Las ocho principales causas del fracaso de los programas formativos de concienciación sobre ciberseguridad ilustradas por Gianni Baroni, director ejecutivo de Cyber Guru, durante el congreso Cybertech Europe.
Vivimos, según muchos expertos, una especie de «edad de oro» de la tecnología europea. Desde luego, una verdadera hazaña, a pesar de las diversas crisis sanitarias y geopolíticas. O quizás precisamente gracias a ellas. Los sectores comerciales, industriales, gubernamentales y académicos están involucrados en el nuevo desafío de la transformación digital. Pero las nuevas oportunidades siempre plantean nuevos retos: un aumento mundial de los ataques cibernéticos, incluidos los que tienen como objetivo las cadenas de suministro, el pago de rescates debido a los ataques de tipo «ramsonware», las numerosas actividades de «phishing» y los intentos de violación de la privacidad.
Esta es la conclusión de la cita europea de Cybertech, la principal plataforma de redes que organiza eventos en todo el mundo dedicados al sector industrial y que vivió en Roma dos intensas jornadas los días 10 y 11 de mayo. El evento reunió a los principales operadores del sector, así como a personalidades del mundo de la política y la economía.
Entre ellos no podía faltar Cyber Guru, uno de los principales referentes europeos sobre concienciación sobre ciberseguridad, que hasta ahora ha formado a unos 250 000 usuarios acerca de los riesgos cibernéticos relacionados con el mundo digital, además de realizar más de dos millones de simulaciones de «phishing».
Gianni Baroni, director ejecutivo de Cyber Guru, fue uno de los protagonistas de la jornada del 11 de mayo, con una intervención en la que ilustró las 8 principales causas del fracaso de los proyectos de concienciación sobre ciberseguridad y lo que hay que hacer para no caer en los engaños más simples.
1. Falta de apoyo por parte del director ejecutivo
En pocas palabras, es necesario dejar claro a todos los empleados que el director ejecutivo es el primero que cree que transformar el comportamiento humano es un elemento fundamental para proteger a la empresa de los ataques cibernéticos. La falta de este apoyo se manifiesta tanto en el aspecto de la comunicación, al no transmitir a los empleados la importancia del tema de la concienciación sobre los riesgos cibernéticos y la importancia de la prevención, como en el aspecto de la falta de seguimiento. De hecho, es importante que los KPI («key performance indicators»), es decir, las mediciones que una empresa utiliza para evaluar su rendimiento a lo largo del tiempo en cuanto a la sensibilización de los empleados, nunca se pasen por alto y se discutan durante las reuniones de personal. Si esto no sucede, puede llegar a suponer un problema, ya que la ausencia en una empresa de una correcta concienciación acerca de la concienciación sobre ciberseguridad es en la actualidad una cuestión que no se puede desdeñar, al ser un tema de máxima prioridad.
2. Escasa participación de los usuarios
Unos itinerarios formativos con contenidos predecibles y poco atractivos tienen el efecto de aburrir al empleado y fracasan absolutamente en su propósito. Para ello, es fundamental que las plataformas de concienciación sobre ciberseguridad: sean fáciles de usar; utilicen tecnologías y metodologías formativas innovadoras; se basen en una localización precisa y en una gamificación atractiva; y, por último, presenten temas relevantes para los usuarios. En resumen, que sean eficaces y motivadoras.
3. Itinerarios formativos de corta duración
La modificación del comportamiento de los usuarios finales es un proceso complejo que requiere tiempo para que sea metabolizado y adoptado. La formación sobre los riesgos cibernéticos, por lo tanto, no puede ser rápida ni de corta duración. Además, dado que las amenazas y las técnicas de ataque son cada vez más sofisticadas y están en continua evolución, es necesario contar con una formación constantemente actualizada que siga la evolución de los ciberataques. Solo conociendo a fondo al enemigo y previendo sus posibles movimientos se puede estar seguro de derrotarlo.
4. Ausencia de un análisis concreto del rendimiento
Una cosa es segura: cuando se realiza un itinerario formativo, no se puede mejorar si no se mide constantemente lo que se ha aprendido. La monitorización continua de la participación de los usuarios y de sus cambios de comportamiento a lo largo del proceso de aprendizaje es un elemento fundamental de la formación. Si este aspecto es deficiente o no se vigila con la atención que merece, toda la formación puede verse comprometida.
5. Confianza en el «white phishing»
O en una simulación que sea igual para todos. Enviar correos electrónicos de «phishing» falsos a los empleados y ver si caen en la trampa es un tipo de formación demasiado burda, en comparación con la complejidad del mundo cibernético. En cualquier caso, no puede considerarse una formación completa. Para aumentar la concienciación, es necesario proceder con correos electrónicos de diferente complejidad, pero que también sean diferentes en función de los distintos usuarios. Una formación «antiphishing» no puede ser igual para todos, sino personalizada para cada empleado.
6. 6. Confiar en las actividades de evaluación de riesgos basadas en cuestionarios
Para evaluar con un mínimo de precisión el nivel de conocimiento de los riesgos cibernéticos de un empleado a través de un cuestionario, se debe preparar un conjunto de 20 a 30 preguntas. Pero todos sabemos perfectamente que los cuestionarios de esta longitud no resultan apetecibles por los usuarios finales que, por lo tanto, suelen rellenarlos prestando poca atención. De este modo, los resultados de estas encuestas son en gran medida poco fiables. El aspecto determinante que marca la diferencia en un itinerario formativo es la rapidez de reacción gracias a la práctica. La capacidad de responder rápidamente a un ataque cibernético no se mide con preguntas, sino midiendo las reacciones a los estímulos más probables. Una plataforma de formación y medición es la respuesta correcta a esta necesidad.
7. Pensar que «mis empleados son diferentes»
La experiencia de Cyber Guru, basada en la formación de cientos de miles de empleados, nos lleva a la conclusión de que la gran mayoría de los usuarios finales, independientemente de la organización para la que trabajen y sus funciones, comete los mismos errores de base. Es en estos errores en los que hay que trabajar. Por tanto, la formación no debe ser extremadamente personalizada, lo que la haría especialmente cara. Su eficacia depende de su precisión, de su capacidad de utilizar instrumentos diferentes, de involucrar a los usuarios también desde el punto de vista de las reacciones emocionales y, sobre todo, de estar siempre actualizada y desarrollada de manera continua.
8. Equipos bajos de personal
Los equipos de seguridad siempre están sobrecargados de trabajo. Por esta razón, muy a menudo se da una prioridad menor a la formación en comparación con otras actividades informáticas críticas. Por lo tanto, antes de emprender un itinerario formativo de concienciación sobre ciberseguridad, es fundamental comprender claramente el compromiso necesario para gestionarlo. Razón por la cual, es importante elegir soluciones que minimicen los costes de gestión y maximicen la eficacia de los resultados formativos.
Más información sobre los itinerarios formativos de Cyber Guru