En los últimos años, los profesionales, analistas y proveedores han debatido mucho sobre el sector de la concienciación en materia de seguridad y sobre lo que constituye un buen programa, cómo se mide y por qué.
Después de cientos de conversaciones con clientes de diversos tamaños y niveles de complejidad, queda claro que los métodos tradicionales de formación y concienciación en seguridad, basados en el cumplimiento normativo, están resultando insuficientes. También lo son nuestros métodos para medir su eficacia.
Si el objetivo es reducir el riesgo de ciberseguridad relacionado con las acciones y comportamientos de los empleados, tenemos que ir más allá de la concienciación para impulsar un cambio de comportamiento sostenido y fomentar una cultura consciente de la seguridad.
Problemas de los programas tradicionales de concienciación en material de seguridad
Los programas tradicionales para aumentar la concienciación en materia de seguridad han sido durante mucho tiempo un elemento básico de las iniciativas de ciberseguridad de las empresas. ¿Por qué no han sido eficaces?
Enfoque único
Muchos programas tradicionales utilizan año tras año los mismos contenidos de formación genéricos y basados en el cumplimiento de normativas. Este enfoque no responde a las circunstancias únicas y concretas que los empleados que desempeñan distintas funciones dentro de una organización probablemente tendrán que afrontar.
Una metodología única puede conducir a la falta de compromiso y de relevancia para los empleados. Sin embargo, ofrecer un enfoque personalizado puede resultar abrumador para los equipos de seguridad, sobre todo si carecen de recursos suficientes.
Desconexión con el mundo real
Los programas tradicionales pueden impartir conocimientos, pero a menudo tienen dificultades para traducirlos en un cambio de comportamiento sostenido. El estudio realizado en el marco del informe State of the Phish 2024 de Proofpoint reveló que el más de dos tercios de los empleados (68 %) realizan acciones de riesgo conscientemente, a pesar de que el 99 % de las empresa cuenta con un programa de concienciación en materia de seguridad.
La mayoría de los programas de concienciación son como enseñar a alguien a saltar en paracaídas pidiéndole que vea unos vídeos y lea una política. Pero cuando esa persona salta del avión, se desorienta. No están acostumbrados al viento y al aire enrarecido, y se sienten inseguros sobre cuándo activar el paracaídas.
Del mismo modo, los empleados que solo reciben formación pasiva sobre seguridad tienen dificultades para aplicar sus conocimientos cuando se enfrentan a amenazas reales. Puede que los empleados entiendan los conceptos de seguridad, pero les cuesta aplicarlos de forma coherente en su trabajo diario.
Por qué cambiar la terminología no resolverá el problema
En nuestras conversaciones con los clientes aparece un nuevo término — gestión de riesgos asociados a las personas.
Muchos clientes nos dicen que quieren adoptar este enfoque. Dicen que quieren medir el riesgo, pero no saben qué medir ni cómo hacerlo. La complejidad de obtener datos de distintos proveedores y fuentes y conseguir que todo tenga sentido y sea procesable es muy complicado. También mencionan que quieren utilizar la automatización, la gamificación y otros elementos que les ayuden a conseguir un mayor compromiso de los empleados.
Estos son sin duda excelentes herramientas. Y, sin duda, debemos entender el riesgo y encontrar formas de atraer la atención de los empleados de manera más eficaz. Pero son solo herramientas, y se quedan cortas a la hora de entender cómo cambiar el comportamiento. Para ello es necesario profundizar en los principios y técnicas de las ciencias del comportamiento, algo para lo que la mayoría de los equipos de ciberseguridad no suelen estar capacitados.
Algunos clientes, analistas y proveedores llaman a la práctica de la concienciación sobre seguridad “gestión de los riesgos asociados a los usuarios” sin entender lo que significa ese término. Es un término confuso y negativo. Sugiere que las personas son “arriesgadas” y necesitan ser “gestionadas”. Perpetúa la idea de que el empleado es el problema y fomenta una mentalidad de “nosotros contra ellos” en lugar de una mentalidad integradora.
En Proofpoint, consideramos que tiene valor entender a los empleados: lo que hacen, lo que saben y lo que creen. Esa comprensión también debe cuantificarse para crear un programa que promueva un cambio de comportamiento sostenido.
