¿Qué es la formación y concienciación en ciberseguridad?

En términos generales, se puede concebir la formación y concienciación en ciberseguridad simplemente como asegurar que los usuarios comprendan y sigan ciertas prácticas para ayudar a garantizar la seguridad de una organización. Desde esta perspectiva, la concientización en seguridad informática ha existido prácticamente desde siempre, particularmente cuando se toma en cuenta la necesidad de seguridad en aplicaciones militares.

Hoy en día, la concienciación se enfoca en la seguridad de la información y especialmente en la ciberseguridad. Los rápidos avances en la tecnología de la información ─ y las innovaciones paralelas por parte de los cibercriminales ─ implican que los empleados y otros usuarios finales necesiten de una capacitación regular y específica para mantenerse seguros en línea y proteger su información y la de sus empleadores.

Este artículo es una introducción a la formación y concientización en ciberseguridad y su importancia: por qué las organizaciones la emplean, cómo ha evolucionado con los años y cómo ayuda a reducir las amenazas de ciberataques y otros tipos de violaciones a la seguridad. Por último, presentaremos algunas herramientas para crear un programa eficaz para concienciar en seguridad.

La formación en ciberseguridad empieza aquí

Iniciar una prueba gratuita

La prueba gratuita funciona de la siguiente manera:

  • Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
  • En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
  • ¡Conozca nuestra tecnología en acción!
  • Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.

Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.

Un representante de Proofpoint se comunicará con usted en breve.

¿Por qué las organizaciones hacen formación y concienciación en ciberseguridad?

La concientización en ciberseguridad juega un papel clave para minimizar las serias amenazas de ciberseguridad a las que se enfrentan los usuarios finales debido a los ataques de phishing e ingeniería social. Algunos puntos claves en esta formación suelen incluir la gestión de contraseñas, privacidad, seguridad en correo electrónico/phishing, seguridad en internet/web y seguridad física y en la oficina.

También existen beneficios para las empresas que realizan formación y concienciación en seguridad informática, tal como se indica en el informe del Aberdeen Group sobre la formación y concienciación en ciberseguridad: pequeña inversión, gran reducción en el riesgo. Los investigadores llevaron a cabo un taller con líderes de seguridad corporativa para determinar por qué invierten en concientización en ciberseguridad. Hallaron lo siguiente:

  • El 91% utiliza la concienciación en seguridad para reducir los riesgos de ciberseguridad relacionados con el comportamiento de los usuarios
  • El 64% la usa para cambiar comportamientos
  • El 61% la usa para cumplir con requisitos regulatorios
  • El 55% la usa para cumplir con políticas internas

 

Por qué hacer formación y concienciación en ciberseguridad

 

Tal como sugieren estas estadísticas, algunas organizaciones emplean la formación y concientización en ciberseguridad para empleados simplemente porque están obligados a ello, para cumplir con requisitos internos o externos. Pero esta capacitación también tiene sentido a nivel financiero, según el informe: “un aumento en el nivel de inversión en concientización en seguridad produce una reducción media de alrededor del 50% en los ataques de phishing y un retorno medio sobre la inversión de aproximadamente 5:1”.

La evolución de la formación y concienciación en ciberseguridad

Si bien los conceptos clave un curso de concienciación en seguridad informática no son nuevos, han llegado al conocimiento del público en general en tiempos relativamente recientes. Un indicador de esto fue el lanzamiento, en el 2004, del mes nacional de la concienciación de ciberseguridad. La iniciativa, generada por la Alianza Nacional para la Ciberseguridad y el Departamento de Seguridad Nacional de los EE. UU., tenía como propósito ayudar a que la gente estuviese más segura en línea, alentando prácticas tales como la actualización habitual de software antivirus.

Desde entonces, el mes de la concienciación anual ha inspirado eventos similares en otros países, ha expandido sus temas y contenidos y ha generado un aumento en la participación en diversas industrias y gobiernos, así como universidades, instituciones sin ánimo de lucro y el público en general.

El enfoque, métodos y efectividad de los cursos de concienciación en ciberseguridad han experimentado cambios significativos con el pasar de los años. En el 2004, la mayoría de los programas existían simplemente porque era necesario cumplir con los requisitos normativos. Hoy en día, este enfoque ha cambiado hacia considerar esta formación como un medio para gestionar y mitigar los ciberriesgos empresariales.

 

Evolución de la formación y concienciación en ciberseguridad

 

En todo este tiempo, los métodos de formación y capacitación también han madurado. En 2004, el paradigma dominante era la realización de presentaciones anuales, tanto en forma de sesiones de formación en persona como cursos online. Desafortunadamente, estas sesiones tan largas e infrecuentes no generan una buena retención de conocimientos. Una transición paulatina hacia una capacitación más corta y orientada a temas muy específicos representó una mejora, pero estas formaciones se llevaban a cabo con poca frecuencia, cosa que permitía que el conocimiento se disipase con el tiempo.

