La capacitación en concientización sobre seguridad puede no ser llamativa o de vanguardia, pero es una forma muy efectiva (y asequible) de reducir el riesgo de una organización de una violación de datos, una falla de cumplimiento o un incidente de seguridad dañino como un ataque de ransomware. Las organizaciones que realizan capacitaciones periódicas de concientización sobre seguridad tienen significativamente menos incidentes de seguridad que las organizaciones que no capacitan o no capacitan regularmente. Esos beneficios son generales, la prevención de problemas de todo tipo de ataques cibernéticos , incluido el ransomware, y agregar capacitación adicional sobre el ransomware es una excelente manera de reducir aún más el riesgo en esa área. Entonces, ¿por qué tan pocas organizaciones lo están haciendo?

Una pequeña inversión en capacitación trae grandes beneficios

Capacitar a los empleados sobre ciberdelitos específicos y riesgos de cumplimiento parece una obviedad. Después de todo, las empresas gastan sabiamente su dinero en capacitación cuando entrenan a sus empleados para que sean conscientes de las amenazas específicas de seguridad y cumplimiento a las que se enfrentan todos los días. Pero muchas organizaciones no están maximizando su gasto en capacitación asegurándose de que están entrenando en torno a los riesgos específicos que enfrentarán los empleados. Un mísero 36% de las organizaciones en un estudio reciente informaron que capacitan a sus empleados para enfrentar un riesgo específico como el ransomware. ¿Por qué es importante para tu empresa realizar capacitaciones de concientización sobre seguridad? ¡Porque realmente quieres cosechar estos beneficios!

Menos incidentes de seguridad 

El aumento de la capacitación disminuye la cantidad de incidentes de seguridad que tienen las empresas porque es menos probable que los empleados educados cometan errores y es más probable que sepan qué hacer si sospechan problemas. Las empresas que participan en capacitaciones periódicas de concientización sobre seguridad tienen un 70 % menos de incidentes de seguridad.

Riesgo de seguridad reducido en general

Las organizaciones disfrutan de un gran impulso a la seguridad cibernética en todas las áreas cuando los empleados entienden que la seguridad es trabajo de todos. Los riesgos generales relacionados con la seguridad se reducen en un 70 % cuando las empresas invierten en capacitación de concientización sobre seguridad cibernética.

Disminución del riesgo de phishing 

El phishing es la principal amenaza de seguridad de la actualidad, y los empleados no son buenos para darse cuenta de que un correo electrónico no es legítimo sin capacitación. Cuando los empleados pueden detectar y evitar trampas de phishing con confianza, las empresas ganan. La capacitación en concientización sobre seguridad mejora la concientización sobre el phishing en aproximadamente un 40 %.

Costos de cumplimiento reducidos

El precio del incumplimiento es alto y crece cada año. Pero las empresas que realizan capacitaciones periódicas sobre seguridad y cumplimiento ahorran dinero en cumplimiento. Un programa de capacitación en seguridad de datos corporativos ahorra a las empresas un promedio de $2.54 millones en costos.

Una fuerte cultura de seguridad 

Construir una cultura de seguridad sólida es clave para alentar a los empleados a prestar atención a las prácticas de seguridad inteligente y a adherirse a las políticas y procedimientos de cumplimiento. El 93 % de los empleados dijo que los programas de capacitación para empleados bien planificados afectan positivamente su nivel de compromiso.

¿Qué hay en el corazón de un programa de capacitación de concientización sobre ransomware?

Un buen entrenamiento comienza con una base sólida. Recuerda que es posible que los empleados que no están en funciones de seguridad cibernética ni siquiera estén al tanto de algunas amenazas. Se estima que solo el 30 %  de los usuarios de Internet saben qué es ransomware o malware. Es por eso que cualquier esfuerzo de capacitación en concientización sobre seguridad debe comenzar explicando qué es una amenaza como el ransomware en términos simples y sencillos, no en la jerga de los técnicos. Solo después de que se establezca esta base, una empresa puede comenzar a capacitar a los empleados para que estén atentos a posibles ataques y amenazas de ransomware.

