Todos los empleados deben ser conscientes de los riesgos de seguridad cibernética y las acciones básicas que deben tomar, como informar correctamente sobre los ataques de phishing sospechosos. Otros, incluido el personal de TI, necesitan una formación más profunda.
También existe un requisito legislativo para la capacitación en seguridad cibernética. La Ley de Protección de Datos de 2018 establece en el capítulo 4, sección 71, subsección 2, que:
“En relación con las políticas mencionadas en el inciso (1)(e), las tareas del oficial de protección de datos incluyen:
- Asignación de responsabilidades bajo dichas políticas.
- Sensibilizar sobre esas políticas.
- Capacitar al personal involucrado en las operaciones de procesamiento.
- Llevar a cabo las auditorías requeridas bajo esas políticas”.
Mientras tanto, la sección B6 de la guía del Marco de Evaluación Cibernética del Centro Nacional de Seguridad Cibernética aboga por la capacitación en seguridad para el personal.
Los métodos tradicionales de educar al personal en la conciencia de la seguridad, como por ejemplo mediante presentaciones, a veces pueden generar aburrimiento y apatía. Algunos también pueden ver la capacitación en seguridad como un ejercicio de marcar casillas.
Para protegerse a sí mismas y a su personal, las organizaciones deben encontrar formas atractivas de presentar su capacitación en seguridad cibernética, de modo que atraiga activamente a los empleados.
Una técnica ampliamente utilizada para mejorar el compromiso es realizar una prueba al final de la sesión de capacitación. Cuando a los asistentes se les informa que se espera que respondan una serie de preguntas para aprobar una sesión de capacitación, tienden a estar atentos. “Donde la capacitación no tiene una prueba al final, las personas simplemente intentan superarla lo más rápido posible”, dice Colin Tankard, director general de Digital Pathways.
Gamificación del entrenamiento
La gamificación es un intento de mejorar los sistemas y actividades mediante la creación de experiencias similares a las de los juegos, con el fin de motivar e involucrar a los usuarios, al tiempo que aumenta su confianza. Esto normalmente se hace mediante la aplicación de elementos de diseño de juegos y principios de juegos (dinámicas y mecánicas) en contextos que no son de juegos. La investigación sobre la gamificación ha demostrado que tiene efectos positivos.
Las técnicas de gamificación están destinadas a aprovechar nuestros deseos naturales de socialización, aprendizaje, dominio, competitividad, logro o simplemente nuestra respuesta natural a una situación que se enmarca como un juego. Algunas técnicas utilizadas en este enfoque incluyen agregar opciones significativas, introducir nuevos conceptos a través de un tutorial, aumentar el desafío y agregar una narrativa a la experiencia.
Algunos han descartado la ludificación como una moda pasajera, pero la aplicación de elementos que se encuentran dentro del juego, como competir o colaborar con otros y sumar puntos, puede traducirse de manera efectiva en la capacitación del personal y mejorar el compromiso y el interés.
“La forma en que se llevan a cabo las sesiones de capacitación en seguridad cibernética está cambiando y es para mejor”, dice Helen McCullagh, especialista en riesgos cibernéticos para una organización de usuarios finales. “Si observa el compromiso de sentar a las personas y hacer un curso de una hora cada año, entonces es simplemente un ejercicio de marcar casillas. Las organizaciones están tratando de obtener un cumplimiento del 100 %, pero lo que hay es gente sentada haciendo su lista de compras”.
Integración de la colaboración en la formación
El simple hecho de dividir a los asistentes en grupos y hacer que compitan entre sí fomenta la participación. Esta es la razón por la cual los ejercicios de creación de equipos a menudo se basan en una serie de tareas grupales que requieren colaboración. “Si sientas a un grupo de adultos en una habitación y luego los pones en equipos, los vuelves competitivos y van a intentarlo, al diablo con el cuero”, dice McCullagh. “Van a salir de sus caparazones y van a hablar entre ellos”.
McCullagh recuerda: “Hace unos cuatro años, tuvimos la idea interesante de que había muchas salas de escape [where players need to work together to solve a series of puzzles to escape from a room] y provocó la conversación en nuestro equipo. Nos dimos cuenta de que si hacíamos esto de forma ligeramente diferente, interesaría un poco más a la gente. La forma en que desarrollamos la sala es para que estén atentos a los controles de seguridad dentro de una sala. Los haremos mirar una fotografía de un espacio de oficina, mostrando dónde están los riesgos. Son las cosas más divertidas de hacer, pero también tienen un gran impacto”.
Otro ejemplo ha sido un juego de cartas al estilo Top Trumps, en el que los jugadores tienen un presupuesto fijo y necesitan crear una capacidad de seguridad cibernética que abarque personas, tecnología y procesos. Una vez que cada jugador ha terminado, se evalúa cada estrategia y gana el jugador con la capacidad más fuerte.
