Existe un viejo mantra en ciberseguridad que afirma que los humanos son el eslabón más débil de la cadena de seguridad. Esto es cada vez más cierto, ya que los ciberdelincuentes compiten para aprovecharse de los empleados más descuidados. Sin embargo, también es posible convertir ese eslabón débil en una efectiva primera línea de defensa. La clave está en poner en marcha un programa eficaz de formación en materia de ciberseguridad.
Una investigación de Verizon revela que el 82% de las filtraciones de datos analizadas en 2021 implicaron algún "error humano". Es un hecho ineludible de las ciberamenazas modernas que los empleados representan uno de los objetivos principales de los ataques. Si se les da el conocimiento necesario para detectar las señales más claras de advertencia y para entender cuándo pueden estar poniendo en riesgo los datos sensibles de la compañía, existe una gran oportunidad para avanzar en los esfuerzos de mitigación de riesgos.
Estos programas de formación son fundamentales para proteger los datos de las compañías. Un estudio reciente de Hiscox ha revelado que el 20% de las empresas que han sufrido una filtración de este tipo han estado a punto de quebrar. Otra investigación de IBM afirma que el coste medio de una filtración de datos a nivel mundial es ahora más alto que nunca: más de 4,2 millones de dólares.
Cómo llevar a cabo un programa de formación en ciberseguridad
Según ESET, compañía experta en ciberseguridad, el primer paso para establecer y llevar a cabo un programa específico de formación en ciberseguridad pasa por que los CISO de las compañías empiecen a consultar a los equipos de RR.HH., que son los principales responsables de los programas de formación de la empresa. Es posible que ellos mismos puedan proporcionar asesoramiento a medida o un apoyo más coordinado.
Algunas de las áreas que deberían quedar cubiertas en ese programa son:
- Ingeniería social y phishing/vishing/smishing
- Divulgación accidental de información por correo electrónico
- Protección de la web (búsquedas seguras y uso de la WiFi pública)
- Buenas prácticas en materia de contraseñas y autenticación multifactor
- Teletrabajo seguro y sin riesgos
- Cómo detectar las amenazas internas
- Y, por encima de todo, las lecciones o exposiciones deberían:
- Ser divertidas y gamificadas (piensa en un refuerzo positivo en lugar de mensajes basados en el miedo).
- Estar basadas en ejercicios de simulación del mundo real
- Ser impartidas de forma continua a lo largo del año en lecciones cortas (10-15 minutos)
- Incluir a todos los miembros del personal, incluidos los ejecutivos, los trabajadores a tiempo parcial, etc.
- Ser capaz de generar resultados que puedan utilizarse para ajustar los programas a las necesidades individuales
- Estar adaptadas a los diferentes roles de la compañía