Alrededor del 2014, la formación y concienciación en seguridad informática comenzó a orientarse hacia la formación y mejora continuas, en las que un programa incluye ciclos continuos de evaluación y capacitación. Los desarrollos más recientes son la formación “justo a tiempo” y “en contexto”, que adicionan la capacidad de lanzar una capacitación en respuesta a un usuario final que exhibe un comportamiento deficiente en materia de ciberseguridad, como por ejemplo una navegación web insegura.

Herramientas para formación de usuarios finales

Hoy en día, los profesionales de seguridad informática usan una variedad de herramientas para capacitar a los usuarios finales, como se puede ver en nuestro Informe State of the Phish™ de 2019. La herramienta más utilizada ─ y que sigue ganando contínuamente popularidad ─ es la formación online.

  • El 79% usa cursos de ciberseguridad online
  • El 68% usan ejercicios de simulación de phishing
  • El 46% emplean campañas de concienciación (vídeos y pósteres)
  • El 45% usan cursos presenciales de concienciación y formación en ciberseguridad
  • El 38% usan notificaciones mensuales o boletines informativos

Los programas de capacitación bien diseñados suelen usar varias de estas herramientas mencionadas. Igualmente importante, es el hecho de implementar estas herramientas de una manera sistemática y metódica que le permita hacer un seguimiento y medir el progreso en un tiempo determinado.

 

Herramientas para capacitación de usuarios finales

 

Nuestras soluciones de capacitación son altamente eficaces y emplean nuestra metodología de capacitación continua, diseñada con principios de pedagogía para interactuar con el alumno y cambiar su comportamiento.

La manera en que utilizamos los principios de la pedagogía ha resultado sumamente eficaz, según investigaciones realizadas en la universidad Carnegie Mellon.

Eficacia de la formación y concienciación en ciberseguridad

Nuestros propios casos prácticos y resúmenes de resultados también arrojaron datos persuasivos:

95%

En un período de dos años, una institución financiera registró una reducción del 95% en incidencias de malware y virus informáticos, y una mayor concienciación acerca de las amenazas de ciberseguridad.

90%

Una universidad del noreste de los EE. UU. Informó sobre una reducción significativa en las incidencias de malware y virus informáticos, con una reducción del 90% en la cantidad de ataques de phishing exitosos, un gran descenso de solicitudes de soporte informático, un incremento en la cantidad de usuarios informando de incidencias y ataques, y un mayor conocimiento en temas de seguridad.

89%

Una organización de prestaciones laborales logró una reducción de más del 89% en la susceptibilidad ante el phishing, y lo consiguió usando nuestros módulos de evaluación y formación como componentes clave de su plan de concienciación en ciberseguridad para empleados.

80%

Los cursos de ciberseguridad ayudaron a unos empleados municipales a reducir las tasas medias de clics en sitios fraudulentos en un 80% en un año, y a evitar sofisticados ataques de fraude por transferencia bancaria.

Cómo crear un plan de concienciación de seguridad

Le ofrecemos un kit de concienciación integral con productos para crear su plan de concienciación en seguridad: desde evaluaciones de conocimiento y simulaciones de phishing hasta capacitación interactiva, con informes eficaces y tableros o consolas de gestión muy fáciles de usar.

Kit de formación antiphishing

Kit de formación antiphishing

Nuestros clientes han usado nuestro paquete de capacitación antiphishing y nuestra metodología de formación continua para reducir la cantidad de ataques de phishing e infecciones de malware exitosos hasta en un 90%. Utilice nuestro enfoque de cuatro pasos: “evaluar”, “capacitar”, “reforzar” y “medir” como base de su plan de concienciación en ciberseguridad para empleados contra el phishing.

Ataques de phishing simulados

Simulated Phishing Attacks

Evalúe de manera rápida y eficaz cuán susceptibles son sus empleados a los ataques de phishing y de spear phishing con nuestras simulaciones de phishing ThreatSim®. A los usuarios finales que caen en ataques de phishing simulados se les presenta automáticamente un “momento de aprendizaje”. Esta orientación “justo a tiempo” permite a los usuarios saber qué hicieron mal y ofrece consejos para ayudarlos a evitar futuras amenazas.

Curso de concienciación de seguridad

Security Awareness Training

Le recomendamos que su programa de capacitación para conciencia de seguridad incluya formación contra el phishing para toda la empresa, así como una capacitación antiphishing orientada. Nuestro enfoque exclusivo y módulos de capacitación interactivos le ayudan a brindar una formación en ciberseguridad para empleados en un formato flexible y bajo demanda, que minimiza las interrupciones en las rutinas de trabajo diarias.

Herramienta de informes de correo electrónico PhishAlarm®

PhishAlarm Email Reporting Tool

El reforzar las buenas prácticas es clave para mejorar la retención. Nuestra herramienta de informes de correo electrónico PhishAlarm® les permite a los usuarios finales reportar un correo electrónico sospechoso de phishing con tan solo un clic con el ratón, reforzando así los comportamientos positivos. Nuestra herramienta opcional de priorización PhishAlarm maximiza las prestaciones de PhishAlarm y optimiza las medidas de respuesta y corrección de los correos electrónicos reportados.

¿Listo para probar Proofpoint?

Empiece con una versión de evaluación gratuita de Proofpoint.