Desde la concienciación hasta Engagement, ¡la ciberseguridad es diversión en serio!
¿Sabes que puedes cambiar el paradigma de tu comunicación y la implicación de las personas en los programas de formación en materia de seguridad?
Cuando se trata de la sensibilización y la formación en materia de ciberseguridad, a menudo nos encontramos ante el abismo de la indiferencia y la falta de compromiso respecto a la forma en que se diseñan y difunden la formación y la comunicación en el ámbito de la seguridad.
A partir de un estudio que hemos realizado con más de 300 000 usuarios —en el que hemos analizado las herramientas de comunicación habituales—, hemos registrado tasas de clics (CTR) y datos de interacción que, de media, no superan el 5 %, lo que significa que más de 9 de cada 10 personas no saben, literalmente, nada de lo que se les comunica. De hecho, más de la mitad de los correos electrónicos son ignorados por completo, es decir, no solo no se produce ningún tipo de interacción, sino que ni siquiera se abren ni se leen. Por último, hemos observado que cuanto mayor es el número de destinatarios de una comunicación (DEM, correo electrónico), mayor es el porcentaje de ignorancia de la misma.
Estos datos también se ven confirmados por un reciente estudio de Gartner que pone de manifiesto que, a pesar de que el 90 % de las empresas pone en marcha programas de concienciación en materia de ciberseguridad, el 69 % de los empleados los ignora por completo.
«Los programas de concienciación sobre seguridad están fallando en la gestión del comportamiento. Más del 90 % de los departamentos de ciberseguridad cuentan con un programa de concienciación, pero el 69 % de los empleados admite que ignora intencionadamente las directrices de ciberseguridad de su empresa».
(Gartner - ¡Las iniciativas de concienciación sobre seguridad se quedan cortas! ¿Y ahora qué? (Análisis de los resultados de la encuesta – febrero de 2023)
Ante el riesgo de que los programas de concienciación cibernética fracasen si se proponen y comunican a través de los canales más tradicionales, la gestión de la ciberseguridad debe adoptar hoy en día un enfoque diferente: llegar a cada persona de forma personalizada, y las modalidades y los plazos de la participación se convierten en dos factores clave, de modo que, si son adecuados y acertados, garantizan que primero las comunicaciones y, después, la formación sean realmente eficaces. Además, según Gartner, se hace necesario precisamente un nuevo paradigma para la formación en lo que respecta a «cómo» se lleva a cabo: la creación de un programa de compromiso en materia de ciberseguridad requiere nuevas capacidades y herramientas que van más allá de las tácticas habituales (e ineficaces) basadas únicamente en la formación o la sensibilización. Estas capacidades emergentes incluyen la ciencia del comportamiento, la automatización, la integración de datos, la coordinación de herramientas y plataformas, y la implicación personalizada.
¿Algún consejo para empezar a poner en práctica estos temas desde hoy mismo?
Hay tres aspectos en los que se puede trabajar para empezar a mejorar el impacto y la eficacia de la formación y la comunicación en el ámbito cibernético:
1. Capacidad de entrega: los mensajes no deben pasar desapercibidos; al contrario, hay que llamar la atención y hacerlo de forma desenfadada, divertida y personalizada, llegando a todos los empleados: nadie debe quedarse al margen cuando se trata de la comunicación interna de la empresa;
2. Engagement: la ciberseguridad puede «ponerse de moda», sorprender e involucrar a las personas, quizá llegando en el momento adecuado, en el lugar adecuado y entablando una relación bidireccional, en lugar de una dinámica unidireccional de formación que se percibe como aburrida y alejada de la vida cotidiana;
3. Medición: ya no se trata solo de una cuestión de CTR individual, sino de establecer y evaluar objetivos para coordinar canales, herramientas y plazos en un contexto más amplio, en el que sea posible comprender el impacto real de un mensaje y decidir cómo generar efectos positivos colaterales.
En resumen, hoy en día la ciberseguridad es un reto que exige un nuevo liderazgo en el papel del CISO, sobre todo a la hora de ampliar y potenciar de forma exponencial algo que todavía es lineal: es decir, llegar a todas las personas y hacerlas participar con la información que más necesitan, de forma personalizada, y medir posteriormente la eficacia de esta iniciativa, acompañándolas en planes de formación nuevos, basados en la experiencia e «integrados en el flujo de trabajo».
Vale, pero entonces, en la práctica, ¿cómo lo hacemos?
¿Cuálpodría ser, entonces, una solución para aunar todos estos aspectos y poner en práctica una estrategia eficaz de sensibilización, engagement formación en materia de ciberseguridad?
