No haga que la capacitación en seguridad sea &#39una y más&#39


Cómo ir más allá de las campañas únicas y construir un verdadero programa de concientización sobre seguridad.

La capacitación de los empleados desempeña un papel en la ciberseguridad que es tan importante como cualquier tecnología.

Sin embargo, con demasiada frecuencia, esa capacitación se aborda como una campaña de seguridad única. Una vez que las actividades de capacitación están marcadas en la lista de tareas pendientes, es possible que tanto los administradores como los empleados las olviden.

Pero la conciencia de seguridad no es un problema único. Para abordar la creciente cantidad de amenazas de ciberseguridad, las empresas necesitan un programa integral de capacitación en concientización de seguridad. El programa debe estar bien diseñado y construido para resolver los problemas de seguridad más apremiantes de la empresa. La creación de un system comienza con algunos pasos críticos:

  • Identifique los temas de seguridad esenciales que enfrenta la organización.
  • Establish qué tipo de información puede educar mejor a los usuarios sobre esos temas.
  • Planifique el programa de seguridad y identify el momento de cada campaña de seguridad.
  • Cree campañas que se basen entre sí.
  • Si hay redundancia en el programa, asegúrese de que sea intencional, como parte de un system para volver a evaluar a los usuarios finales en lo que aprendieron en campañas anteriores.

Cómo una compañía Fortune 500 renovó su enfoque
Una compañía de Fortune 500 con la que trabajamos recientemente vio mejoras significativas en los resultados de su programa de concientización de seguridad después de repensar su enfoque. El programa de concientización de seguridad de la compañía se basa en un programa de embajadores de ciberseguridad, que trabajó con aproximadamente 100 voluntarios que ayudaron a difundir el mensaje sobre concientización de seguridad a su equipo u oficina. Pero eso no fue suficiente.

«Lo que estaba encontrando (es que) las personas están ocupadas con sus cargas de trabajo, por lo que la seguridad es lo último en lo que piensan», explica un miembro del equipo de concientización de seguridad de la compañía. «Para que el programa de embajadores de ciberseguridad sea realmente exitoso, teníamos que considerarlo como un administrador de personas».

Para llevar el programa al siguiente nivel, el equipo de concientización sobre seguridad cambió la forma en que se relacionaba con los embajadores, aumentando la comunicación de mensual a semanal, manteniendo los mensajes divertidos y llamativos, y compartiendo información e thoughts que hacen que el grupo se sienta como personas internas. El equipo también comenzó a brindar a los embajadores más oportunidades para tomar la iniciativa en proyectos de concientización sobre seguridad y personalizar lo que funciona mejor para su equipo o ubicación. Estos cambios mejoraron la ethical e hicieron que los embajadores invirtieran más en el programa.

El cambio de enfoque valió la pena. La organización pasó de una tasa de clics del 42% en ataques de phishing simulados en marzo de 2018 a solo el 5% al ​​final del tercer trimestre de ese año.

La compañía también amplió su programa de capacitación basado en computadoras de conciencia de seguridad y aumentó la frecuencia de los ataques de phishing simulados. Inicialmente, los miembros del equipo solo estaban phishing la mitad de la población de la compañía cada dos meses. Pero lo intensificaron a principios de 2018 para incluir a todos los empleados y comenzaron a enviar ataques simulados mensualmente.

Los miembros del equipo dicen que estos cambios los ayudaron a enfocarse en los repetidores porque pudieron identificar a esas personas más rápidamente, aumentar su capacitación y trabajar con ellos para mejorar. Una vez que comenzaron a enviar ataques de phishing simulados con mayor frecuencia, también aumentaron la comunicación sobre la notificación de correos electrónicos sospechosos, y la combinación fue efectiva. Informar al departamento de incidentes pasó de una tasa de informe del 20% al 68%.

Cómo puede ayudar la capacitación basada en computadora
Una razón por la que las empresas se esfuerzan por organizar campañas de seguridad únicas a expensas de crear un programa válido es que reunir y distribuir el substance y realizar las pruebas lleva tiempo. Si el programa y las campañas específicas no se planifican con anticipación, los administradores terminan reinventando la rueda cada pocos meses cuando llega el momento de la próxima campaña.

Con el advenimiento de las soluciones de capacitación basadas en computadoras para la concientización de seguridad, es posible automatizar en gran medida la creación e inicio de múltiples campañas de concientización de seguridad. Los programas son personalizables, y los administradores pueden elegir entre una variedad de plantillas de simulación, páginas de inicio, encuestas de evaluación de riesgos y otro contenido, lo que facilita a los administradores del programa programar campañas relacionadas con contenido recomendado, cada componente se basa en el anterior. Las campañas comienzan y finalizan a intervalos específicos, y los gerentes reciben un correo electrónico con su informe de resultados.

Construyendo un Perfil de Riesgo
Tener acceso a los datos de rendimiento de las campañas es basic porque crea un flujo de información bidireccional. Los usuarios deben ser conscientes de las amenazas de seguridad a las que se enfrentan, y los administradores necesitan visibilidad de los riesgos que enfrenta la empresa por parte de los empleados. Un programa de concientización debe proporcionar datos de cada campaña que los administradores puedan usar para dirigir futuros esfuerzos de capacitación y educación.

Esos datos no solo deben incluir lo que hizo cada usuario, sino también una instantánea del estado de sus equipos y computer software. Si los usuarios hacen clic en un enlace riesgoso, también pueden tener otros hábitos tecnológicos deficientes, como tener navegadores o sistemas operativos que necesiten actualización, complementos antiguos o software package no registrado en sus dispositivos. Los informes también deben incluir información de dirección IP para que un administrador pueda saber si los empleados están accediendo a datos confidenciales en redes públicas de Wi-Fi o no están utilizando una VPN requerida.

Tener esos datos ayuda a los administradores a realizar mejores evaluaciones y obtener una imagen clara del perfil de riesgo promedio entre los usuarios. Esto es esencial para construir un perfil de riesgo preciso para la organización, de modo que los administradores puedan tomar los pasos apropiados para abordar cualquier problema o punto débil. Una vez que se establece el perfil de riesgo, podría significar más capacitación, capacitación o incluso una inversión en nuevo computer software o components para garantizar que todo esté actualizado.

Ese es el valor de tener un programa integral de capacitación en concientización de seguridad compared to una campaña única. Los administradores pueden usar la información que recopilan durante cada campaña para ayudar a mejorar la iniciativa normal de capacitación sobre conciencia de seguridad.

Las soluciones de capacitación basadas en computadoras con conocimiento de seguridad brindan a los administradores la capacidad de crear rápidamente programas a partir de una biblioteca existente y automatizar la recopilación de datos y los informes, lo que facilita a las empresas ejecutar un programa profesional y bien diseñado sin un esfuerzo innecesario. En última instancia, esto permite que los administradores pasen más tiempo lidiando con el comportamiento riesgoso de los empleados y abordando los problemas de seguridad subyacentes que crean esas vulnerabilidades.

Contenido relacionado:

Dennis Dillman es el vicepresidente de Conciencia de seguridad en Barracuda Networks. En su papel en Barracuda PhishLine, Dennis ha sido responsable del lanzamiento de un programa de capacitación completamente nuevo que ahora está integrado con la plataforma PhishLine. También ha trabajado con Fortune 100 … Ver biografía completa

Más concepts





Enlace a la noticia unique