Imagínese esto: como parte de un ejercicio para concienciar sobre la seguridad, los empleados ingresan a una habitación. Una “sala de escape” de seguridad operativa física y real, que al principio parece una sala de oficina normal. Pero a medida que las personas miran más de cerca, interpretando a ingenieros sociales criminales que irrumpieron en el edificio, comienzan a detectar información que pueden usar con fines nefastos.
Por ejemplo, hay una contraseña en una papelera. Y queda una reunión por videoconferencia sin cerrar. Alrededor de los participantes hay pistas que podrían ayudarles a explotar el negocio. La esperanza es que esta experiencia les ayude a ver a través de los ojos de un criminal y les permita comprender la importancia de la seguridad física. Una vez que hayan terminado, el objetivo es que recuerden la necesidad de mantener limpias cosas como pizarras blancas, computadoras portátiles cerradas y documentos ocultos o triturados para proteger a la empresa.
Este es el tipo de entrenamiento de conciencia de seguridad que Kim Burton, responsable de confianza y cumplimiento de Tessian, ha utilizado para asegurarse de que la formación deje huella en los empleados.
Todavía se necesita desesperadamente una formación de concientización duradera, ya que el error humano es responsable de muchas filtraciones y eventos de pérdida de datos. De hecho, el más reciente Informe de investigaciones de violación de datos de Verizon descubrió que el 74% de las infracciones involucraban el elemento humano, que incluye ataques de ingeniería social, errores o uso indebido.
Las cifras también revelan que muchas empresas todavía no imparten formación de sensibilización. Nuevo datos de Hornetsecurity descubrió que el 33% de las empresas no brindan ninguna capacitación sobre concientización sobre ciberseguridad a los usuarios que trabajan de forma remota, una solución común en un mundo post-COVID. Y aquellas organizaciones que brindan capacitación en concientización, ya sea a empleados presenciales o remotos, a menudo la administran solo una vez al año. Esto está lejos de ser efectivo, según Lisa Plaggemier, directora ejecutiva de la Alianza Nacional de Seguridad Cibernética, quien tiene una larga trayectoria en el desarrollo y ejecución de programas de concientización sobre seguridad.
Es hora, dice, de que las organizaciones se unan en lo que respecta a una concientización efectiva.
“Breve pero frecuente; No más tonterías que se repiten una vez al año”, afirma.
Vaya más allá del cumplimiento
Pero una mayor frecuencia es sólo una de las muchas formas en que la capacitación moderna en concientización sobre seguridad debe mejorar. En un panorama de amenazas en constante evolución, ¿cómo es una formación eficaz en materia de concienciación sobre la seguridad?
"En la Alianza Nacional de Ciberseguridad, muchos de los comportamientos que intentamos influir son los mismos, por lo que el consejo es el mismo (usar MFA, denunciar phishing, etc.), pero los entregamos a través de mensajes únicos a lo largo del tiempo", dice Plaggemier. "Esos mensajes utilizan diferentes enfoques: contar historias desde la perspectiva de la víctima, contar historias desde la perspectiva del defensor, aprovechar los acontecimientos actuales en los titulares".
Convincente, oportuno, atractivo y memorable. Suena simple, ¿verdad? Pero no lo es. El problema clave que frena a muchas empresas es la actitud, dice el Dr. Jason Nurse, director de ciencia e investigación de CybSafe y profesor asociado de seguridad cibernética en la Universidad de Kent.
"Muchos programas de concientización sobre seguridad todavía fracasan porque la organización considera la capacitación como una casilla que debe cumplirse", afirma. "Las organizaciones a menudo se centran en el cumplimiento y el cumplimiento de los requisitos básicos, lo que puede dar lugar a una formación que carece de profundidad y compromiso".
Crear conciencia "pegajosa"
¿Cómo pueden los líderes de seguridad elaborar un programa que vaya mucho más allá de los mandatos de cumplimiento y convertir la capacitación en algo que la gente no sólo recuerde, sino que realmente utilice cuando se enfrente a decisiones basadas en riesgos?
