Inicio
Inicio
Solicite una demostración

Seis maneras de aumentar la participación de los empleados en la formación en materia de seguridad

Compartir
  • Christopher Dale, director de marketing de contenidos de la división empresarial de ThriveDX

A estas alturas, la mayoría de nosotros entendemos que los empleados son el eslabón más débil de la ciberseguridad y el mayor vector de ataque: los delincuentes en línea se dirigen a personas específicas dentro de las organizaciones con acceso a datos sensibles, en lugar de a las defensas perimetrales tradicionales. Sin embargo, el aumento de la participación de los empleados en la formación de concienciación sobre la seguridad y en la formación sobre seguridad de las aplicaciones (AppSec) todavía se encuentra con demasiada frecuencia con reticencias, procrastinación y miradas colectivas, cuando incluso se ofrece. 

En 2021, las empresas perdieron la asombrosa cifra de 7.000 millones de dólares debido a ciberataques y amenazas internas. Como es habitual, estas infracciones pueden deberse a que un solo empleado -generalmente sin saberlo- hace clic en el correo electrónico malicioso e introduce un torrente de troyanos en su empresa. 

Seis maneras de aumentar la participación de los empleados en la formación en materia de seguridad

Seis maneras de aumentar la participación de los empleados en la formación en materia de seguridad

En 2021, el Centro de Denuncias de Delitos en Internet (IC3 ) del FBI recibió la cifra récord de 847.376 denuncias, lo que supone un aumento del 7% con respecto a 2020. Las pérdidas potenciales superaron los 6.900 millones de dólares. Una vez más, los ataques de ransomware y de correo electrónico comercial comprometido (BEC) lideraron el camino. Por primera vez, el uso delictivo de la criptomoneda se unió a los tres principales incidentes denunciados. Sólo los esquemas BEC dieron lugar a 19.954 denuncias por un total de 2.400 millones de dólares. 

Esto nos lleva a preguntarnos: ¿Cómo es posible que algo tan potencialmente costoso para las empresas no tenga mayor urgencia dentro de las organizaciones? ¿Por qué hay tantas personas que lo ignoran o no se toman en serio la formación en materia de seguridad? 

1. Hazlo importante, hazlo creíble

Alguna versión de "esto es cursi", "ya lo sabemos" y "no es algo que pasaría en la vida real" se ha escuchado en algún momento de la formación en seguridad. Si bien la mayoría de los empleados entienden que son el eslabón débil en materia de ciberseguridad, no todos saben qué hacer con esta información. Han escuchado mucho alarmismo, pero muchas menos soluciones. Dígales lo que aún no saben. Comunique algo de valor. En lugar de sembrar el miedo, la incertidumbre y la duda, practique la empatía y la comprensión de la posición en la que se encuentran y muestre una visión de lo que probablemente encontrarán. 

En otras palabras, haga que su formación en materia de seguridad sea creíble y se inspire en ataques de la vida real. Utilice páginas web reales con las que es probable que se encuentren en sus ejemplos. Los ataques de inyección SQL no se producen en las páginas de inicio de sesión, pero sí en las páginas de pago. Incluso es más probable que se produzcan en lugares aleatorios y semiclandestinos. Utiliza estos ejemplos para que tu audiencia sepa que sabes de lo que estás hablando. Enséñeles a identificar, desactivar y poner en cuarentena los ataques antes de que se conviertan en problemas costosos.

Por ejemplo, ThriveDX ha adquirido recientemente Kontra , que ofrece formación en seguridad de aplicaciones dirigida directamente a los desarrolladores. Mientras que normalmente los desarrolladores encuentran los fallos y los comunican, Kontra les enseña en cambio a identificar y corregir las vulnerabilidades de seguridad y otros fallos en tiempo real, ahorrando cuatro o más semanas en la siguiente revisión.

2. Practicar la franqueza radical

Reconozca por adelantado que la formación en seguridad no es la primera opción de nadie en cuanto a la gestión del tiempo. Lo entendemos. Al mismo tiempo, la gente suele estar de acuerdo en que tener trabajo es algo bueno. Si una empresa es víctima de un ransomware, el descuido de una persona puede acabar costando la carrera a docenas de personas, si no a la propia empresa. Así que, por supuesto, la formación en ciberseguridad y en AppSec va a ser obligatoria. Aprovechémoslo al máximo.

