Después de dos largos años de conferencias virtuales, fue una oportunidad fantástica ver a tantos clientes y colegas en la reciente Conferencia de Capacitación y Concientización de Seguridad de la NCA.

Y durante el evento, vi que después de todos estos años, el mercado está comenzando a cambiar su lenguaje y a ver el valor en tres áreas clave.  

Estas tres áreas me resultaron muy familiares. Mientras el mercado se centraba en el lenguaje de concientización y capacitación, nosotros hablábamos sobre preparación y aprendizaje, y cómo impactar en el verdadero cambio de comportamiento.  

Conciencia vs Preparación

Hay varias razones por las que la idea de conciencia nunca me pareció correcta. En primer lugar, representa puramente la entrada del gerente de capacitación: cualquier acción que los capacitadores estén tomando para que los empleados sean conscientes de los riesgos de ciberseguridad en la forma en que trabajan. Los gerentes de capacitación implementan técnicas y campañas de concientización para tratar de demostrar un cambio de comportamiento por parte de sus empleados.  

Un enfoque más inteligente siempre ha sido centrarse en el otro lado de la ecuación: la producción que los empleados crean. Si la entrada es conciencia, la salida es preparación. ¿Qué tan listos están sus empleados para enfrentar los riesgos de ciberseguridad actuales? Esta es una definición práctica que se puede planificar, ejecutar y, lo que es crítico: medir.  

Entretenimiento vs Aprendizaje 

El siguiente cambio es de la idea de capacitación al aprendizaje. Esto se puede ver de manera similar a través del lente de entrada vs salida. En lugar de mirar lo que los capacitadores pueden proporcionar (y en este momento la tendencia parece ser videos y juegos, apoyándose en la gamificación y la diversión para tratar de hacer más atractiva la capacitación), los capacitadores necesitan comprender cómo aprenden los empleados. No buscamos entretener a nuestros estudiantes, ni siquiera buscamos comunicarnos con ellos directamente la mayor parte del tiempo. Simplemente buscamos ayudarles a aprender y adoptar nuevos comportamientos tras bambalinas, y luego medir la producción de ese aprendizaje en términos de su cambio de comportamiento. 

Para hacer esto, no necesitamos técnicas de capacitación de moda y gamificación. En su lugar, nos preguntamos, ¿cuáles son los desencadenantes de aprendizaje de los empleados? ¿Cómo podemos proporcionarles oportunidades para practicar y repetir lo que necesitan saber en un entorno del mundo real? ¿Qué medidas nos ayudarán a rastrear su cambio de comportamiento a lo largo del tiempo?   

Marcar la Casilla vs Cambio de Comportamiento 

Un enfoque tradicional para la concientización sobre ciberseguridad son las certificaciones. El CISO lo convierte en un requisito para que toda la empresa tome Ciberseguridad 101 y luego marca a todos los empleados como capacitados exitosamente. Misión cumplida, y la capacitación en concientización sobre seguridad se puede tachar de la lista de tareas de la organización.  

Sin embargo, ¿qué se ha logrado realmente aquí? Todos sabemos que no existe algo como estar totalmente seguro cuando se trata de estafas de phishing y preparación para la seguridad. Los hackers solo están creciendo más persistentes, y hay miles de kits automatizados que intentan continuamente violar las defensas de sus empleados manipulando su miedo, confianza o estado de ánimo. Sentarse en una clase mientras un capacitador le lee desde una presentación no lo prepara. Lo mismo ocurre al ver videos divertidos o geniales. Todo lo que hace es crear una falsa sensación de seguridad para sus empleados de que no necesitan estar vigilantes, ya que están completamente preparados y tienen el certificado para probarlo.  

Es importante centrarse en apoyar a los empleados para practicar nuevos y esperados comportamientos, creando una cultura de aprendizaje continuo en lugar de una iniciativa de marcar casillas.  

No se trata de sentarnos y capacitar empleados inexpertos e impartirles nuestra gran cantidad de información. Los empleados no son lienzos en blanco: tienen mucho conocimiento. Lo que necesitan son oportunidades de aprendizaje: la oportunidad de practicar y repetir comportamientos deseados. Como sabemos que el aprendizaje es más impactante en el momento de la necesidad, apoyamos a los empleados con varias simulaciones de phishing que, cuando se hace clic en ellas, brindan momentos de aprendizaje cortos y prácticos para el usuario. La repetición ayuda a los empleados a crear generalizaciones cognitivas junto con fragmentos de conocimiento específicos y contextuales. Luego podemos medir la respuesta a estas simulaciones, proporcionándonos datos del mundo real sobre el cambio de comportamiento.  

Fue fantástico ver estos temas siendo reconocidos y entendidos por la industria en la conferencia de la NCA de este año. No puedo esperar para ver cómo este nuevo nivel de entendimiento contribuye a un paisaje más efectivo, resiliente y preparado para los negocios de hoy. 

Más información aquí: CybeReady.com 

Colaborador Invitado: Mike Polatsek, Co-fundador y CSO en CybeReady