No ignores las señales de que el grupo de capacitación puede no comprender completamente un concepto o una amenaza. Si incluso una persona parece confusa en algo básico como qué es ransomware o phishing, explíquelo nuevamente, usando diferentes palabras o materiales. Es fundamental que todos estén en sintonía con los conceptos básicos por dos razones. En primer lugar, si un empleado no comprende una amenaza, en realidad no será consciente de ella ni estará equipado para detectar signos de algo como un ataque de ransomware . En segundo lugar, asegurarse de que todos tengan claro lo básico asegura que los empleados que no entienden pero creen que sí no están difundiendo información errónea, desperdiciando el dinero y el tiempo dedicados a la capacitación. Con información errónea, una onza de prevención vale una libra de cura.

Comience con una política de capacitación de concientización sobre seguridad y cumplimiento

Omitir este paso al establecer su programa es un error. Configure el programa para el éxito mediante la creación de una política que codifique el alcance, los requisitos y la naturaleza del programa de capacitación de concientización sobre seguridad y cumplimiento en un lenguaje simple y claro. Estos consejos pueden ayudar:

• Divida a los empleados en grupos de capacitación según el nivel de capacitación requerido por sus funciones para asegurarse de que todos reciban la capacitación adecuada sobre riesgos y cumplimiento.
• Determine qué capacitación se requiere para que su empresa cumpla con los requisitos normativos y legales y quién necesita capacitación en esas áreas.
• Obtenga la aceptación ejecutiva de las políticas, los cronogramas, los requisitos, las consecuencias y el presupuesto para su programa de capacitación en concientización sobre seguridad antes de comenzarlo.
• Asegúrese de que todos sepan que deben completar la capacitación asignada sin excepciones, sin importar su posición dentro de la organización.
• Determina cuándo se revisarán el programa y la política, tus KPI para determinar la eficacia del programa y quién está facultado para realizar cambios.
• Evite la confusión al documentar cada faceta del programa de capacitación, incluido cómo acceder a la capacitación, los horarios y los requisitos de las pruebas, y hágalo accesible para todos.
• Seleccione una solución de capacitación en seguridad y cumplimiento que le permita personalizar la capacitación en torno a amenazas específicas como el ransomware, así como las necesidades únicas de seguridad y cumplimiento de su organización.

Diseñe un plan de estudios para las necesidades únicas de tu organización

Indaga qué riesgos de seguridad y cumplimiento enfrentan los empleados. Algunos son muy generales para todas las industrias, como el phishing y el ransomware. Pero las empresas individuales o los tipos de trabajo de los empleados podrían tener riesgos especializados, como el ransomware transportado por facturas maliciosas. Las respuestas a estas cinco preguntas pueden ayudarlo a tomar decisiones inteligentes sobre qué enseñar a los participantes en su programa.

• ¿Qué comportamiento queremos reforzar?
• ¿Cuáles son nuestros riesgos de seguridad más comunes en la industria?
• ¿Qué necesidades críticas de cumplimiento deben satisfacerse ahora?
• ¿Hay cambios de cumplimiento por delante que debamos incorporar?
• ¿Qué habilidad o habilidades queremos que la audiencia aprenda y aplique?

Una vez que hayas respondido esas preguntas para cada uno de sus grupos de capacitación, debería poder seleccionar con confianza los temas correctos para satisfacer las necesidades y los requisitos de esos grupos, especialmente si diferentes grupos de capacitación se enfrentan al cumplimiento de diferentes requisitos reglamentarios. ¿Solo un grupo necesita capacitación sobre GDPR? ¿Todos están recibiendo capacitación sobre cómo resistir el phishing? Diseñar el currículo de capacitación exacto para cada grupo garantiza que se satisfagan esas necesidades. También es importante asegurarse de que los cursos o los materiales de capacitación que está utilizando hagan el trabajo de manera efectiva. Si tu capacitación no es memorable o interesante, los empleados la pasarán como sonámbulos y no retendrán nada.

Fuente: ID Agent