La mayoría de los debates sobre seguridad presentan a los empleados como un riesgo. En consecuencia, la capacitación que se imparte refuerza esta idea, con largas presentaciones anuales y consecuencias alarmantes para cualquier error que puedan cometer. Este enfoque genera miedo, desinterés y prácticamente ningún cambio de comportamiento. Sin embargo, existe una alternativa; solo es necesario invertir la premisa.
Por qué el entrenamiento basado en el miedo no funciona
Según el Informe de investigaciones de violación de datos de VerizonEl 74 % de las filtraciones de datos involucran el factor humano, ya sea un ataque exitoso de ingeniería social, un error o un uso indebido. Quienes comparten estas estadísticas suelen utilizarlas para señalar a los empleados como una vulnerabilidad; sin embargo, en realidad demuestran que el comportamiento humano es el objetivo de un ataque, y que precisamente ahí radica la clave para prevenirlo.
La capacitación basada en el miedo interpreta esa estadística como un juicio. La capacitación basada en la concientización la ve como una oportunidad. Cuando las personas se dan cuenta de que son la primera línea de detección —y no un eslabón débil— cambian su mentalidad. Perciben cosas que antes no habían notado. Expresan sus opiniones en lugar de esperar en silencio estar equivocados.
El control técnico importa menos que este control psicológico.
Más allá de la casilla de verificación anual
Si abordas la capacitación en seguridad para empleados con una mentalidad centrada en el cumplimiento normativo, te quedarás atrapado en un círculo vicioso. Se programa una sesión, tu equipo asiste (con suerte), ve un video o una presentación, se cumple con el requisito de la auditoría de seguridad y nada cambia hasta el año siguiente, cuando se repite el proceso. Para entonces, casi toda esa información y contexto ya se habrán olvidado. Y así sucesivamente.
Esto no es un fallo del equipo, sino estructural. El deterioro de la memoria humana no sigue un ciclo de 12 meses (aunque sería genial si así fuera); mucha de esa valiosa información de capacitación ya no está presente en la mente del equipo cuando más la necesita: la próxima vez que algo malicioso ataque a su organización.
Se ha demostrado que los ciclos de capacitación automatizados superan a los talleres manuales anuales por una sola razón: mantienen la seguridad presente durante todo el año, no solo durante el seminario. Entrenamiento de conciencia de seguridad Al distribuirse a través de una plataforma automatizada, permite llegar a todos, realizar un seguimiento del progreso y adaptarse en función del comportamiento real; por lo tanto, un equipo que practica buenas medidas de seguridad trabajando desde casa durante un estresante mes de marzo tiene muchas menos probabilidades de cometer errores en diciembre.
El modelo de aprendizaje justo a tiempo
La capacitación en seguridad para empleados es más efectiva cuando se imparte en el momento oportuno. Por ejemplo, cuando un empleado hace clic en un enlace de simulación de phishing, la respuesta no debería ser simplemente denunciarlo y dar por terminado el asunto. En cambio, esa es la ocasión perfecta para brindarle de inmediato un módulo de aprendizaje breve y específico.
Este enfoque, también conocido como aprendizaje justo a tiempo, reporta mejores tasas de retención que la capacitación programada. La lección está directamente relacionada con lo sucedido. El empleado no se siente penalizado, sino que aprende qué debe evitar justo en el momento preciso en que más necesita esta información.
Construir una cultura de denuncia sin culpabilización
Es inevitable que incluso los empleados mejor capacitados cometan errores de vez en cuando. La diferencia entre un incidente menor y una brecha de seguridad grave suele radicar en la rapidez con que se reporta el error. Si los empleados temen represalias, guardarán silencio. La brecha se agravará. Y para cuando alguien finalmente se dé cuenta, la recuperación será mucho más costosa.
Por eso, un proceso de denuncia bien definido y no punitivo es una de las medidas más importantes que una organización puede implementar. Demuestra a los empleados que detectar y reportar un error de inmediato es la respuesta correcta, no algo que deba ocultarse. Además, crea alertas que el personal de seguridad puede utilizar antes de que una brecha de seguridad se salga de control.
Esto pone de manifiesto el riesgo de amenazas internas, un aspecto del que no hablamos con la suficiente frecuencia. La mayoría de los incidentes internos no son maliciosos; son errores: alguien instala software no autorizado, cae en la trampa de un ataque de suplantación de identidad o configura incorrectamente un servidor en la nube. Una cultura de seguridad en la notificación de incidentes permite detectarlos antes de que se agraven. Una cultura de culpabilización les permite ocultarse.
Hacer que la seguridad se sienta como una habilidad profesional
A veces, la gamificación se considera algo trivial, pero en realidad funciona porque cambia el contexto: esta capacitación no es algo que se les da a los empleados, sino algo en lo que pueden destacar. Las tablas de clasificación, el reconocimiento y las insignias de finalización activan la misma motivación competitiva y de logro que impulsa a las personas a obtener certificaciones profesionales.
Cuando los empleados comienzan a evaluar su progreso en materia de seguridad o notan un buen desempeño de su equipo en una simulación de phishing, la seguridad deja de ser un problema exclusivo de informáticos para convertirse en parte de su identidad profesional. Y ahí es donde se forja la verdadera cultura de ciberseguridad, no con carteles, alfombrillas para ratón ni peluches, ni con pegatinas de advertencia en el manual del empleado.
La adopción de la autenticación multifactor (MFA), la reducción de las TI en la sombra e incluso aspectos culturales de seguridad física, como la correcta impugnación de accesos no autorizados o accesos no autorizados, mejoran cuando los empleados aceptan que estas son prácticas básicas para el buen desempeño profesional. No se trata de exigir cumplimiento normativo, sino competencia.
Las organizaciones que mejor responden a los incidentes no son aquellas que poseen la tecnología de seguridad más sofisticada y digna de un premio X. Son aquellas cuyos empleados están motivados para ser profesionalmente competentes y, cuando detectan algo extraño, buscan ayuda de inmediato.