Aunque esto puede parecer divertido y frívolo, puede mejorar la experiencia de aprendizaje. Al incorporar los principios de la seguridad cibernética en el medio de un juego, los jugadores pueden interactuar con el tema sin sentirse abrumados o intimidados. “La gamificación a veces puede simplificarlo”, dice Tankard. “Ahí es donde, en el mundo cibernético, hay que tener mucho cuidado entre hacer que el empleado lo disfrute y mantenerlo serio. He visto algunas formas realmente interesantes de entrenar en ese término medio”.
También existe la gestión de desastres simulada, en la que se simulan incidentes cibernéticos para brindar al personal una experiencia práctica de un hackeo sin ningún riesgo para la red. Se puede calificar al personal según sus acciones durante la simulación y qué tan bien colaboran entre sí. Con un registro de evaluación adecuadamente granular, las organizaciones podrán identificar áreas clave en las que centrarse en la formación.
También existen videojuegos que enseñan conceptos de seguridad. Un ejemplo de esto es CyberCIEGE, que está estructurado de forma similar al Sims videojuegos. En CyberCIEGE, los jugadores asumen el papel de un administrador de TI para una pequeña organización y depende de ellos defenderse contra diferentes tipos de ataques cibernéticos. Los jugadores compran y configuran estaciones de trabajo, servidores, sistemas operativos, aplicaciones y dispositivos de red. Deben mantener un equilibrio entre productividad y seguridad, dentro de estrictas restricciones presupuestarias. En escenarios más largos, los jugadores avanzan a través de una serie de etapas y deben proteger activos corporativos cada vez más valiosos contra ataques en aumento.
“Integramos la simulación de seguridad de la red en un videojuego mediante el uso de tensiones de administración de recursos empleadas por juegos como SimCity y Magnate de la montaña rusaque eran juegos relativamente nuevos cuando CyberCIEGE se desarrolló inicialmente hace 20 años”, dice Michael Thompson, un investigador asociado en el Escuela de Postgrado Naval.
“Los estudiantes deben proporcionar a los personajes del juego recursos informáticos que les permitan alcanzar sus objetivos, que incluyen el acceso a los activos de información. CyberCIEGE tiene algunos escenarios introductorios y de capacitación simples, pero en el corazón del juego hay escenarios que requieren que los estudiantes desarrollen una comprensión de los conceptos de seguridad informática y de redes”.
Formación dirigida a la audiencia
Para maximizar la utilidad y el compromiso, la capacitación también debe diseñarse adecuadamente para la audiencia mediante la comprensión de sus necesidades y conjuntos de habilidades actuales. Tankard dice: “La capacitación debe estar en el nivel correcto para las personas, lo que a veces se ve cuando la capacitación no es generalizada. No hay nada más frustrante que cuando estás muy por encima de su nivel”.
Todo el personal requiere cierto nivel de capacitación continua en seguridad, pero la capacitación en profundidad debe estar dirigida a las personas específicas que más la necesitan. “Puedes ver a las personas que son observadores y aquellas que necesitan un poco más de capacitación”, dice Tankard. “La puntuación facilita que los equipos de TI y la gente de gobierno sepan en qué nivel se encuentra la fuerza laboral”.
El sector de la seguridad, especialmente aquellos en el campo de las operaciones, están familiarizados con los juegos y muchos son jugadores. Como tal, se sentirán cómodos con muchos de los elementos y lenguaje gamificados en la capacitación gamificada. Sin embargo, aquellos que no están directamente involucrados pueden no estar familiarizados con los juegos y pueden no apreciar la metodología utilizada, o pueden no ver los méritos de la misma.
Entrenamiento en movimiento en línea
Desde la pandemia, la capacitación en seguridad se ha estado moviendo en línea y también los procesos de gamificación, aunque virtualmente. Si bien las sesiones de capacitación en línea naturalmente disminuyen el aspecto presencial, pueden mejorar una mayor colaboración entre equipos, ya que ya no están limitados geográficamente. Al tener a todos enfocados en un objetivo específico, pueden trabajar juntos en un entorno virtual. “Al recibir capacitación en línea, la colaboración es mejor, ya que puede colaborar con personas en diferentes países”, dice McCullagh.
Pero centrarse en la capacitación como un juego puede volverse contraproducente porque puede retrasar la implementación de un régimen de capacitación, y cualquier capacitación es mejor que ninguna. “Hacerlo entretenido, eso es lo secundario”, dice Tankard. “Lo primero es colocar algo en su lugar y ponerlo en marcha, esa es la clave”.
La capacitación en seguridad cibernética y la forma en que se presenta está cambiando, pero en nuestro mundo conectado, con amenazas cada vez mayores, la capacitación debe evolucionar y volverse más atractiva. McCullagh concluye: “Si sientas a la gente con otros miembros del equipo y haces una sesión corta, los involucra y los atrae. Si los llevas en un viaje o los haces competir entre sí, de repente se vuelven comprometidos y necesitan saber, por ejemplo, cuánto tiempo se tardará en adivinar esta contraseña”.