Consideraciones para la formación de empleados en temas de ciberseguridad




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

Es un hecho que nunca como hasta ahora, las amenazas cibernéticas se han convertido en uno de los más grandes problemas que enfrentan las organizaciones en todo el mundo.

Las empresas, dependencias del gobierno, instituciones educativas, organismos de salud y compañías del sector industrial, de todos los tamaños, tienen más probabilidades de recibir ataques de phishing o ransomware que nunca, lo que hace que la capacitación en ciberseguridad sea aún más importante. De acuerdo con un análisis de la unidad de investigación de SILIKN, los ataques cibernéticos aumentarán alrededor de 145% en 2021.

Sin embargo, la estrategia de capacitación en ciberseguridad brindada a los empleados solo puede llegar hasta cierto punto. Cuando ocurren ataques cibernéticos en los lugares de trabajo, muchos empleados todavía no están preparados. Actualmente, el 68.4% de las infracciones de ciberseguridad se deben a errores humanos. Esto plantea la pregunta: ¿está funcionando la estrategia de capacitación en ciberseguridad de su empresa?

La formación de los empleados es uno de los beneficios más solicitados. Y existe una presión cada vez mayor para incluir la ciberseguridad en el presupuesto. Por lo tanto, muchas empresas enfrentan el desafío de cómo asignar adecuadamente los recursos de capacitación disponibles.

La formación en ciberseguridad no debe impartirse a los empleados solo porque la dirección crea que la necesitan. Además, después de que se haya impartido una capacitación en ciberseguridad, los empleados deben recibir instrucción constante para actualizar sus conocimientos sobre las cosas que deben hacer cuando ocurren ciberataques, pues el aprendizaje es un proceso interminable. Y en un ambiente acelerado, siempre hay algo nuevo que aprender sobre ciberseguridad.

Además las amenazas y los esquemas cibernéticos evolucionan con el tiempo y los atacantes se han vuelto más inteligentes a la hora de penetrar en el sistema corporativo.

En este mismo sentido, las empresas tienen diferentes enfoques para presupuestar las iniciativas de formación. Es posible que la mayoría de los presupuestos de capacitación estándar impulsados por el área de recursos humanos no financien suficientemente las necesidades de capacitación en seguridad técnica, pero hay que considerar que la formación constante de su equipo de seguridad es imprescindible, no solo una ventaja agradable.

¿Es más probable que las empresas ahorren recursos cuando asignan presupuesto para capacitación en seguridad? De acuerdo con un análisis de la unidad de investigación de SILIKN, a una empresa le cuesta de 5 a 10 meses del salario de un empleado reemplazarlos. Las empresas que se comprometen más a desarrollar la fuerza laboral existente reducen la rotación de empleados. Además, el mismo estudio menciona que el 89.2% de los empleados permanecen más tiempo cuando su empresa ha mostrado una inversión en sus respectivas carreras.

Otro punto común es el tema de las certificaciones. Existe una distinción fundamental entre lo que una persona sabe y lo que realmente puede hacer. En la mayoría de las empresas, las certificaciones se confunden con evidencia de habilidades en ciberseguridad, cuando en realidad son prueba de conocimiento. El 63.8% de las empresas contratan empleados que no tienen las habilidades para hacer las cosas y por ello se les capacita en temas específicos. En temas de ciberseguridad, cuando una empresa enfrenta una seria amenaza, por lo general es demasiado tarde.

Sin embargo, la industria se está alejando rápidamente de este tipo de enfoque. Las empresas ahora se aseguran de tener habilidades prácticas antes de contratar personal de tecnología. Además, las organizaciones líderes ahora se centran en las pruebas de evaluación antes de contratar. Y estas pruebas también se administran a los empleados existentes para evaluar sus habilidades y capacidades, y no depender únicamente de lo que saben.

Además, un punto importante es que su equipo de sistemas no es el único que necesitará capacitación en seguridad. Todos los empleados requieren algún nivel de capacitación en habilidades de este tema. Algunos empleados requerirán una formación más avanzada que otros, por lo que la capacitación en seguridad debe adaptarse a sus funciones laborales.

Por ejemplo, los empleados de ventas también son víctimas de ataques cibernéticos. Todo lo que se necesita es un solo clic de un vendedor en un archivo adjunto malicioso y la información crítica de la empresa se verá comprometida. Más capacitación en ciberseguridad ayudará a minimizar las posibilidades de que los vendedores sean el blanco de este tipo de ataques.

Los cibercriminales se dirigen a los vendedores con correos electrónicos falsos, ataques a navegadores y más. La capacitación en ciberseguridad equipará a los empleados de ventas con el conocimiento y la capacidad para distinguir un ataque de phishing de un correo electrónico legítimo de los clientes. Además, les ayudará a detectar archivos adjuntos maliciosos. Con la capacitación, los empleados de ventas conocerán la importancia del cifrado. Por lo tanto, no divulgarán información crítica a través de un canal no protegido, ya que esto puede dar como resultado la filtración de datos confidenciales de la empresa.

Por otro lado, el director de seguridad de la información (CISO) tendrá una formación diferente a la de los empleados de ventas. Un CISO tiene la tarea de supervisar la seguridad general de la empresa y cuenta con un gran conocimiento de las prácticas de tecnología de la información de la organización.

La formación en ciberseguridad para CISO es mucho más avanzada. Debe ser capaz de identificar rápidamente las debilidades y vulnerabilidades en la tecnología y los programas de la información. También necesita mantener una colaboración constante con los ejecutivos y los líderes de departamento para poder desarrollar estrategias para combatir las amenazas y proteger la información de la empresa. Además, introduce nuevos programas para fortalecer la seguridad y proporciona liderazgo y orientación a otro personal de seguridad.

A medida que pasa el tiempo, más organizaciones están implementando estrategias de capacitación en ciberseguridad. Los programas estratégicos de capacitación en ciberseguridad bien planificados que se alinean con los objetivos de la empresa y los empleados son mucho más efectivos.

Es importante tener en cuenta que la ciberseguridad requiere un aprendizaje permanente y las empresas deben enseñar a todos sus empleados cómo protegerse de los ciberataques, sin importar su función.

Afortunadamente, una formación en seguridad adecuada puede enseñar a sus empleados a mantener seguros los datos de la empresa. Es por eso que el Centro de Ciberseguridad 05000 ofrece el Diplomado en Ciberseguridad, que brinda a las empresas una experiencia educativa en profundidad para satisfacer sus necesidades específicas.

Para mayores informes acerca del diplomado de 05000 contacte a nuestro equipo a través de los siguientes correos: silikn@gmail.com, silikn@silikn.com, 05000@startupmexico.com, mediante el siguiente enlace: https://cutt.ly/afxGhPI o envíe un mensaje: https://cutt.ly/QfUQTMD y visite: https://www.silikn.com/