Una forma es entregar el contenido a través de un canal de comunicación que les funcione, dice Nurse. Investigación realizado por CybSafe a principios de este año encontró que es probable que el 79% de los trabajadores de oficina sigan los consejos de seguridad proporcionados en las plataformas que usan a diario, como Slack y Teams. Y el 90% de los encuestados pensó que los empujones de seguridad en las plataformas de mensajería instantánea serían valiosos. De manera similar, las personas que recibieron información cibernética diaria y semanalmente tenían el doble de probabilidades de recordar toda su capacitación que aquellos que la recibieron mensual, trimestral o anualmente.
"Si bien una comprensión básica de la ciberhigiene es esencial a través de una capacitación periódica y atractiva, es igualmente crucial ayudar a los empleados cuando lo necesitan en un formato útil", dice Nurse. “La formación debería ir más allá de la mera transmisión de información; debe guiar a las personas sobre cómo comportarse de forma segura en sus actividades diarias. Además, debería garantizar que las personas sepan dónde buscar ayuda cuando la necesiten”.
Otra forma de hacerlo significar más es hacer que la capacitación esté basada en roles. Una solución única es “necesaria hasta cierto punto para el cumplimiento”, dice Plaggemier, “pero una vez que haya cumplido con su obligación de cumplimiento, las personas deberían recibir capacitación adecuada para su función y los riesgos específicos que los afectan. "
Burton de Tessian dice que además de hacerlo demasiado genérico, muchas organizaciones no consideran la cultura y el panorama general al diseñar la capacitación.
“Los programas no tienen en cuenta las experiencias holísticas de los empleados, como la cultura actual de la organización, las señales actuales del liderazgo sobre la importancia de las prácticas seguras y dónde se le pide al empleado en general que utilice la mayor parte de su tiempo y energía”, afirma. "Los programas de concientización sobre seguridad pueden descuidar a los empleados que no son ingenieros, y los ingenieros pueden carecer de tutoría para integrar el material en su práctica".
“No existe una única manera correcta de capacitar a las personas para que estén ciberseguras. Sólo existe el camino correcto para su organización, departamento o equipo”, añade Nurse.
Juega en la habitación
Otro factor importante para la conciencia pegajosa es conocer a tu audiencia, dice Burton. Como buen comediante, debes comprender para quién estás interpretando si quieres que recuerden lo que les estás contando.
"El primer paso es la empatía", dice. “El educador en seguridad necesita una comprensión profunda de las personas a las que enseña. La repetición durante un período de tiempo más largo mientras se presenta el contenido de diversas maneras también garantizará la recuperación. Y por último, no olvides divertirte. Las organizaciones frecuentemente pierden interés y compromiso por miedo a ser demasiado raras. Sin embargo, es más probable que las personas conserven contenido único. ¡Lo raro es bueno! ¡Sé divertido, sé creativo, encuentra la alegría!
Burton, además de la sala de escape, también hizo que los empleados participaran en un concurso de cuentos en el que se les pedía que escribieran un "cuento espeluznante de Halloween" sobre cómo atacarían a la empresa. También ha creado narrativas que colocan a las personas en la posición de analistas de seguridad de la empresa, en las que tienen que evaluar la seguridad de los proveedores externos.
La formación en seguridad más eficaz, afirma, cubre los riesgos fundamentales que preocupan a la empresa; está adaptado a la audiencia; los conceptos se presentan a lo largo del tiempo y de diversas formas; y el material es memorable debido a su entrega, humor o experiencia creativa únicos.
"El componente clave ha sido, y siempre será, centrarse en las personas mismas".
CÓMO PASAR DE UNA CONCIENCIA DE SEGURIDAD OLVIDABLE A MEMORABLE
La formación estricta en materia de concienciación sobre la seguridad puede resultar difícil de alcanzar para muchas organizaciones. Y dado que el 74 % de los eventos de seguridad están directamente relacionados con errores humanos, es importante encontrar formas de llegar a los empleados y ayudarlos a comprender los riesgos cibernéticos. Kim Burton, jefa de confianza y cumplimiento de Tessian, utiliza una variedad de técnicas de capacitación en concientización en sus programas. Estos son los principios importantes que, según ella, se deben tener en cuenta al crear un programa en su propia empresa.
- Trabaje con la forma en que trabaja la gente: Utilice información sobre cómo funciona la memoria humana, cómo aprenden los seres humanos y qué incentivos proporcionan los mejores resultados a largo plazo.
