Algunos de ustedes ya han comenzado a presupuestar para 2024 y a asignar fondos a áreas de seguridad dentro de su organización. Se puede decir con seguridad que la formación de los empleados en materia de seguridad también es una de las partidas de gasto. Sin embargo, su eficacia es una cuestión abierta, ya que las personas todavía tienen comportamientos inseguros en el lugar de trabajo. Además, la ingeniería social sigue siendo uno de los ataques más frecuentes, seguido de una filtración de datos exitosa. Microsoft encontró que una forma popular de capacitación basada en videos reduce el comportamiento de clics de phishing en aproximadamente un 3%, en el mejor de los casos. Esta cifra se ha mantenido estable a lo largo de los años, afirma Microsoft, mientras que los ataques de phishing aumentan cada año.
De todos modos, las organizaciones tienen fe en la capacitación y tienden a aumentar sus inversiones en seguridad en la capacitación de los empleados después de los ataques. Ocupa el segundo lugar en la lista de prioridades para el 51% de las organizaciones, justo después de la planificación y las pruebas de respuesta a incidentes, según IBM Security. «Costo del Informe de Violación de Datos 2023».
Entonces, ¿qué pasa con la capacitación en concientización sobre seguridad que nos impide renunciar a ella? Analizamos encuestas, hablamos con ingenieros de seguridad de TI y discutimos el contenido de la capacitación con los creadores de un nuevo curso de ciberseguridad.
La gente quiere aprender, pero no tiene tiempo.
La baja eficacia de la formación ya no puede justificarse por la falta de interés de los empleados. Un asombroso 64% de los encuestados por Investigación CybSafe pidieron tiempo asignado para incluir las sesiones de concientización sobre seguridad en su horario de trabajo. Además, el 43% de los empleados consideró que el compromiso y la interactividad eran estímulos más atractivos que las recompensas financieras, lo que expresa la necesidad de experiencias dinámicas y prácticas. Como dice CybSafe, «Esto apunta a una fuerza laboral que valora la integración de la capacitación en su rutina por encima de las recompensas extrínsecas».
El tiempo es el recurso más importante que se interpone en el aprendizaje de la ciberseguridad. A menudo se espera que los empleados cumplan los plazos de entrega en cortos períodos de tiempo. En un entorno de trabajo acelerado, saltarse una formación prolongada y completar las tareas diarias para cumplir los KPI es sencillamente más fácil.
Pero hay profesionales de la ciberseguridad que están dispuestos a adaptarse a la forma de trabajo actual y a la poca capacidad de atención. Ciberseguridad es un curso de ciberseguridad diseñado para proporcionar los fundamentos de seguridad en solo 1 minuto y 30 segundos. En lugar de los habituales vídeos y presentaciones extensos, Cybersecuritoons cubre cuatro temas principales en cuatro dibujos animados breves: contraseñas, phishing, trabajo remoto y malware. En total, el curso completo dura 6 minutos.
Los creadores de Cybersecuritoons son un equipo de expertos de Moonlock, una división de ciberseguridad de una empresa de desarrollo de software: MacPaw. «La misión de Moonlock es hacer que la ciberseguridad sea accesible para todos», afirma Oleg Stukalenko, director principal de productos de Moonlock. «Primero, integramos nuestra propia tecnología antimalware, Moonlock Engine, en uno de los limpiadores de macOS más populares en la App Store: CleanMyMac X. Tiene un botón grande que resuelve todos los problemas del sistema, incluida la eliminación de malware. Ahora, lanzamos un curso corto y divertido sobre ciberseguridad disponible para cualquier persona en YouTube.»
Moonlock está dando en el clavo al elegir contenido de formato corto. Los creadores de contenido ya no pueden contar con la atención exclusiva de las personas, y esto también se aplica al contenido de ciberseguridad. Con agendas de trabajo apretadas, una formación breve seguida de prácticas relevantes y sesiones interactivas es una forma preferible y más eficaz de repasar los conocimientos sobre ciberseguridad.
