Cloud reflection on building surface

Principios de la ciencia de aprendizaje

Resumen

Implique a los usuarios para cambiar su comportamiento

Las soluciones de formación en materia de seguridad Proofpoint Security Awareness Training han demostrado una enorme eficacia a la hora captar la atención de los usuarios y cambiar su comportamiento. Los trabajos de investigación de la Universidad Carnegie Mellon han demostrado la eficacia del uso que hacemos de los principios de la ciencia de aprendizaje.

Utilizamos los siguientes principios en nuestras soluciones para ayudar a los empleados a aprender a protegerse y a proteger a sus empleadores contra los riesgos de ciberseguridad.

Ofrezca conocimientos conceptuales y procedimentales

Los conocimientos conceptuales ofrecen a los usuarios una imagen global y les permiten aplicar técnicas para resolver un problema, mientras que los conocimientos procedimentales se centran en las acciones específicas necesarias para resolver el problema.

La combinación de los dos tipos de conocimientos mejora enormemente la comprensión de los usuarios. Por ejemplo, es posible que los usuarios necesiten una lección procedimental para comprender que una dirección IP incluida en una URL podría ser un indicio de URL de phishing. Si embargo, también necesitan una comprensión conceptual de las distintas partes que componen una URL, con el fin de comprender la diferencia entre una dirección IP y un nombre de dominio. De lo contrario, corren el riesgo de confundir www4.google.com con una URL de phishing.

Ofrezca los conocimientos en pequeñas dosis

Limite la cantidad de información que deben asimilar los empleados para facilitar el aprendizaje. No parece razonable cubrir 55 temas diferentes en 15 minutos de formación en ciberseguridad y esperar que los empleados se acuerden de todo y que cambien su comportamiento. Las sesiones cortas de formación son siempre más eficaces.

Refuerce lo aprendido

La repetición de la información es uno de los pilares del aprendizaje. Si no se someten a una evaluación regular y si no se ponen en práctica, incluso los conocimientos bien asimilados acaban por desvanecerse. La formación en seguridad es un proceso continuo, y no un evento puntual.

Ofrezca contexto durante la formación

Las personas suelen recordar el contexto mejor que el contenido. Es importante presentar las lecciones sobre ciberseguridad en el mismo contexto en el que las personas son más susceptibles de ser atacadas.

Ofrezca evaluación inmediata

Si ya ha practicado algún deporte, lo comprenderá fácilmente. Proporcionar formación que denominamos "enseñanza a tiempo" (o "just-in-time teaching") cuando un empleado comete un error le permite recibir información inmediata sobre la amenaza. Si un usuario cae en la trampa de un ataque simulado generado por la empresa, recibe inmediatamente consejos, para que sea menos susceptible de dejarse engañar de nuevo.

Deje que marquen el ritmo

Puede que también suene a tópico, pero cada persona aprende a su propio ritmo. Un programa universal de formación en materia de ciberseguridad está abocado al fracaso, ya que no permite a los usuarios avanzar al ritmo que les conviene.

Ilustre el contenido con casos prácticos

Para captar la atención de los empleados, presénteles un relato con personajes que sean capaces de identificar. En lugar de enumerar hechos y datos, utilice técnicas narrativas.

Varíe el mensaje

Para facilitar la adquisición de conceptos, utilice diferentes contextos y exprese las ideas de maneras distintas. Los cursos de formación sobre ciberseguridad que presentan un concepto a los alumnos con distintos enunciados y utilizando términos distintos les ayuda a asociarlos con experiencias pasadas y establecer nuevas conexiones.

Consiga que sus estudiantes se impliquen

Los usuarios que participan activamente en el proceso de aprendizaje son más susceptibles de recordar lo que se les enseña. Sin un usuario tiene la ocasión de practicar las estratagemas del phishing y de crear contraseñas seguras, los resultados pueden ser espectaculares. Desafortunadamente, las empresas priman a menudo los modelos pedagógicos tradicionales (incluidas las temidas charlas) frente a las actividades prácticas.

Consiga que piensen

Para mejorar, los usuarios deben tener la oportunidad de evaluar su rendimiento. Los programas de formación y concienciación en materia de seguridad deben poner a prueba a los empleados para que analicen la información presentada, cuestionen su validez y extraigan sus propias conclusiones.

Califique los resultados

Recopile datos de referencia, así como nuevos datos después de cada campaña de formación para reforzar los comportamientos positivos.

Si bien no podemos considerar la evaluación de resultados un principio de la ciencia de aprendizaje, se trata de una etapa esencial de todo programa de formación. Es indispensable evaluar los conocimientos de los empleados e identificar sus puntos fuertes y débiles para determinar su vulnerabilidad a ataques.