Algunos ya han comenzado a presupuestar para 2024 y a asignar fondos a áreas de seguridad dentro de sus organizaciones. Es seguro decir que el entrenamiento de concienciación de seguridad de los empleados es uno de los gastos, también. Sin embargo, su eficacia es una pregunta abierta y la gente sigue participando en comportamientos inseguros en el lugar de trabajo. Además, el engaño social sigue siendo uno de los ataques más frecuentes, seguido de una violación exitosa de datos. Microsoft encontró que un popular formulario de entrenamiento basado en videos reduce el comportamiento de clics de phish en alrededor del 3%, como máximo. Este número ha sido estable durante los años, dice Microsoft, mientras que los ataques de phishing aumentan anualmente.
Sin embargo, las organizaciones confían en el entrenamiento y tienden a aumentar sus inversiones en seguridad en el entrenamiento de empleados después de los ataques. Viene en segundo lugar en la lista de prioridades para el 51 % de las organizaciones, justo después de la planificación y prueba de respuesta a incidentes, según el informe «Costo de la Brecha de Datos 2023» de IBM Security.
Entonces, ¿qué sucede con el entrenamiento de concienciación de seguridad que nos impide renunciar a él? Examinamos encuestas, hablamos con ingenieros de seguridad de TI y discutimos el contenido de entrenamiento con los creadores de un nuevo curso de ciberseguridad.
La gente quiere aprender, pero no tiene tiempo
La baja eficiencia del entrenamiento ya no puede ser justificada por la falta de interés de los empleados. Un sorprendente 64% de los encuestados por CybSafe pidieron tiempo asignado para ajustar las sesiones de concienciación de seguridad en su horario de trabajo. Además, el 43% de los empleados encontró que el compromiso y la interactividad eran estímulos más convincentes que las recompensas financieras, expresando una necesidad de experiencias dinámicas y prácticas. Como lo señala CybSafe, «Esto apunta a una fuerza laboral que valora la integración del entrenamiento en su rutina sobre las recompensas externas».
El tiempo es el recurso más crucial que se interpone en el camino del aprendizaje de la ciberseguridad. A menudo se espera que los empleados cumplan con plazos de entrega en períodos cortos de tiempo. En un entorno laboral acelerado, saltarse un entrenamiento prolongado y completar tareas diarias para satisfacer KPI es simplemente más fácil.
Pero hay profesionales de la ciberseguridad que están dispuestos a adaptarse a la forma actual de trabajo y la corta capacidad de atención. Cybersecuritoons es un curso de ciberseguridad diseñado para proporcionar fundamentos de seguridad en solo 1 minuto y 30 segundos. En lugar de los habituales videos y presentaciones largas, Cybersecuritoons cubre cuatro temas principales en 4 cortometrajes: contraseñas, phishing, trabajo remoto y malware. En general, todo el curso dura 6 minutos.
Los creadores de Cybersecuritoons son un equipo de expertos de Moonlock, una división de ciberseguridad de una empresa de desarrollo de software – MacPaw. «La misión de Moonlock es hacer que la ciberseguridad sea accesible para todos», dice Oleg Stukalenko, gerente de producto líder de Moonlock. «Primero, integramos nuestra propia tecnología antimalware, Moonlock Engine, en uno de los limpiadores macOS más populares en la App Store – CleanMyMac X. Tiene un gran botón que resuelve todos los problemas del sistema, incluida la eliminación de malware. Ahora, lanzamos un curso de ciberseguridad divertido y breve disponible para cualquiera en YouTube».
Moonlock está dando en el clavo al elegir contenido de formato corto. Los creadores de contenido ya no pueden contar con la atención ininterrumpida de las personas, y esto también se aplica al contenido de ciberseguridad. Con horarios de trabajo ocupados, el entrenamiento a medida seguido de práctica relevante y sesiones interactivas es una forma preferida y más efectiva de actualizar el conocimiento sobre ciberseguridad.