- Enfoque integral: Comprender a los empleados. ¿Qué presiones enfrentan? ¿Cómo es la cultura local? ¿Cómo es la cultura interna? ¿Qué antecedentes profesionales tienen estas personas? ¿Cómo se percibe internamente actualmente al equipo de seguridad o al equipo de TI? ¿Los ejecutivos defienden la seguridad?
- Cuenta historias: Comparte anécdotas reales, cuenta historias de la industria o de tu experiencia y utiliza ejemplos. Esto ayuda a las personas a verse a sí mismas en la narrativa. Idealmente, cada individuo podría ver cómo contribuye de manera única a la historia de seguridad de la organización.
- Gamificación: Vaya más allá de una tabla de clasificación. Haga que interactuar con contenido de seguridad sea divertido utilizando su conocimiento sobre cómo trabajan las personas y la experiencia integral de trabajar en su empresa. Haga rompecabezas, fomente la curiosidad y el misterio, recree el placer del descubrimiento en el aprendizaje, señale el progreso y utilice refuerzo positivo para comportamientos seguros.
- Generar confianza: Construir relaciones internamente. Conviértase en una fuente confiable de información, pero también en una persona segura con quien ser vulnerable sobre conceptos difíciles, errores de seguridad y preocupaciones generales. El educador en seguridad debería ser una de las personas más conocidas dentro del negocio.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :posee
- :es
- :no
- :dónde
- 7
- a
- Poder
- Nuestra Empresa
- Conforme
- Mi Cuenta
- Actúe
- actividades
- real
- adición
- Añade
- administrar
- consejos
- afectar
- Todos
- Alliance
- también
- hacerlo
- an
- analista
- y
- Anualmente
- cualquier
- enfoques
- adecuado
- somos
- en torno a
- arreglo
- AS
- Consejos
- At
- atacar
- ataques
- actitud
- las ventas
- conciencia
- Atrás
- antecedentes
- básica
- BE
- porque
- a las que has recomendado
- esto
- comportamientos
- "Ser"
- los seres
- MEJOR
- Más allá de
- Big
- En el gran esquema del universo
- Box
- incumplimiento
- infracciones
- Rompió
- build
- Construir la
- pero
- by
- PUEDEN
- campeón
- Channel
- más cerca
- proviene
- Algunos
- Comunicación
- Empresas
- compañía
- compliance
- componente
- conceptos
- preocupado
- Inquietudes
- Congreso
- Considerar
- constantemente
- contenido
- contribuir
- Core
- podría
- Cubiertas
- creado
- Creamos
- Estudio
- Abogados de
- crucial
- Cultura
- la curiosidad
- Current
- En la actualidad
- ciber
- seguridad cibernética
- La Ciberseguridad
- todos los días
- datos
- Violacíon de datos
- De pérdida de datos
- día a día
- decisiones
- profundo
- Grado
- deleitar
- entregamos
- entrega
- Departamento
- profundidad
- desesperadamente
- el desarrollo
- una experiencia diferente
- difícil
- directamente
- Director
- descubrimiento
- do
- documentos
- sí
- don
- hecho
- dr
- dos
- cada una
- Más temprano
- Eficaz
- elementos
- empatía
- Nuestros
- personas
- fomentar
- energía
- de su negocio.
- interactuando
- Ingeniería
- certificados
- garantizar
- Participar
- igualmente
- error
- Errores
- escapar
- esencial
- etc.
- evaluar
- Eventos
- evolución
- ejemplo
- ejemplos
- ejecutivos
- Directora Ejecutiva
- ejecutivos.
- Haz ejercicio
- experience
- Experiencias
- Explotar
- externo
- Ojos
- Cara
- enfrentado
- hecho
- factor
- FALLO
- Otoño
- muchos
- miedo
- Finalmente
- Encuentre
- Nombre
- plano
- Focus
- formato
- encontrado
- Frecuencia
- frecuente
- frecuentemente
- Desde
- diversión
- gracioso
- Además
- General
- obtener
- Go
- objetivo
- candidato
- guía
- tenido
- Víspera de Todos los Santos
- Tienen
- he
- cabeza
- Titulares
- ayuda
- serviciales
- ayuda
- aquí
- esta página
- Oculto
- historia
- tenencia
- holístico
- esperanza
- Cómo
- Como Hacer
- Sin embargo
- HTTPS
- humana
- Elemento humano
- humor
- idealmente
- if
- importancia
- importante
- mejorar
- in
- Incentivos
- incluye
- INSTRUMENTO individual
- individuos
- energético
- influir
- información
- instantáneo
- integrar
- intereses
- interno
- internamente
- dentro
- Presentamos
- Investigaciones
- involucra
- IT
- SUS
- jpg
- solo
- Guardar
- Clave
- Kim
- Tipo
- Saber
- Conocer
- especialistas
- Falta
- paisaje
- ordenadores portátiles
- los líderes
- Liderazgo
- APRENDE:
- aprendizaje
- izquierda
- aprovechando
- como
- que otros
- local
- cerrado
- Largo
- compromiso a largo plazo
- por más tiempo
- Mira
- parece
- MIRADAS
- perder
- de
- Lote
- para lograr
- Realizar
- mandatos
- muchos
- marca
- materiales
- Puede..
- personalizado
- reunión
- memorable
- Salud Cerebral
- tutoría
- la vida
- mensajería
- MFA
- mente
- errores
- mal uso
- Moderno
- mensual
- más,
- MEJOR DE TU
- movimiento
- se mueve
- debe
- Mystery
- NARRATIVA
- narrativas
- Nacional
- necesario
- ¿ Necesita ayuda
- Nuevo
- no
- obligación
- of
- Oficina
- a menudo
- on
- una vez
- ONE
- , solamente
- operativos.
- or
- organización
- para las fiestas.
- salir
- resultados
- Más de
- EL DESARROLLADOR
- parte
- Participantes
- Contraseña
- Personas
- La gente trabaja
- percibidas
- período
- persona
- la perspectiva
- suplantación de identidad
- los libros físicos
- imagen
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- jugando
- punto
- posición
- positivo
- prácticas
- presentó
- presiones
- Problema
- Profesional
- Profesor
- Programa
- Programas
- Progreso
- proteger
- proporcionar
- previsto
- proporcionando
- fines
- poner
- Rompecabezas
- RE
- en comunicarse
- real
- recibido
- aprovecha
- reciente
- regular
- Relaciones
- recordarlo
- sanaciones
- Informes
- Requisitos
- la investigación
- encuestados
- responsable
- resultado
- conservar
- género
- Derecho
- riesgos
- Función
- Conferencia
- correr
- s
- ambiente seguro
- mismo
- dice
- Ciencia:
- seguro
- segura
- EN LINEA
- Conciencia de seguridad
- Los eventos de seguridad
- ver
- EL EQUIPO
- Forma
- Compartir
- ella
- En Corto
- tienes
- señales
- Del mismo modo
- sencillos
- flojo
- So
- Social
- Ingeniería social
- algo
- Fuente
- soluciones y
- Spot
- comienzo
- paso
- pegajoso
- Sin embargo
- Historias
- Historia
- la narración
- tal
- seguro
- adaptado
- ¡Prepárate!
- cuento
- Educación
- equipo
- equipos
- técnicas
- les digas
- narración
- principios
- esa
- La
- su
- Les
- sí mismos
- Ahí.
- Estas
- ellos
- cosas
- así
- este año
- aquellos
- pensamiento
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- Atado
- equipo
- oportuno
- a
- juntos
- demasiado
- Entrenar
- Formación
- Confía en
- de confianza
- tratando de
- Twice
- entender
- comprensión
- único
- únicamente
- universidad
- utilizan el
- usado
- usuarios
- usos
- usando
- Valioso
- variedad
- Ve
- vendedores
- Verizon
- Víctima
- Video
- video conferencia
- vistas
- Vulnerable
- quieres
- Camino..
- formas
- we
- una vez por semana
- bien conocido
- tuvieron
- ¿
- Que es
- cuando
- sean
- que
- mientras
- QUIENES
- seguirá
- dentro de
- Actividades:
- los trabajadores.
- trabajando
- funciona
- mundo
- se
- escribir
- año
- Usted
- tú
- zephyrnet