3. La talla única no sirve para todos

No todos los empleados son iguales. Algunos son más propensos a ser atacados que otros. Reconocer por adelantado que se entiende esta verdad básica debería aumentar el compromiso de los empleados. En concreto, las personas con acceso privilegiado a datos sensibles son mucho más propensas a ser atacadas. Su formación debe tener en cuenta estos riesgos humanos más elevados, separándolos del grupo y guiándolos a través de los escenarios más probables que podrían encontrar.

4. Apretarlo

¿Por qué dedicar 20 minutos a exponer un argumento que se puede transmitir en cinco? La gente es más inteligente de lo que cree. Aborde la formación como si no fuera su primer día con un ordenador y una conexión a Internet. A estas alturas, la mayoría de la gente tiene un conocimiento general de las amenazas que les esperan después de tomar decisiones estúpidas en Internet. Lo que no tienen es mucho tiempo.

Gyan Chawdhary es el fundador y director general de Kontra, a la que denomina formación en seguridad de aplicaciones por desarrolladores, para desarrolladores. "Nadie tiene tiempo para la formación en seguridad... y menos aún los desarrolladores", dijo Chawdhary. "Por eso uno de nuestros diferenciadores clave es que cada parte de nuestra formación dura cinco minutos, como máximo".

5. Contar una historia

Además de mostrar un ataque y cómo solucionarlo, incluya una narración. Cuente una historia interactiva de ataques de la vida real. Muchos desarrolladores tienen curiosidad por saber cómo los atacantes encontraron este fallo en primer lugar. ¿Qué herramientas utilizaron? ¿Qué código buscaban? ¿Cómo se descubrió esta vulnerabilidad de seguridad? Kontra les muestra esta historia de fondo y les guía a través de los pasos desde la perspectiva de un ciberdelincuente. Les muestra los trucos de un hacker. Si se cuadra el círculo, se obtiene un buen código.

6. Amplíe su contenido mediante la integración con otro software LMS

Con demasiada frecuencia, tanto la formación sobre concienciación en materia de seguridad como la formación sobre seguridad de las aplicaciones son cursos independientes que se imparten fuera del software de gestión del aprendizaje (LMS) de la empresa. Esto significa efectivamente que usted puede asignar la formación sin imponer ningún cumplimiento. Si los desarrolladores están escribiendo código mientras la formación en seguridad de las aplicaciones se ejecuta en segundo plano, ¿cómo lo sabría y qué podría hacer al respecto? 

El otro problema es que muchas veces la formación en materia de seguridad obliga a las empresas a adoptar sus sistemas LMS, con el fin de dar a las empresas visibilidad sobre el cumplimiento de los empleados. Esto presenta varios problemas. En primer lugar, ¿por qué querría un desarrollador iniciar sesión en otro sistema además de su propio LMS para completar la formación? Esto también se refiere al hecho de que muchos sistemas LMS empresariales son mucho más sofisticados y complejos que todo lo que ofrece la formación en ciberseguridad. Mientras que una organización podría ganar algunas capacidades de aplicación y cumplimiento, perderá más que nada en funcionalidad general.

Unas últimas palabras sobre el aumento del compromiso

No existe una fórmula mágica para conseguir que todo el mundo alcance el nivel de experto en la lucha contra el panorama actual de las amenazas. En última instancia, todo se reduce a cuánto valoran las organizaciones una plantilla con conocimientos de seguridad y se esfuerzan por aplicar los consejos anteriores. Hacer que el contenido sea más corto, más relevante y más personalizado debería aumentar significativamente el compromiso de los empleados con la formación en seguridad y, en última instancia, ahorrar a la empresa dinero en forma de ataques que nunca se produjeron. Quién sabe, puede que incluso descubra empleados con mejores aptitudes para añadirlos a su equipo de seguridad. 

Para más información sobre los programas de formación en seguridad empresarial de ThriveDX, visítenos en https://thrivedx.com

Formación en habilidades digitales y soluciones EdTech | ThriveDX

Tipos de violaciones de datos

Christopher Dale es el director de marketing de contenidos de la división empresarial de ThriveDX. Ha trabajado en el campo de la ciberseguridad durante casi 14 años en funciones de relaciones públicas, medios sociales y desarrollo de contenidos para una serie de empresas como ESET, Forcepoint, Cylance (Blackberry) y Proofpoint. Es licenciado en Ciencias Políticas y Retórica y Comunicación por la Universidad de California, Davis. 

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido