6 mejores prácticas de formación en ciberseguridad para pymes


La formación en ciberseguridad no es la misma en todas las empresas Los programas de formación para pymes deben adaptarse al tamaño y la conciencia de seguridad. Estos son los consejos de formación en ciberseguridad de un experto.

concepto de ciberseguridad

Imagen: Jaiz Anuar / Shutterstock

¿Quién mejor para dar un consejo sobre cómo las pequeñas o medianas empresas deberían manejar la ciberseguridad que una organización y un experto con experiencia en ayudar a las PYMES a sobrevivir? Anete Poriete, investigadora de UX en CyberSmart, en su artículo Real Company, Las mejores prácticas para la formación en ciberseguridad en pymes (pequeñas y medianas empresas), dijo que existe una strategy errónea de que las pymes no están al tanto de las amenazas a la seguridad cibernética. Explicó el problema real: «En realidad, no es que las pymes no estén al tanto de las amenazas de ciberseguridad. Es más que no están seguras de qué hacer con ellas».

Nota del editor: En esta columna, cuando se hace referencia a pequeñas o medianas empresas, se utiliza SME al citar el artículo de Poriete en todos los demás casos, se utiliza SMB.

Consejos de formación sobre ciberseguridad para pymes

Las PYMES funcionan con presupuestos ajustados y no pueden permitirse la última y mejor tecnología de ciberseguridad que, honestamente, no ha funcionado tan bien para aquellos que pueden pagarla y tienen personas con conocimientos para poner la tecnología en funcionamiento y mantenerla.

Poriete dijo que un mejor enfoque es la capacitación del personalized. Dado que los ataques de phishing aumentan y se vuelven más sofisticados y no existen medios técnicos efectivos para prevenirlos, educar a los propietarios y empleados de las pymes sobre las posibles amenazas de ciberseguridad que enfrentan, reconocer una amenaza en tiempo genuine y, en última instancia, contrarrestar la amenaza parece una mejor manera ir.

Los propietarios de pequeñas y medianas empresas y sus empleados necesitan formación práctica. Todos están ocupados tratando de mantener la empresa a flote y ganar dinero. Poriete dijo que entiende esto y ha adaptado las siguientes mejores prácticas a los propietarios y empleados de las PYMES.

1. ¿Qué es la concienciación sobre ciberseguridad?

Los propietarios y el private de las pymes pueden saber qué riesgos de ciberseguridad están circulando, por ejemplo, el phishing, pero ¿comprenden por qué estos riesgos son importantes para la organización y para ellos mismos? ¿Saben qué se requiere para reducir el riesgo? «Es importante señalar que el objetivo es aumentar la conciencia sobre la seguridad», dijo Poriete. «La comunicación, la cultura y la formación en materia de seguridad son diferentes tipos de métodos que pueden utilizarse para ayudar a las pymes a llegar allí».

Cada empresa tiene que decidir si desarrollar la formación internamente o buscar un consultor especializado en ciberseguridad para recomendar o crear un programa de formación específico a las necesidades de la empresa.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic High quality)

2. Comprender la conciencia previa de una PYME sobre la ciberseguridad.

Poriete tiene un buen punto aquí, y es uno que a menudo se pasa por alto. Antes de que comience la capacitación, es importante medir y comprender las actitudes y comportamientos de todos los empleados que utilizan equipos digitales conectados a Web. Añadió: «Esto incluye lo que hacen o no hacen para mantenerse seguros y lo que saben y entienden sobre ciberseguridad».

3. Evite un enfoque único para todos

El asesoramiento sobre ciberseguridad debe ser eficaz, y aquí es donde un consultor es valioso. «A nadie le gustan las lecciones que se sienten irrelevantes o demasiado genéricas», dijo Poriete. «Teniendo esto en cuenta, la mayoría de las pymes se beneficiarían de un asesoramiento sobre amenazas y vulnerabilidades específicas para su industria u organización».

Esta práctica es donde vale la pena comprender la conciencia previa de una PYME sobre la ciberseguridad. La persona responsable de la evaluación abordará las preguntas, localizará las lagunas de conocimiento existentes y ajustará la formación para crear conciencia.

4.No dejes lugar para el miedo

Un buen departamento de TI no tiene miedo a la hora de asesorar a los usuarios. Lamentablemente, todos sabemos que el miedo es un motivador poderoso y se usa con frecuencia sin embargo, el uso del miedo dificulta la acción correcta de los usuarios que no quieren meterse en problemas.

«Existe una fuerte evidencia de que las apelaciones basadas en el miedo en la comunicación de ciberseguridad pueden ser contraproducentes e ineficaces para cambiar el comportamiento a largo plazo», escribió Poriete. «En cambio, apelar a la confianza de una persona en su capacidad para practicar conductas seguras con éxito es más influyente que el miedo y es más probable que conduzca a cambios a largo plazo».

5. Crear un programa de formación continuo y no intrusivo.

Aprender sobre ciberseguridad puede ser complejo y los instructores brindan demasiada información la mayoría de las veces. La persona responsable de la capacitación debe evitar sobrecargar a los empleados con información que es poco probable que recuerden.

«La capacitación no debería ser un ejercicio único, sino una actividad typical para ayudar a mantener el nivel de conciencia de los empleados», dijo Poriete. «Piense en ejercicios breves y precisos para no interrumpir su trabajo principal o crear fatiga de seguridad».

Además, brindar a los empleados la capacidad de administrar su tiempo de capacitación o el método de aprendizaje preferido, por ejemplo, texto o video clips, es una consideración útil.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

6. Medir la eficacia de la formación.

Medir la eficacia de la formación es una pieza importante del rompecabezas de la ciberseguridad. «Esto permitirá comparaciones con evaluaciones iniciales para medir la efectividad de la capacitación», dijo Poriete. «Esto podría incluir autoevaluaciones, como cuestionarios, o observación del comportamiento y monitoreo del cumplimiento».

Tan importante como medir la efectividad de la capacitación, que es continua, debería ser asegurarse de que las evaluaciones de seguridad también estén en curso para tener una línea de base precisa.

Por qué es importante la formación en concienciación sobre seguridad

La capacitación en concientización sobre seguridad permitirá a los empleados comportarse de manera más segura, pero solo si la organización promueve una cultura de ciberseguridad sólida, junto con prácticas y herramientas que los empleados comprendan y estén dispuestos a usar. Poriete concluyó: «Sin todas estas cosas funcionando en conjunto, una PYME corre el riesgo de fatiga de seguridad, confusión y, en última instancia, defensas más débiles contra las amenazas cibernéticas».

Ver también



Enlace a la noticia primary