Gracias a un exhaustivo trabajo de análisis, seguimiento y estudio en profundidad de los hábitos y comportamientos más extendidos de las personas en relación con esta necesidad específica, hemos diseñado y desarrollado una posible e interesante solución: se trata de una plataforma «phygital» (SaaS y de marca blanca) que permite, con total autonomía —tanto en la creación de contenidos como en el estilo— —, llegar a todos tus públicos objetivo«fuera de lo convencional»(literalmente, no solo fuera de los esquemas, sino también de los buzones de correo electrónico o cualquier repositorio) con mensajes contextuales y personalizados que no solo captan la atención, sino que animan (mediante la «nudge-tech») a emprender acciones y actividades, abriendo un ciclo circular y completo de implicación de la persona.
Por ejemplo, ¿quieres fomentar el uso de OneDrive en lugar de otras herramientas para enviar archivos por Internet? Sería estupendo que en la pantalla de tus empleados apareciera un mensaje que les ayudara y les guiara a utilizar OneDrive justo cuando estén a punto de usar otro método.
No es una fantasía ni un mundo paralelo, es mucho más sencillo, accesible y sostenible: con hi platform, las comunicaciones y la información sobre ciberseguridad llegan directamente a las personas (sin necesidad de ningún clic ni acción adicional) en el momento más adecuado y con una tasa de adopción (de hecho, no hay que abrir nada) y de respuesta a las llamadas a la acción que supera con creces el 50 % (¡10 veces más de lo habitual!).
«Me gusta cuando la innovación es social, no en el sentido más común del término, sino entendida como impacto social (es decir, de relación) y con la que se cambia algo, para mejor, en la vida (laboral) de las personas. Para los CISO, haciendo que la difusión de sus esfuerzos en materia de seguridad sea, por fin, exponencial; para los destinatarios, poniéndolos en condiciones de dar ese paso más hacia el conocimiento y la participación en un mundo de cosas bonitas y en una empresa más segura». – Francesco Pozzobon, director de ventas y marketing de Digital Attitude
Algunos datos de contexto sobre la «formación»: la única forma de defenderse de los ataques más comunes
El año 2023 será un año de gran expansión para el mercado de la ciberseguridad. De hecho, según los datos de CLUSIT, en el último año el mercado ha crecido un 18 %, a un ritmo nunca antes registrado.
Sin duda, esto se debe a una mayor concienciación sobre el tema en el seno de las grandes organizaciones, pero también al aumento de los ciberataques, cada vez más graves, cuyo número sigue creciendo de forma exponencial: según los estudios del Observatorio de Ciberseguridad y Protección de Datos del Politécnico de Milán, en el último año el 67 % de las grandes empresas italianas ha detectado ciberataques y el 14 % deellas ha sufrido consecuencias importantes en su negocio.
¿Cómo actuar, pues? Según CLUSIT, hay tres puntos en torno a los cuales toda empresa debería organizar su hoja de ruta:
- Gestión de la ciberseguridad: es decir, la consolidación, dentro de la empresa, de un sistema de gobernanza de la seguridad a través de la figura del CISO;
- Puestos de profesionales de apoyo al CISO: también se necesitan especialistas dedicados a la gestión de la ciberseguridad: desde el gestor de riesgos cibernéticos hasta el responsable de protección de datos, pasando por analistas de seguridad o desarrolladores de seguridad;
- Una formación nueva y diferente en materia de ciberseguridad: cada vez son más necesarias las iniciativas de sensibilización y la formación adecuada de los empleados.
Entre estos puntos, el más importante es, sin duda, la puesta en marcha de iniciativas de formación dedicadas a la capacitación de los empleados en materia de ciberseguridad. De hecho, según el estudio del CLUSIT, los ciberataques que han tenido consecuencias tangibles se han llevado a cabo mediante técnicas de ingeniería social, que actúan precisamente sobre la psicología y la persuasión de las personas. Por ello, resulta fundamental formar a los empleados de manera específica, directa y concreta en materia de ciberseguridad, centrándose en el eslabón débil: los comportamientos humanos.
«La formación se ha convertido en un elemento imprescindible en una buena estrategia de ciberseguridad. Sin embargo, la eficacia de la formación depende de la capacidad de centrarse en las repercusiones directas y concretas que cada uno de los empleados, en función del puesto que ocupe en la empresa, puede experimentar en sus actividades cotidianas».
(Observatorio de Ciberseguridad y Protección de Datos del Politécnico de Milán – Febrero de 2023)
Sin embargo, para sacar el máximo partido de ello, la formación en este ámbito debe ser eficaz y centrarse en las actividades cotidianas de cada persona: desde las contraseñas hasta el intercambio de archivos en línea. Dado que el factor humano es precisamente el punto débil por el que se cuelan las técnicas de ataque más comunes, las personas de la empresa deben estar preparadas y entrenadas para reaccionar en el día a día.
.svg)
.png)