Security Awareness - KnowBe4 y BG2

Security Awareness Program Eficiente y Completo
Parte 2/3 

Contenido atractivo 

No es ningún secreto que las personas aprenden de forma diferente, por lo tanto, hay ciertos tipos de contenidos que no sirven. El contenido debe proporcionarse en diferentes versiones y variedades que se ajusten a los diversos estilos. Aquí es donde puedes sumergirte por primera vez en la «piscina de proveedores». Hay muchos proveedores en este espacio, pero pocos aportan los elementos de contenido necesarios para crear buenos programas. 

Busca un proveedor que ofrezca una interfaz administrativa fácil de usar que te permita asignar, seguir y medir los esfuerzos de formación. Es imprescindible que puedas utilizar los datos de un dashboard para sacar conclusiones útiles y significativas de lo que se está viendo en relación con el aumento/disminución del riesgo y los focos rojos de la organización en los que es necesaria una mayor intervención. 

El Security Awareness Training tiene fama de ser limitado, aburrido y difícil de entender. Esto ya no es así; el contenido de la concienciación ha avanzado mucho. Busca proveedores que tengan grandes bibliotecas de contenidos, incluyendo módulos interactivos, vídeos, juegos, carteles y boletines.  

Si buscas algo realmente único, echa un vistazo a la premiada serie de KnowBe4, «The Inside Man». Ya van tres temporadas y los comentarios de los clientes dicen que es un contenido digno de un atracón, con personajes/escenarios relacionables y una historia apasionante. Al final del día, comprar contenido atractivo para un solo estilo de aprendizaje provocará desinterés. Tu capacidad para asociarte con un proveedor que permita a tu audiencia conectar con el contenido les ayudará a mantener el interés y a aumentar el consumo. 

Hacer Phising o no?… 

La suplantación de identidad es una forma de utilizar ataques simulados para poner a prueba la capacidad de tu público para detectar, informar y prevenir un ciberataque. La mayoría de las brechas de datos que han tenido éxito empezaron con un ataque de phishing dirigido, mientras que el phishing sigue siendo una de las principales amenazas utilizadas por los ciberdelincuentes. Los correos electrónicos, las llamadas telefónicas, los SMS y otros métodos de comunicación están diseñados específicamente para atraer a sus empleados a tomar acciones que después permitan a los delincuentes acceder a los datos y fondos de la empresa. 

Los ataques de phishing simulados deben ser entregados a cada empleado al menos una vez al mes… no hay fin. Para aquellos individuos que tienen un riesgo elevado asociado a su función, el número de ataques simulados debe aumentarse a dos o tres. Tiene que haber una buena cadencia para que se produzca el entrenamiento adecuado y para que el cambio de comportamiento se afiance. Es una buena práctica, y potencialmente una política corporativa, notificar a la organización que se están llevando a cabo ataques simulados en curso, junto con la justificación correspondiente. 

Las pruebas de simulación de phishing no deben ser vistas o implementadas como un ejercicio de «te atrapé». Si los empleados creen que se trata de un ejercicio de castigo para atraparlos haciendo algo mal, pueden ser reacios a abrir correos electrónicos, lo que podría afectar a su trabajo en general. Explícales que se trata de una iniciativa de toda la empresa para ayudar a enseñar y reforzar su capacidad para detectar e informar de un ataque. Aconsejar que estas son habilidades transferibles que pueden compartir con sus amigos, familiares y seres queridos para que puedan estar más seguros en su vida personal. 

Los responsables del Security Awareness también deberían aprovechar muchos tipos diferentes de plantillas en sus ataques. Si sólo se utilizan plantillas sencillas, no se aumenta el músculo de los empleados en la detección de ataques difíciles. Piénsalo de esta manera… en cualquier momento, estás construyendo, fortaleciendo o permitiendo que  

que se produzca una atrofia. Pon a prueba a tu público con plantillas que contengan archivos adjuntos, enlaces, invitaciones a reuniones, remitentes o fuentes conocidas/de confianza. Los ciberataques cambian y evolucionan constantemente, por lo que se debe cambiar y ajustar continuamente la estrategia de plantillas, o mejor aún, utilizar una plataforma como la de KnowBe4 que evoluciona con los nuevos modelos de ataque. 

Security Awareness, KnowBe4 y BG2

Comunicar, comunicar, comunicar 

Cuando se busca entrenar a una población amplia y diversa de personas, hay que actuar como un atacante, pero pensar como un vendedor. Además de las comunicaciones que informan y refuerzan los comportamientos seguros adecuados, busca formas de asociarse con otros departamentos para dar a su mensaje otra salida para llegar a los empleados. Las personas reciben la información de forma diferente, así que intenta aprovechar tantos estilos y medios de comunicación como sea posible. Aprovecha los banners digitales, los canales internos de las redes sociales y las reuniones de equipo como medios continuos de transmisión de mensajes. 

Se creativo y continuo con tu enfoque. Busca un mensaje que sea pegajoso y memorable. Dedica tiempo a determinar cuál es el enfoque correcto del mensaje a corto y largo plazo. Piensa en cómo quieres que la gente se sienta, reaccione y actúe. Colabora con tus equipos de comunicación corporativa o de marketing (si están disponibles) para hacer un brainstorm sobre maneras de hacer que sus mensajes sean memorables y se conecten con la agenda general de mensajes corporativos 

¿Te gustó esta información? ¡No te pierdas la última parte de esta serie de blogs en los próximos días! 

KnowBe4 ayuda a tu organización a gestionar los problemas actuales que enfrenta la ingeniería social. BG2 Services solucionamos tus retos de ciberseguridad. ¡Contáctanos para conocer más! 

📩 mktadmin@bg2.com.mx 

📞 (81) 8123 3730    

Fuente