Las personas representan el “factor humano” en el punto de mira de los atacantes. La única defensa contra tales ataques es la educación, o en términos de la industria, “Capacitación de Conciencia de Seguridad”, y cae directamente bajo los auspicios de la capacitación en seguridad de la información.
Debido al entorno rápidamente cambiante y a la larga lista de vulnerabilidades, la capacitación en conciencia de seguridad tampoco puede implicar un enfoque de un solo disparo o un programa “configúralo y olvídelo”. Más bien, para garantizar la seguridad de la red de cualquier organización, la capacitación en ciberseguridad debe ser repetitiva, actualizada y constantemente probada.
El entrenamiento de conciencia de seguridad generalmente consiste en entrenamiento repetitivo y pruebas continuas, a veces aleatorias, en las siguientes áreas de explotación: spam, phishing, spear phishing, malware, ransomware, ingeniería social.
Se debe tener en cuenta que aunque los programas de capacitación de la seguridad informática es a menudo obligatorio por ley, sigue siendo una responsabilidad fundamental de los principales líderes tecnológicos, como los CISO y los gerentes de recursos humanos, y son responsables de su eficacia.
El primer desafío, es obtener la inversión
Resulta muy difícil convencer a los miembros de la alta dirección de una organización sobre la necesidad de realizar inversiones en campañas de concientización ya que los altos ejecutivos seguramente concedan más credibilidad a propuestas tangibles, y claramente cuantificables.
¿Qué pasaría en nuestra organización si se perdiera, filtrara, o destruyera la información? De por ejemplo: historias clínicas de pacientes, planes estratégicos, información financiera, propuesta de servicios o productos ante un nuevo proyecto, fórmulas de producción, información clasificada de clientes, rutas de logística y distribución, información comercial, transacciones financieras, sistemas de control automáticos, configuraciones del core de Networking, contratos con grandes clientes, etc.
Segundo punto establecer un programa consistente
Este segundo desafío se basa en establecer que las campañas de concientización sobre seguridad de la información se basen en un programa” efectivo. Las necesidades individuales de cada organización son únicas; sin embargo, los objetivos de cualquier programa de capacitación en concienciación sobre seguridad suelen ser bastante similares por ello dejamos los siguientes puntos de partida.
Cumpliendo con todas las leyes y regulaciones locales y federales.
Logrando que todos participen: toda la organización, todo o nada.
Estableciendo de una línea de base requerida de evaluación
Creando un sistema de comunicación muy claro sobre el programa.
Haciendo el entrenamiento intrigante y al menos un poco entretenido
Forzando el cumplimiento, revisar y repetir.
Creando una cultura de refuerzo y motivación para la vigilancia y el aprendizaje constantes.
Medir y evaluar efectividad
A medida que se implementa y evalúa la capacitación en conciencia de seguridad, con el tiempo, es posible establecer una correlación entre la capacitación efectiva y la reducción de incidentes relacionados con la seguridad.
Ivan Dimov, del Instituto Infosec, recopiló estas estadísticas reveladoras sobre la efectividad de la capacitación en concientización sobre seguridad a partir de una variedad de fuentes :
El 50% de los usuarios de Internet reciben al menos un correo electrónico de phishing a diario, el 97% de las personas no pueden identificar un correo electrónico de phishing y el 4% de las personas realmente hacen clic.
El 42% de los encuestados en una encuesta del “Estado de delitos informáticos de los EE. UU.” Afirmaron que la capacitación sobre concienciación de los nuevos empleados ayudó a disuadir los ataques.
El mismo informe indicó que las empresas sin capacitación en conciencia de seguridad para empleados sufrieron pérdidas financieras un 322% más altas debido a la ciberseguridad.
A diferencia del ROI, la efectividad de la capacitación en conciencia de seguridad se puede medir de una manera directa. Use un software de entrenamiento de conciencia de seguridad que proporcione pruebas, como KnowBe4. Una sesión de capacitación mensual de 15 minutos se puede seguir con un correo electrónico de phishing simulado durante todo el mes. El software de prueba debe proporcionar informes de rendimiento para que pueda medir las mejoras en el comportamiento de los empleados a medida que avanza la capacitación.
Comments