin acceso a los activos de TI; Para hacer esto de manera efectiva, se requiere cierta alineación de la entrega de capacitación con el aprovisionamiento de identidad, en función del perfil de riesgo de los activos.
Herramientas de entrenamiento
Cuando se trata del contenido en sí mismo, la simulación de incidentes de seguridad es ahora un pilar de los programas de capacitación y concientización, y un componente clave para ayudar a las organizaciones a comprender su riesgo. Por lo general, toman la forma de simulaciones de phishing, que son invaluables para medir cómo reaccionan las personas cuando reciben algo sospechoso.
La gamificación, que se está volviendo cada vez más popular en muchas otras áreas de aprendizaje, es una forma de hacer que la capacitación en seguridad cibernética sea más divertida y atractiva; Permitir que los empleados representen un escenario de desastre puede demostrar la importancia de las medidas de seguridad al ayudarlos a visualizar cómo sería un ataque o una infracción de principio a fin.
Otros métodos de capacitación exitosos y creativos que las organizaciones han implementado incluyen hacer que los empleados vean programas de televisión relevantes (como Mr Robot) y convertir la capacitación en seguridad en una mini serie de televisión propia. Las sesiones facilitadas de “juegos de guerra” para altos directivos, en las que un lado actúa como atacante y el otro como defensor, también es una buena manera de ayudar a las personas a comprender algunas de las técnicas y desafíos. La clave es conocer a la audiencia y lo que funcionará para atraerlos.
También es importante reconocer la cultura de una organización y la ubicación geográfica de las personas. Algunas partes del negocio podrían reaccionar de manera diferente a los tipos de capacitación que se ofrecen. La gamificación, o la introducción de tablas de clasificación, puede ser un gran éxito en una parte de la empresa, por ejemplo, pero ridiculizada por otra.
hazlo personal
Un elemento clave de la actividad de formación y concienciación sobre seguridad es comunicar la responsabilidad que tienen los empleados de mantener la seguridad de la empresa, así como asegurarse de que perciban que existe una amenaza real. El contenido debe proporcionar ejemplos de la vida real que sean aplicables a la audiencia y al nivel de riesgo asociado con su rol y la industria. Enfatizar el impacto que un ataque podría tener en el empleado, así como en la organización, proporciona un gancho ‘emocional’ y alienta a las personas a ver qué pueden hacer para evitar ser víctimas en primer lugar.
Educar a los empleados sobre el riesgo cibernético en el contexto personal para que cambien su comportamiento al manejar su propia información probablemente también tenga un impacto positivo en sus acciones en el lugar de trabajo.
Un proceso en curso
La mayoría de las personas no se ocuparán abiertamente de la seguridad cibernética en sus tareas diarias, lo que significa que es posible que las habilidades y los hechos no se queden en sus mentes; por lo tanto, la capacitación debe ser un proceso continuo. Aquí es donde las herramientas integradas como KnowBe4 son útiles; la plataforma permite a las organizaciones enviar periódicamente ataques de phishing simulados en toda la empresa, probando el conocimiento de los empleados sobre el phishing y las reacciones ante él. Los correos electrónicos se pueden editar para imitar cualquier amenaza que puedan enfrentar los empleados, también alientan al personal a pasar por el proceso de informar el ataque dentro de su interfaz de correo electrónico, lo que proporciona un repaso físico de qué buscar y cómo tratarlo.
Zanahoria no se pega
La clave para una capacitación exitosa en concientización sobre seguridad es involucrar a todo el personal en el proceso general, y un contribuyente clave de este enfoque son los incentivos para reducir el riesgo basado en ataques cibernéticos, como bonos o regalos para los equipos con la tasa de clics más baja en correos electrónicos de phishing. , o elogiar públicamente a los empleados que identifican correctamente intentos de phishing genuinos o comportamientos sospechosos. La creación de ‘campeones de seguridad’ dentro del negocio proporciona una meta a la que se aspira, y la competencia entre divisiones o ubicaciones por el mejor desempeño en la capacitación puede ser beneficiosa.
Sin embargo, es fundamental evitar un enfoque punitivo; si alguien no pasa una prueba de simulación (o cualquier otro tipo de módulo de capacitación), el mensaje debe ser de apoyo y educativo. Hacer que las personas se sientan tontas conduce al resentimiento, a la falta de voluntad para realizar más capacitación y, potencialmente, a la renuencia a informar incidentes futuros por temor a volver a avergonzarse.
Una cultura segura
A medida que las organizaciones grandes y pequeñas continúan siendo afectadas por ataques cibernéticos, no hay duda sobre la necesidad de protección. La tecnología tiene muchas de las respuestas, pero debe reforzarse con empleados informados y comprometidos, cada uno de los cuales comprenda su papel para mantener alejados a los malos. Esto requiere un compromiso con la educación en seguridad cibernética, así como el deseo de que la capacitación evolucione para satisfacer mejor las necesidades de la empresa actual, al tiempo que ayuda a que la conciencia de seguridad sea parte de la cultura de la organización.