Construyendo un Security Awareness Program Eficiente y Completo
Parte 1/3
¿Cuál es tu punto de partida?
Primero echemos un vistazo a los esfuerzos actuales de tu organización.
Es posible que te encuentres en una de las siguientes situaciones:
– Tienes un programa establecido, pero no es eficaz (no eres el único)
– No existe actualmente un programa de concienciación sobre la seguridad (de nuevo, no eres el único)
Para empezar, determinemos el origen de tu programa. Muchas organizaciones utilizan equipos internos de entrenamiento corporativo para crear el contenido del programa. Los contenidos de seguridad son muy diferentes de otros contenidos corporativos o de cumplimiento. Se requiere un nivel de experiencia en seguridad para comprender los elementos críticos que deben incluirse en un programa y, a continuación, cómo unir esos diferentes elementos en bocados digeribles.
Mientras que algunos entrenamientos tienen un principio y un final, la formación en materia de seguridad es continua; no tiene fin. Vale la pena evaluar el contenido creado internamente con los de los proveedores del sector para ver cómo se comparan.
Si actualmente utilizas un proveedor, es hora de mirar detrás de la cortina para entender mejor lo que están pagando. No todos los proveedores son iguales. Serán diferentes en cuanto a enfoque, contenido, funcionalidad administrativa, informes, etc. Vale la pena detenerse para asegurarte de que estás asociado con un proveedor que no sólo ofrece el mejor y más completo enfoque, sino que también te ayuda a medir los resultados de ese programa.
También es importante tener en cuenta quién dirige tu equipo/programa de Security Awareness. Estos programas suelen estar dirigidos por profesionales de la seguridad o por alguien de seguridad que tenía tiempo extra para ocuparse de estas «cosas de entrenamiento». Lo que se busca son personas que comprendan el desarrollo de la organización, tengan experiencia en formación y conocimiento de cómo impulsar el comportamiento. Busca candidatos que tengan una gran capacidad de gestión de proyectos y de comunicación y que puedan liderar una organización.
¿Qué intentas lograr?
Para crear un programa sólido de Security Awareness, primero hay que determinar el objetivo. Estos programas se basan en que los empleados actúen de forma vigilante y segura para proteger a la organización. Puede parecer sencillo, pero si no sabes qué resultados quieres obtener, no sabrás cómo medir y representar tus resultados.
¿Quién es tu línea de defensa?
Conseguir apoyo de nivel C es primordial tanto para impulsar una cultura más segura como para garantizar que todos los miembros de la organización comprendan su papel y responsabilidad en la creación del estado deseado. Los ejecutivos son notoriamente ignorados en el ecosistema de la formación. La idea es que, debido a su elevado papel, deben haber sido formados. Es un error. Necesitan la formación tanto como tú necesitas su apoyo. Para captar la atención de la cúpula directiva, tendrás que aprovechar a los socios de toda la organización, ser muy persuasivo y aplicar un nivel de diplomacia que vaya al grano sin convertirse en su propio obstáculo.
¿Qué lenguaje puede captar su atención y hacer que actúen con recursos y financiación? No se trata de un lenguaje pesimista. Se trata de un lenguaje que conecte el programa de Security Awareness con el éxito de las principales iniciativas empresariales. Muchos niveles C caen en la trampa de «la tecnología resolverá el problema del mundo» y lanzan todos los dólares de inversión allí. La tecnología, aunque es útil y necesaria en la lucha contra la ciberdelincuencia, no es suficiente. El elemento humano es mucho más crítico. Los ciberdelincuentes eluden hábilmente los controles de seguridad de una organización, aprovechándose de los distraídos, sabiendo que donde hay seres humanos, también hay errores humanos.
Programa exitoso
La atención del nivel C se disputa continuamente dentro de una organización, lo que les obliga a examinar qué programas están más estrechamente alineados con el negocio principal y que impulsarán los resultados más beneficiosos. Un programa exitoso de Security Awareness permitirá que otras partes del negocio en general prosperen; y debe ser comunicado de esa manera. Además, la capacidad del nivel C para actuar como defensor principal del programa producirá beneficios duraderos en la adopción y el compromiso en toda la empresa.
El nivel C debe impulsar la cultura de seguridad de la organización; se trata de un activo necesario en la caja de herramientas de seguridad. Al evaluar la concientización, los comportamientos y la cultura de seguridad de los empleados, las organizaciones pueden adaptar sus políticas y programas de formación al panorama de amenazas en constante cambio. La alternativa es cada vez menos atractiva: no hacer nada y ver cómo la organización se desmorona por el ransomware, el robo de datos o la interrupción de la actividad.
¿Te pareció interesante esta información? ¡No te pierdas la continuación de este blog en los próximos días!
KnowBe4 ayuda a tu organización a gestionar los problemas actuales que enfrenta la ingeniería social. BG2 Services solucionamos tus retos de ciberseguridad. ¡Contáctanos para conocer más!
📞 (81) 8123 3730
Fuente
- Huisman, J. (2022) Building an Effective and Comprehensive Security Awareness Program. [pdf]. KnowBe4. https://www.knowbe4.com/typ-building-an-effective-and-comprehensive-security-awareness-program?submissionGuid=1902ee8e-85d9-4ea8-a6b8-8eb06cb4f3e4