La concienciación es fundamental
Consideramos positivo que los clientes nos pregunten por la gestión de riesgos asociados a las personas. Aunque el término en sí sea negativo, nos da la oportunidad de hablar con los clientes de forma más amplia sobre los programas de comportamiento y cultura de seguridad, y el papel de la concienciación dentro de ellos.
La concienciación es la base fundamental. Proporciona a los empleados los conocimientos esenciales y la comprensión de las amenazas potenciales, las mejores prácticas y la importancia de tener presente la ciberseguridad en su trabajo diario.
No queremos tirar por la borda los fundamentos de la concienciación. Por el contrario, debemos hacerlos evolucionar incorporando contenidos adaptados a las funciones y responsabilidades específicas de las personas dentro de la empresa. Este método reconoce que los distintos puestos se enfrentan a retos de ciberseguridad únicos. Se necesitan conocimientos específicos sobre roles, amenazas y privilegios para adoptar con eficacia comportamientos más seguros y combatir las amenazas.
Le recomendamos que complemente su programa actual con formación sobre las amenazas pertinentes, impartida en sesiones pequeñas y en diversos formatos, por ejemplo:
- Simulaciones interactivas
- Experiencias gamificadas
- Campañas continuas de refuerzo
Animamos a nuestros clientes a estudiar cómo pueden ofrecer más orientación en tiempo real para animar a los empleados a tomar decisiones más seguras. Recomendamos la implicación y participación de empleados de todos los niveles de responsabilidad. Puede que le sorprenda gratamente descubrir que incluirlos como parte de la solución aportará una gran creatividad y compromiso.
La cultura reina
El concepto de que “la cultura come estrategia para desayunar” es muy pertinente para los programas de comportamiento y cultura de seguridad. Destaca el papel fundamental que desempeña la cultura de una empresa en el éxito de las iniciativas de seguridad. La cultura constituye la base sobre la que se construyen los comportamientos de seguridad. Incluso la estrategia de seguridad mejor diseñada fracasará si no está respaldada por una cultura que valore y dé prioridad a la seguridad.
Una estrategia de seguridad esboza el plan y los objetivos para proteger los activos de una empresa. Pero la cultura es lo que determina la eficacia con que se aplican esas estrategias. Independientemente del proveedor o la tecnología que elija, si su empresa no adopta plenamente una cultura orientada a la seguridad, su capacidad para lograr un cambio de comportamiento sostenido en sus empleados será escasa.
Una cultura consciente de la seguridad empieza y se mantiene desde arriba. Tenga en cuenta que la dirección superior no termina en el CISO. Los mejores programas también están vinculados a los indicadores clave de rendimiento de la empresa, no solo del equipo de seguridad. Se desarrollan con un equipo multidisciplinar que fomenta la responsabilidad en lugar del miedo. Estos programas también:
- Promueven una mayor participación voluntaria.
- Consideran al empleado como la solución, no como el problema.
- Utilizan métricas de ciberseguridad relacionadas con los objetivos operativos y estratégicos.
Además, los mejores programas correlacionan directamente cómo la actividad de los empleados ayuda a reducir también los incidentes de ciberseguridad:
- Mejora la posición global de riesgo de la empresa.
- Aumenta la productividad de las plantillas.
- Influye en la consecución de las previsiones de ingresos y costes y de los objetivos estratégicos.
Esto puede parecer desalentador, pero hay una forma de empezar ahora. El marco PIPE de Gartner puede ayudarle a ir más allá de la concienciación en seguridad y lograr un cambio de comportamiento sostenido. También puede ayudarle a fomentar una cultura consciente de la seguridad.
Conclusión
Es necesario contar con un fuerte apoyo ejecutivo, objetivos alineados, creatividad y las herramientas adecuadas para avanzar hacia un cambio de comportamiento sostenido. Del mismo modo que no hay atajos para convertirse en un experto paracaidista, la consecución de objetivos requiere práctica, orientación y técnicas eficaces.
En Proofpoint, evolucionamos continuamente nuestras soluciones para satisfacer las necesidades de los clientes actuales y futuros. Agradecemos sus comentarios sobre nuestro trabajo. Si desea obtener más información o continuar con el debate, participe con nosotros en una de las próximas conferencias Proofpoint Protect en Londres, Austin o Chicago.