Tras dos largos años de conferencias virtuales, fue una oportunidad fantástica ver a tantos clientes y colegas en la reciente Conferencia de Formación y Concienciación sobre Seguridad de la NCA.
Y durante el evento, vi que después de todos estos años, el mercado está empezando a cambiar su lenguaje y a ver el valor en tres áreas clave.
Estas tres áreas me resultaban muy familiares. Mientras que el mercado se centraba en el lenguaje de la concienciación y formaciónnosotros hablábamos de preparación y aprendizaje, y de cómo lograr un verdadero cambio de comportamiento.
Concienciación frente a preparación
Hay varias razones por las que la idea de la concienciación nunca me ha sentado bien. En primer lugar, representa únicamente la aportación del responsable de formación, es decir, las acciones que llevan a cabo los formadores para sensibilizar a los empleados sobre los riesgos de ciberseguridad en su forma de trabajar. Los responsables de formación ponen en marcha técnicas y campañas de sensibilización para intentar demostrar un cambio de comportamiento por parte de sus empleados.
Un enfoque más inteligente siempre ha sido centrarse en el otro lado de la ecuación: el resultado que crean los empleados. Si la entrada es la concienciación, el resultado es la preparación. ¿Hasta qué punto están preparados sus empleados para afrontar los riesgos de ciberseguridad actuales? Se trata de una definición práctica que puede planificarse, ejecutarse y, lo que es más importante, medirse.
Entretenimiento frente a aprendizaje
El siguiente paso es pasar de la idea de formación a la de aprendizaje. Esto puede verse de forma similar a través de la lente de input vs output. En lugar de fijarse en lo que los formadores pueden ofrecer (y en este momento la tendencia parece ser los vídeos y los juegos, apoyándose en la gamificación y la diversión para intentar hacer la formación más atractiva), los formadores tienen que entender cómo aprenden los empleados. No buscamos entretener a nuestros alumnos, ni siquiera comunicarnos con ellos directamente la mayoría de las veces. Simplemente queremos ayudarles a aprender y adoptar nuevos comportamientos entre bastidores, y luego medir el resultado de ese aprendizaje en términos de cambio de comportamiento.
Para ello, no necesitamos las técnicas de formación de moda ni la gamificación. En su lugar, nos preguntamos: ¿cuáles son los desencadenantes del aprendizaje de los empleados? ¿Cómo podemos ofrecerles oportunidades de practicar y repetir lo que necesitan saber en un entorno real? ¿Qué medidas nos ayudarán a seguir su cambio de comportamiento a lo largo del tiempo?
Marcar la casilla frente al cambio de comportamiento
Un enfoque tradicional de la concienciación sobre ciberseguridad son las certificaciones. El CISO obliga a toda la empresa a cursar el curso de Ciberseguridad 101 y luego marca a todos los empleados como formados con éxito. Misión cumplida, y la formación en concienciación sobre seguridad puede tacharse de la lista de tareas pendientes de la organización.
Sin embargo, ¿qué se ha conseguido realmente? Todos sabemos que no existe nada totalmente seguro en lo que respecta a las estafas de phishing y la preparación en materia de seguridad. Los piratas informáticos son cada vez más persistentes y existen miles de kits automatizados que intentan continuamente vulnerar las defensas de sus empleados manipulando su miedo, su confianza o su estado de ánimo. Estar sentado en una clase mientras un formador te lee de un paquete de diapositivas no te prepara. Lo mismo ocurre cuando se reproducen vídeos divertidos o geniales. Lo único que se consigue es crear una falsa sensación de seguridad en tus empleados de que no necesitan estar alerta, ya que están totalmente preparados y tienen el certificado que lo demuestra.
Es importante centrarse en apoyar a los empleados para que practiquen comportamientos nuevos y esperados, creando una cultura de aprendizaje continuo en lugar de una iniciativa de marcar casillas.
No se trata de sentarnos a formar a empleados de pizarra en blanco y transmitirles nuestro caudal de información. Los empleados no son pizarras en blanco: tienen muchos conocimientos. Lo que necesitan son oportunidades de aprendizaje: la posibilidad de practicar y repetir los comportamientos deseados. Como sabemos que el aprendizaje tiene mayor impacto en el momento en que se necesita, ayudamos a los empleados con varias simulaciones de phishing que, al hacer clic en ellas, proporcionan al usuario momentos de aprendizaje breves y prácticos. La repetición ayuda a los empleados a crear generalizaciones cognitivas junto con conocimientos específicos y contextuales. A continuación, podemos medir la respuesta a estas simulaciones, lo que nos proporciona datos reales sobre el cambio de comportamiento.
Fue fantástico ver que estos temas eran reconocidos y comprendidos por el sector en la conferencia de la NCA de este año. Estoy impaciente por ver cómo este nuevo nivel de comprensión contribuye a una industria más eficaz, resistente y preparada. preparado para las empresas de hoy.
Obtenga más información aquí: CybeReady.com
Colaborador invitado: Mike Polatsek, Cofundador y CSO de CybeReady