Por qué la capacitación en concientización sobre seguridad debe estar respaldada por …



La formación en ciberseguridad necesita una revisión, aunque la formación en sí es solo una pequeña parte de cómo los equipos de seguridad pueden influir en el comportamiento de los usuarios.

A medida que las organizaciones de TI luchan con las implicaciones de seguridad de los arreglos de trabajo remoto y las ya de por sí indiferentes actitudes sobre la seguridad que impregnan la base de usuarios empresariales, ahora es el momento de cambiar la forma en que los equipos de seguridad influyen en el comportamiento de sus usuarios. Eso es lo que dicen los expertos en Info Security Discussion board (ISF), que esta semana publicó una nueva guía sobre cómo ir más allá de la tibia capacitación en concientización sobre seguridad hacia estrategias más integrales.

La mayoría de los líderes de seguridad todavía luchan por desarrollar iniciativas de concienciación y educación sobre seguridad en toda la fuerza laboral que resuenen con los usuarios y promuevan un comportamiento de seguridad sólido, informa ISF. Alrededor del 65% de los miembros de la ISF, en los que se basa su informe, dice que la receptividad de sus empleados a la capacitación en seguridad existente es de muy baja a media. Algunos de los mayores desafíos nombrados por estos encuestados incluyen la falta de aplicabilidad a los roles laborales, mensajes mixtos o inconsistentes y contenido pobremente desarrollado.

En el informe «Seguridad centrada en el ser humano: Influencia positiva en el comportamiento de seguridad», la ISF recomienda a las organizaciones no solo revisar sus programas de capacitación en seguridad, sino también cambiar fundamentalmente el papel que desempeña la capacitación para incitar a los empleados a tomar decisiones seguras de manera consistente tanto en el mundo electronic como en el físico. Para eso es elementary asumir el manto del comportamiento seguro por diseño.

Los conceptos de «seguro por diseño» o «seguro por diseño» son facilitadores psicológicos bien establecidos de la conducta. Por ejemplo, los reguladores y arquitectos técnicos de las industrias del automóvil y las aerolíneas dan prioridad a la seguridad por encima de todo.

«Esto tiene que emanar en todo el ecosistema, desde los cinturones de seguridad de los vehículos hasta los semáforos y los rigurosos exámenes para los conductores», dice Daniel Norman, analista senior de soluciones de ISF y autor del informe. «Este ecosistema está diseñado de manera que se cut down la capacidad de un individuo para comportarse de manera insegura, y si se realiza un comportamiento inseguro, los impactos se minimizan mediante controles sólidos».

Como él explica, estos principios de seguridad por diseño pueden traducirse en ciberseguridad de varias maneras, incluida la forma en que se diseñan las aplicaciones, herramientas, políticas y procedimientos. El objetivo es proporcionar a cada función de los empleados «una ruta fácil y eficiente hacia el buen comportamiento».

Esto significa, en ocasiones, cambiar el entorno físico de la oficina o el entorno de la interfaz de usuario digital (UI). Por ejemplo, la seguridad por diseño para mejorar la susceptibilidad al phishing podría incluir la implementación de botones de denuncia de phishing fáciles de usar en los clientes de correo electrónico de los empleados. Del mismo modo, podría significar la creación de ventanas emergentes coloridas en las plataformas de correo electrónico para recordar a los usuarios que no envíen información confidencial.

«Como punto de partida, un individuo siempre elegirá ser productivo en su función precise antes que comportarse de manera segura. Si el elemento de seguridad de un proceso de extremo a extremo agrega fricción adicional, esto debe cambiar», dice Norman. «Una vez que se hayan identificado riesgos adicionales, las organizaciones estarán mejor posicionadas para rediseñar los entornos digitales y físicos para guiar, motivar y permitir que las personas se comporten de manera segura».

Para impulsar la seguridad por diseño, es elementary tener en cuenta la importancia de la experiencia del usuario en las interfaces de usuario.

«Esta es la interfaz visible en la que un individuo puede estar expuesto a cualquier número de amenazas que potencialmente podrían resultar en un incidente de seguridad», dice. «El diseño de estos sistemas debe permitirles gestionar y mitigar las amenazas de forma eficaz o informar sobre posibles incidentes tan rápido como sea necesario».

La seguridad por diseño es el respaldo de una sólida formación en seguridad, que aún debería desempeñar un papel essential en las iniciativas de seguridad centradas en el ser humano. Pero la capacitación debe renovarse en la mayoría de las organizaciones para marcar la diferencia. ISF cree que las organizaciones deben esforzarse y mejorar su contenido de capacitación para adaptarse más a los roles de los empleados, enfocándose primero en los grupos de usuarios de alto riesgo. La psicología del comportamiento y la investigación educativa también indican que para ser más eficaz, la formación debe estar más comprometida emocionalmente y realizarse con más frecuencia.

Los equipos de seguridad deben ser conscientes de que estos programas de concientización son una gran oportunidad para ganar o perder los corazones y las mentes de los empleados, de la misma manera que los especialistas en internet marketing comunican los valores de la marca a los compradores, dice Lisa Plaggemier, directora de estrategia de MediaPro, una empresa de ciberseguridad y privacidad. proveedor de educación.

«Si la &#39marca&#39 de su equipo de seguridad no es accesible, útil y agrega valor, no se lo incluirá en proyectos en los que realmente necesite un asiento en la mesa», dice. «Su programa de capacitación y concientización es lo más noticeable que hace su equipo de seguridad, así que úselo para demostrar que desea trabajar con la empresa, no en contra de ella, y que es amigable y accesible».

Desafortunadamente, muchos equipos de seguridad que entienden esto y quieren reinventar la marca de seguridad con una mejor capacitación no pueden hacerlo debido a la política organizacional, dice Plaggemier. No logran realizar cambios significativos en la capacitación de concienciación sobre seguridad porque las comunicaciones corporativas o los recursos humanos tienen demasiado poder de veto al respecto.

«Todas las semanas hablo con profesionales de formación y concienciación muy talentosos que les gustaría ir más allá y hacer algo creativo que llame la atención de la gente, y sus buenas suggestions son rechazadas o diluidas hasta el punto de dejar de ser atractivas», dice Plaggemier. , explicando que las organizaciones de seguridad tendrán que luchar por una mayor autonomía para marcar la diferencia. «Si el equipo de seguridad es responsable y rinde cuentas, también tenemos que estar capacitados para ejecutar el programa».

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Darkish Examining. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary