Cómo evitar que los empleados ignoren los consejos de ciberseguridad
- Opinión
Dado que más del 90% de los ciberataques exitosos requiere interacción humana, los empleados son ahora mismo el punto de entrada favorito de los ciberdelincuentes que buscan dañar una organización. Y, en la mayoría de los casos, estos atacantes ni siquiera entran a la fuerza, sino que lo hacen a través de un clic erróneo o una contraseña reutilizada.
En otras palabras, los ciberdelincuentes ven sistemáticamente al personal como una puerta de acceso a los datos sensibles de la empresa; y no están equivocados. Como respuesta, muchas organizaciones han implementado formación en materia de seguridad para frenar esta situación. Aun así, esta dista mucho de ser perfecta, ya que solo el 28% de las organizaciones lleva a cabo en la actualidad un programa educativo integral más de dos veces al año.
Incluso en los casos en que la formación se hace de manera regular, las organizaciones suelen enfrentarse a una plantilla desvinculada y a menudo indiferente. En un estudio de ciberseguridad reciente se demuestra cómo los usuarios siguen teniendo comportamientos de riesgo y a menudo ignoran las buenas prácticas: el 42% admite haber realizado alguna acción peligrosa, como la descarga de malware, y el 56% permite que amigos y familiares utilicen los dispositivos proporcionados por la empresa.
Está claro que la concienciación por sí sola no es suficiente para cambiar el comportamiento. Basta con pensar en cuántas personas siguen fumando a pesar de las claras y reiteradas advertencias sobre su impacto en la salud. Sí, concienciar es vital, pero es solo el primer paso en el camino hacia una cultura de ciberseguridad en la que las mejores prácticas sean la norma y en la que nadie tolere su ausencia. La única manera de crear esta cultura, y de que el personal deje de ignorar este aspecto, es involucrar a los usuarios en cada paso. He aquí cómo.
Reforzar el mensaje mediante variedad de fórmulas
Aunque está genial hacer recordatorios periódicos, si se repite el mismo mensaje, existe el peligro de que el personal desconecte y acabe por desentenderse del proceso.
Hemos visto una clara evidencia de esto en el último año, ya que cada vez hay menos gente que identifica correctamente algunas de las amenazas más comunes. Según el último informe State of the Phish, poco más de la mitad (53%) de los usuarios sabía qué es el phishing, frente al 63% del año pasado. Lo mismo ha pasado con términos como malware (un 2% menos) y smishing (un 8% menos). El ransomware ha sido el único concepto que ha aumentado su notoriedad, aunque solo el 36% de los encuestados podía definirlo correctamente.
Esto subraya la necesidad de mantener fresca la formación en materia de seguridad. Asegurarse de impartirla en tantos lugares y formatos como sea posible. Cuanto más variadas sean las formas en que se refuerce el mensaje, más posibilidades hay de que se retenga.
Contar historias
La mayoría de los usuarios no son expertos en ciberseguridad, ni quieren serlo. Por lo tanto, es poco probable que se den por aludidos con palabras técnicas y estadísticas a secas.
Hay que presentar el proceso de ciberseguridad como una historia. Ir paso a paso mostrando a los usuarios cómo un simple comportamiento, como no cerrar correctamente un programa, utilizar un dispositivo no autorizado o hacer clic en un enlace malicioso, abre la puerta a los ciberdelincuentes. Existen muchos ejemplos reales que pueden ayudar a ello, entre los que se cuentan incidentes en los últimos años de LinkedIn, Equifax, Cognizant, Twitter y muchos más.
También se puede ir más allá, adaptando esas historias a los roles laborales, los departamentos y los malos hábitos en la propia organización para trazar un camino claro entre las acciones de hoy y las consecuencias que tendrán mañana. Cuanto más personalizado sea el mensaje, más se relacionarán los usuarios y más rápido cambiarán sus comportamientos.
Adaptarse al panorama de amenazas
El panorama de las amenazas evoluciona constantemente, así que los programas de formación deben hacer lo mismo. Estos tienen que ser aplicables a las amenazas a las que se enfrentan las organizaciones en la actualidad.
Se debe educar a los usuarios sobre los motivos y métodos de ataque más comunes, así como dónde es más probable que se los encuentren. Lo más importante es que entiendan cómo pueden ser manipulados y las posibles consecuencias de morder el anzuelo.
Conviene realizar una investigación sobre las personas más atacadas en la organización y los posibles tipos de ataque para poder impartir una formación que encaje con su día a día. Con esta información, es posible ofrecer simulaciones basadas en ejemplos reales con los que ayudar a los usuarios a aprender a poner en práctica lo aprendido cuando sea necesario.
Hacerlo divertido
Puede que la formación en ciberseguridad no resulte muy atractiva para mucha gente, pero hay maneras de hacer que tenga un tono positivo e incluso divertido. Impartirla en formatos cortos y efectivos sin miedo a utilizar enfoques diferentes, como la animación o el humor, podría encajar bien en la cultura de la empresa.
Hacer que la formación en seguridad tenga su punto competitivo o convertirla en un juego también puede ayudar al proceso. Se ha demostrado que la gamificación en formación aumenta el compromiso y la motivación, además de mejorar los resultados.
Para lograr el máximo impacto, la formación y la educación no deben parecer una tarea más. Cuanto más agradable sea la experiencia, menos se resistirá el personal a participar, dándole la vuelta a cualquier actitud inicial de indiferencia y poniéndose en acción.
La ciberseguridad como algo cotidiano
En el pasado, el día a día de la ciberseguridad quizá se manejaba principalmente por equipos de TI y administradores dentro de una organización. Pero esa época hace tiempo que pasó.
La ciberseguridad nos rodea tanto en nuestro trabajo como en nuestra vida personal, a medida que enviamos, recibimos y procesamos grandes volúmenes de datos a diario. Por eso, las buenas prácticas en esta materia deberían ser también algo cotidiano para cualquier usuario; y con una formación en seguridad adaptada, atractiva y continua, pronto será así.
Adenike Cosgrove, vicepresidenta de estrategia sobre ciberseguridad, Proofpoint