Solución humana para errores humanos
El estrés, la presión para cumplir con los plazos y el agotamiento son las razones por las cuales los humanos cometen errores y se ven afectados por trucos de ingeniería social. Cuando Tessian encuestó a los trabajadores para el informe «Psicología del Error Humano», el 50% de los encuestados dijeron que estaban bajo presión debido a la falta de tiempo cuando enviaron el correo electrónico equivocado a la persona equivocada o con el archivo adjunto incorrecto.
Los departamentos de seguridad pueden instalar la tecnología más avanzada en varias líneas de defensa, pero solo un clic hecho por un humano puede hacer que todas las herramientas y firewalls sean redundantes. En cualquier forma, el entrenamiento de conciencia es un recordatorio suave de una rutina diaria que puede salvar a nuestras organizaciones de millones de dólares de pérdidas financieras y de reputación. IBM Security dice que hubo una diferencia de USD 1,5 millones, o 33,9%, en el costo de la brecha de datos entre compañías con una adopción alta y baja del entrenamiento de concienciación de seguridad en el lugar de trabajo.
La realidad es que debemos enseñar a los empleados a ser mejores guardianes de la tecnología de seguridad corporativa. Juntos tenemos las herramientas para crear la dimensión humana de la resiliencia contra los ciberataques e impactar directamente en la formación de procesos de seguridad por diseño dentro de nuestras organizaciones. Las estadísticas muestran sin piedad que la mayoría de los ataques se pueden evitar siguiendo las prácticas de seguridad mínimas. Es por eso que veremos más contenido como Cybersecuritoons en el futuro cercano: cortos, diseñados para diferentes niveles de experiencia en seguridad y accesibles. De hecho, se espera que el mercado de entrenamiento de ciberseguridad alcance los $10 mil millones para 2026. Eso es un largo camino desde cerca de $1 mil millones en ingresos anuales en 2014.
Cómo la retroalimentación transforma el entrenamiento de concienciación
Como en cualquier enfoque centrado en el ser humano, la construcción de un firewall humano debe considerar el hecho de que los seres humanos son diferentes. Esto sitúa a los equipos de seguridad en una posición para revisar su estrategia de entrenamiento de conciencia de seguridad continuamente. Cambian la perspectiva de la educación formal a equipar a sus colegas con herramientas para ayudar a los profesionales de seguridad en caso de un ciberataque.
En MacPaw, una empresa de desarrollo de software y hogar de Moonlock y Cybersecuritoons, existe una fuerte creencia de que la seguridad de la organización reside en todo el equipo. Artem Bovtiukh, ingeniero de seguridad de TI de MacPaw, dice que aunque el objetivo principal del entrenamiento regular de conciencia es recordar los fundamentos de la higiene de seguridad, lo más importante es cultivar una cultura de seguridad de retroalimentación en la empresa. «La eficacia del entrenamiento se ve a través de nuestras auditorías internas. Pero el resultado más valioso es cómo nuestros colegas prestan atención a los eventos sospechosos y nos los reportan», dice Artem.
La retroalimentación también ayuda al equipo de seguridad a dar forma a la entrega del entrenamiento. Artem señala que todos pueden acercarse a ellos con preguntas, sospechas y opiniones sobre temas de ciberseguridad cotidianos. Todos serán considerados durante la composición del contenido en el siguiente entrenamiento de empleados. «Nuestra experiencia muestra que el mejor incentivo para completar las sesiones de seguridad no se encuentra en el tiempo de finalización o en el mero hecho de la finalización», comparte Anastasia Hutorova, Especialista en Aprendizaje y Desarrollo en MacPaw. «Somos transparentes sobre los objetivos del entrenamiento, los impactos del mismo, cómo se alinea con los objetivos comerciales o / y los OKR de la empresa, y qué papel desempeña en el desarrollo profesional de nuestros colegas».
MacPaw alienta a todos los equipos a tomar días libres para pasar por materiales de concienciación de seguridad. Según la política, hay días dedicados a la educación que todos los miembros del equipo pueden utilizar para concentrarse en obtener nuevos conocimientos, incluidos los conocimientos de ciberseguridad. Volviendo a la falta de tiempo como la razón principal por la que los empleados saltan el entrenamiento o se entregan a comportamientos inseguros en el trabajo, la idea de asignar tiempo dedicado suena más que razonable.
