El factor humano: ¿Pueden aprender los empleados a no cometer errores?

Es posible que, incluso aquellos responsables de gestionar la formación sobre la concienciación de la seguridad, no entiendan al cien de qué se trata la formación sobre ciberseguridad, o por qué es necesaria la formación

Siempre hemos dicho que los medios técnicos no son suficientes para proteger un negocio de las ciberamenazas. Es muy posible que una sola persona eche por tierra todo el trabajo de un equipo completo de seguridad de la información. En muchos casos, sucede de forma involuntaria a causa de la falta de conocimiento sobre ciberseguridad, por no saber sobre amenazas y por distracción. Es por ello que muchas empresas (según nuestros datos, aproximadamente un 65%) ya invierte en la formación en ciberseguridad de sus empleados.

 

Sin embargo, pueden aparecer complicaciones. La persona que toma la decisión de concienciar al personal no es necesariamente la persona que lleva a cabo la formación. Y, aunque esta persona vea un problema obvio, es posible que no entienda lo que es una formación sobre ciberseguridad, cómo se forma al personal o, incluso, por qué debe hacerse.

Comprendiendo el problema

Supongamos que te asignaron la tarea de concienciar a los empleados sobre la ciberseguridad. En primer lugar, ¿qué es lo que realmente significa concienciarse con la ciberseguridad? Para saberlo con certeza, hemos trabajado con la empresa de estudios de mercado B2B International para recopilar información de 5.000 empresas de todo el mundo sobre su conocimiento sobre el problema y el impacto en cada uno de los empleados de algunos incidentes de ciberseguridad. En resumen, esto es lo que hemos hallado:

  • En el 46% de los incidentes del último año, se han visto involucrados empleados que han comprometido la ciberseguridad de su compañía de forma involuntaria o inconsciente.
  • El 53% de las empresas afectadas por software malicioso mencionaron que la infección no habría ocurrido sin la ayuda de un empleado distraído, el 36% culpa a la ingeniería social, lo cual significa que alguien, intencionadamente, engañó a los empleados.
  • Los ataques dirigidos con phishing e ingeniería social tuvieron éxito en un 28% de los casos.
  • En el 40% de los casos, los empleados intentaron ocultar el incidente después de haber sucedido, aumentando así el daño y comprometiendo aún más la seguridad de la compañía afectada.
  • Casi la mitad de los encuestados se preocupan por si sus empleados dan a conocer información corporativa de forma involuntaria a través de los dispositivos móviles que llevan al lugar de trabajo.

Para ver el texto completo de la investigación (en inglés), haz click en el siguiente enlace y encontrarás las respuestas completas a “¿Por qué molestarse en concienciar sobre ciberseguridad?”

Enseñando sobre la concienciación de la ciberseguridad

El “cómo” dentro de la ecuación también es muy importante. Hay múltiples cursos, conferencias y talleres disponibles. Pero la formación significa invertir tiempo y dinero, debes estar seguro de que vas a recibir resultados.

Por ejemplo, el problema de ocultar los incidentes. Puedes reunir a tus empleados y explicarles la importancia de informar sobre los incidentes de ciberseguridad. Seguramente te digan que lo entienden (y continuarán ocultándolos para no cargar con la responsabilidad).

Un mejor enfoque es primero comprender su motivación. En muchos casos, los jefes informan a sus empleados sobre las normas estrictas, pero, en realidad, no se las explican. A veces, el equipo de gestión y seguridad de la información también requiere de una formación para saber explicar las normas.

Saber qué se debe enseñar

Para combatir las ciberamenazas sofisticadas de hoy en día, una empresa tiene que funcionar como un organismo sano, con varios equipos con diferentes responsabilidades y tareas. Por supuesto, esto significa que los equipos deben aprender sobre diferentes cosas. El equipo directivo tiene que estar al tanto de los riesgos y comprender bien sus costes financieros y de reputación. Los equipos de gerencia y de seguridad de la información deben conocer las amenazas inminentes y tener capacidad para actuar e incrementar la ciberresistencia, como también saber comunicarse adecuadamente con la mayoría del personal. En cuanto a los especialistas, el conocimiento sobre amenazas es menos importante que su capacidad para evitarlas.

Es por ello que nuestro planteamiento de formación incluye la diferenciación de personal por antigüedad y función.

Para saber más o contratar cursos para el personal de tu empresa, por favor, rellena el siguiente formulario y nuestros especialistas se pondrán en contacto contigo lo antes posible:

Consejos