Concienciación y formación en seguridad centrada en el riesgo humano

Formar para concienciar sobre seguridad consiste en hacer que los empleados entiendan lo que es la higiene cibernética, que identifiquen los numerosos métodos que utilizan los atacantes para intentar vulnerar los sistemas críticos de la empresa o las cuentas personales, y comprendan el papel fundamental que desempeñan los usuarios en la detención de los ataques para proteger su organización.

Diversos estudios sugieren que el error humano está presente en más del 90 % de las vulneraciones de la seguridad. La formación para concienciar sobre seguridad reduce el riesgo del usuario instruyendo a los empleados sobre los posibles errores y los procedimientos adecuados que deben seguir al utilizar el correo electrónico e internet. Promueve comportamientos más seguros para proteger los datos personales y los de la organización.

Las empresas recurren a la concienciación sobre seguridad para mitigar el riesgo de los usuarios. Sin embargo, los métodos tradicionales adoptan un enfoque universal y tienen dificultades para producir resultados tangibles.

Para que la concientización sobre la seguridad sea eficaz, debe estar respaldada por análisis de riesgos reales que consideren qué tipo de formación e intervención necesita un empleado y cuándo lo necesita.

Si se hace un buen uso de los análisis de riesgos de toda la organización, los programas de concienciación y formación basados en el riesgo humano pueden adaptarse para ofrecer un programa de concienciación sobre seguridad específico para cada empleado. Incluiría responder a las acciones reales del empleado con una intervención oportuna que permita abordar las conductas negativas o reforzar las positivas.

Los programas de concienciación sobre seguridad también deben ofrecer formación continua y accesible, que cubra ampliamente las cuestiones sobre seguridad más preocupantes para el entorno laboral específico de un empleado. La formación debe ser motivadora e interactiva para asegurar la retención del aprendizaje sin sobrecargar demasiado a los empleados.

La duración de los programas de formación para concienciar sobre seguridad varía considerablemente. El planteamiento de Mimecast es ofrecer sesiones mensuales breves, siguiendo un plan de formación continua que mantenga frescas las mejores prácticas de seguridad en la mente de los empleados.

Es necesario rediseñar los programas de formación para concienciar sobre la seguridad con el fin de que se tengan en cuenta los factores de riesgo humanos, transformando temas complejos en algo ameno y comprensible mediante el humor.

Los usuarios deben recibir formación sobre los comportamientos de riesgo que presentan, que generalmente tienen que ver con el phishing, la protección de la información, la higiene de la oficina, los datos en movimiento y la privacidad y protección de los datos. Además, los temas de concienciación pueden ofrecer contenido específico para las funciones de desarrollo, seguridad y operaciones, atención médica y dirección, y deben adaptarse a los principales estándares de la industria, como ISO, NIST, PCI DSS, el RGPD y HIPAA.

La superficie de ataque humana es el conjunto total de riesgos a los que se enfrenta una organización debido a las acciones (o inacciones) de las personas. Cada persona desempeña un papel único en el funcionamiento diario de una empresa. Algunas personas tienen acceso privilegiado a sistemas, datos, información o procesos financieros.

Todos estos factores representan oportunidades para los agentes amenazantes que pueden intentar explotar el comportamiento humano, ya sea mediante ataques complejos o con astutas tácticas de ingeniería social. Es más, estas amenazas no solo provienen de fuera de la organización. Los equipos de seguridad también deben tener en cuenta las amenazas internas, tanto intencionadas como no intencionadas. El reto es evaluar todos estos factores dinámicos para desarrollar una estrategia eficaz de gestión del riesgo humano.

Históricamente, la concienciación sobre la seguridad ha sido una función aislada, separada del resto de la estrategia de seguridad de la organización. Pero, cuando los líderes de la organización examinan las inversiones en concienciación sobre seguridad, se encuentran haciéndose preguntas difíciles como:

• ¿Funciona la formación?
• ¿Están cambiando los comportamientos de los empleados?
• ¿Cuáles de nuestros empleados entrañan más riesgo?

La realidad es que las soluciones tradicionales de formación para concienciar sobre la seguridad no permiten responder fácilmente a estas preguntas. Pero, ¿por qué? En general, la concienciación sobre la seguridad adopta un enfoque universal, está orientada principalmente a los resultados y no mide los comportamientos del mundo real.

Cuando la concienciación sobre la seguridad adopta un enfoque de gestión del riesgo humano, ofrece a los equipos de seguridad la oportunidad de revolucionar la concienciación sobre la seguridad, empezando por una visibilidad de los riesgos sin precedentes. Cuando la formación se basa en una plataforma de gestión de riesgos humanos, se puede adaptar al perfil de riesgo propio de cada empleado.

¿El resultado? Una nueva manera de plantear la concienciación sobre la seguridad, personalizada al máximo, vinculada a resultados de seguridad tangibles y a análisis de riesgos reales.