Solución humana para errores humanos
El estrés, la presión para cumplir con los plazos y el agotamiento son las razones por las que los humanos cometen errores y se involucran con trucos de ingeniería social. Cuando Tessian encuestó a los trabajadores para el «Psicología del error humano» En el informe, el 50% de los encuestados dijeron que estaban bajo presión debido a la falta de tiempo cuando enviaron el correo electrónico equivocado a la persona equivocada o con el archivo adjunto equivocado.
Los departamentos de seguridad pueden instalar la tecnología más avanzada en varias líneas de defensa, pero solo un clic realizado por un humano puede hacer que todas las herramientas y firewalls sean redundantes. En cualquiera de sus formas, la capacitación en concientización es un amable recordatorio de una rutina diaria que podría salvar a nuestras organizaciones de millones de dólares en pérdidas financieras y de reputación. IBM Security dice que hubo una diferencia de 1,5 millones de dólares, o 33,9%, en el costo de la violación de datos entre las empresas con una alta y baja adopción de capacitación en concientización sobre seguridad en el lugar de trabajo.
La realidad es que debemos enseñar a los empleados a ser mejores guardianes de la tecnología de seguridad corporativa. Juntos tenemos las herramientas para crear la dimensión humana de la resiliencia contra los ciberataques e impactar directamente la formación de procesos de seguridad por diseño dentro de nuestras organizaciones. Las estadísticas muestran sin piedad que la mayoría de los ataques pueden frustrarse si se siguen prácticas mínimas de seguridad. Es por eso que veremos más contenido como Cybersecuritoons en el futuro cercano: breve, diseñado para diferentes niveles de experiencia en seguridad y accesible. De hecho, el mercado de la formación en ciberseguridad se espera alcanzar los 10.000 millones de dólares en 2026. Eso está muy lejos de los alrededor de 1.000 millones de dólares de ingresos anuales de 2014.
Cómo la retroalimentación transforma la capacitación en concientización
Como ocurre con cualquier enfoque centrado en el ser humano, la construcción de un cortafuegos humano debe considerar el hecho de que los humanos son diferentes. Esto coloca a los equipos de seguridad en condiciones de revisar continuamente su estrategia de capacitación en concientización sobre seguridad. Cambian la perspectiva de la educación formal a equipar a sus colegas con herramientas para ayudar a los profesionales de la seguridad en caso de un ciberataque.
En MacPaw, una empresa de desarrollo de software y sede de Moonlock y Cybersecuritoons, existe una fuerte creencia de que la seguridad de la organización recae en todo el equipo. Artem Bovtiukh, ingeniero de seguridad informática de MacPaw, afirma que aunque el objetivo principal de la formación periódica de sensibilización es recordar los fundamentos de la higiene de la seguridad, el más importante es cultivar una cultura de seguridad de retroalimentación en la empresa. «La eficacia de la formación se comprueba a través de nuestras auditorías internas. Pero el resultado más valioso es cómo nuestros compañeros prestan atención a los eventos sospechosos y nos los comunican», afirma Artem.
La retroalimentación también ayuda al equipo de seguridad a dar forma a la impartición de la capacitación. Artem señala que cualquiera puede acudir a ellos con preguntas, sospechas y opiniones sobre cuestiones de ciberseguridad del día a día. Todos ellos serán considerados durante la composición de contenidos en la siguiente capacitación para empleados. «Nuestra experiencia demuestra que el mejor incentivo para completar las sesiones de seguridad no reside en el momento de finalización o en el mero hecho de completarlas», comparte Anastasia Hutorova, especialista en aprendizaje y desarrollo de MacPaw. «Somos transparentes sobre los objetivos de capacitación, sus impactos, cómo se alinea con los objetivos comerciales y/o los OKR de la empresa, y qué papel desempeña en el desarrollo profesional de nuestros colegas».
MacPaw anima a todos los equipos a tomarse días libres para revisar los materiales de concientización sobre seguridad. Según la política, hay días dedicados a la educación que todos los miembros del equipo pueden utilizar para centrarse en adquirir nuevos conocimientos, incluidos los de ciberseguridad. Volviendo a la falta de tiempo como la razón principal por la que los empleados faltan a la capacitación o se entregan a comportamientos inseguros en el trabajo, la idea de asignar tiempo dedicado parece más que razonable.