Puedes preguntar a varios profesionales de la informática si creen que la formación en materia de seguridad es eficaz para reducir los riesgos humanos, y es probable que obtengas una respuesta mixta...
"La nuestra ha funcionado de maravilla, el equipo se ha tomado muy en serio la formación"
"Hemos intentado un programa de formación, pero los usuarios siguieron siendo víctimas de phishing".
"Aún es pronto, pero las señales son buenas".
El problema es que estas revisiones a medias no ofrecen a tu empresa una visión clara de la eficacia de este tipo de formación, de lo que está funcionando bien y del rendimiento general de la inversión (ROI).
Así que, en este post, te explicaremos :
- ¿Cuál es la eficacia de la formación en materia de seguridad para reducir los riesgos?
- ¿Cuál es el rendimiento de la inversión (ROI)?
- Cinco maneras de hacer que la formación en materia de seguridad funcione
- Cómo empezar por el buen camino
¿Cuál es la eficacia de la formación en materia de seguridad?
La eficacia y el rendimiento de la formación en materia de seguridad pueden variar en función de una serie de factores, como el formato, los canales y la frecuencia.
Pero, si se hace bien, la formación de los empleados puede ser una solución de gran éxito para reducir los errores humanos, mejorar el comportamiento cotidiano en materia de seguridad y alcanzar los estándares clave de cumplimiento de la normativa.
En un estudio reciente, el 80% de las organizaciones afirmaron que la formación en materia de seguridad había reducido la susceptibilidad de su personal a los ataques de phishing. Esta reducción no se produce de la noche a la mañana, pero puede ser rápida: se ha demostrado que la formación regular reduce el riesgo del 60% al 10% en los primeros 12 meses.
Incluso los programas de formación menos eficaces multiplican por siete el rendimiento de la inversión, y el programa de rendimiento medio multiplica por 37 el rendimiento de la inversión.
Ponemon Institute
El siguiente gráfico ofrece una visión de un estudio que medía la capacidad del personal para reconocer las amenazas antes y después de la formación:
Como muestra, la formación en materia de seguridad hace que el personal sea mucho más capaz de identificar las posibles ciberamenazas.
Todo esto del rendimiento de la inversión (ROI) suena muy bien, pero ¿cómo se calcula?
Con tantos factores diferentes que influyen en el ROI de la formación en materia de seguridad -incluyendo el tamaño de la empresa, la ubicación y los costes de formación- es bastante difícil producir una predicción precisa de las cifras que puedan ser relevantes para cada empresa.
Dicho esto, Osterman Research ha elaborado uno de los modelos de costes y de ROI más reputados desarrollados para la formación en materia de seguridad.
Su estudio demostró que, por término medio, las empresas más pequeñas (menos de 1.000 empleados) pueden obtener un ROI del 69% de un programa de formación en seguridad, mientras que las empresas más grandes (más de 1.000 empleados) pueden obtener un ROI del 562%.
La salvedad en este caso es que el informe se ha basado en una serie de supuestos -que puedes consultar con más detalle aquí-, incluidos los costes de las operaciones y la pérdida potencial de clientes e ingresos, que obviamente varía de una empresa a otra.
Pero no te pierdas en los datos. El punto clave es quela formación funciona.
Cinco maneras de hacer que tu formación en materia de seguridad funcione
Para que la formación de tus empleados sea lo más eficaz posible, hay una serie de ingredientes clave que debes incluir:
#1 Mantener la regularidad
Según USENIX, los empleados empezarán a olvidar su formación después de cuatro meses, por lo que ofrecer sesiones de concienciación periódicas es clave para asegurarse de que la información se mantiene fresca en sus mentes.
Como se ve en el informe anterior, muchas empresas optan por formar al personal mensualmente para mantener la información fresca en la mente.
Puede parecer mucho, pero este tipo de formación suele impartirse mediante cursos de tamaño reducido y basados en ordenador (CBT ) para evitar la fatiga de aprendizaje y cualquier obstáculo a la productividad.
#2 Mantener el interés
En lugar de transmitir una lista de puntos durante una presentación de PowerPoint, intente impartir cursos de formación basados en vídeo e interactivos más memorables.
Puedes consultar aquí un ejemplo rápido de vídeo de formación extraído de la plataforma de concienciación de seguridad de usecure, uLearn:
#3 Cubrir los temas esenciales
Es fácil pensar que la formación del personal sobre cómo detectar un ataque de phishing es suficiente para reducir el riesgo humano, pero centrarse únicamente en unos pocos temas deja la puerta abierta a los errores humanos y a los ataques exitosos.
La formación continua de los empleados debe abarcar una amplia variedad de consejos de comportamiento, técnicas de ataque y normas de cumplimiento. Consulta los 12 temas principales de formación en materia de seguridad de usecure.
#4 Iniciar simulaciones prácticas de phishing
¿Has formado a tu personal sobre cómo detectar un ataque de phishing? Eso está muy bien, pero ¿cómo reaccionarán cuando un correo electrónico fraudulento de finanzas llegue a su bandeja de entrada, pidiéndoles que paguen una factura "lo antes posible"?
Si realizas simulaciones de phishing para empleados, podrás detectar cuales empleados serían víctimas de un ataque real, lo que dará a tu empresa la oportunidad de educar proactivamente a esa persona sobre sus errores.
#5 Medir el impacto de la formación
Es importante medir el impacto de la formación para que tu empresa pueda a) informar sobre si el enfoque está funcionando y b) tener una visión general de cualquier área de riesgo humano potencial.
La realización de un rápido cuestionario al final de cada sesión de formación es una buena manera de entender lo que cada persona ha aprendido.
Con uLearn, se somete a cada empleado a un cuestionario inmediatamente después de su curso, y sus resultados se guardan y se añaden a su perfil individual, además de contribuir a la puntuación global de riesgo humano de la empresa.
Cómo empezar por el buen camino
Lo esencial de cualquier programa eficaz de formación en materia de seguridad se reduce a formar al personal con frecuencia, utilizando material atractivo, cubriendo lo esencial y midiendo el impacto continuo.
Pero encontrar el tiempo y el presupuesto para planificar, impartir y gestionar este tipo de formación puede parecer una gran pérdida de recursos para el departamento de TI y la empresa en su conjunto.
Por eso hemos elaborado una guía completa sobre la formación en materia de seguridad para ayudarte a poner en marcha una formación en materia de seguridad rentable y sencilla para los administradores desde el primer día.
