Tercera y última (por ahora…) cita con Maurizio Zacchi (aquí están disponibles la primera y la segunda entrevistas), director de la Cyber Academy de Cyber Guru.
Cualquiera de nosotros habrá experimentado de primera mano la diferencia entre la teoría y la práctica en un proceso de aprendizaje.
Aprender la teoría es un primer paso necesario.
Sobre todo por nuestro enfoque occidental acostumbrado a nutrir la parte mental del conocimiento. Por otro lado, así nos han enseñado desde pequeños. A leer, escuchar, estudiar y tal vez incluso repetir lo que se nos transmitía.
Sin embargo, hay un tipo de conocimiento que se basa en un enfoque práctico, fundamentado en los ejercicios y en el contacto directo con la materia que, sobre todo en algunos ámbitos, no se puede pasar por alto. Por poner algunos ejemplos, resulta difícil imaginar que un músico pueda expresarse mejor simplemente estudiando la historia de la música o aprendiendo de memoria una partitura. O que un chef pueda tener éxito únicamente leyendo libros de cocina.
Desafortunadamente, en nuestros modelos formativos estos dos enfoques se suelen separar, por lo que la formación nunca es completa y siempre falta una parte del conocimiento.
Un discurso que adquiere aún mayor validez en el caso de los adultos que ya ejercen una profesión y que cuentan con poco tiempo y poca disposición mental, y que piensan que pueden aprender algo nuevo simplemente leyendo algún documento o escuchando una lección teórica.
La mala noticia es que esta unilateralidad no funciona. Podemos desarrollar una gran cantidad de nociones teóricas y tal vez incluso presentarlas de manera adecuada, pero si no incluimos en el recorrido formativo la experiencia de campo, la formación nunca será eficiente.
La buena noticia es que los buenos formadores lo saben y tienen mucho cuidado de no descuidar ninguno de los dos enfoques.
Un discurso que es igualmente cierto si hablamos de la formación en ciberseguridad, un aprendizaje especial que consta de una importante parte teórica, pero también de una decisiva parte práctica con ejercicios. Sin ella, no podemos tener la certeza de estar preparados para enfrentarnos a la amenaza cibernética, que cada vez resulta más insidiosa. Y es que está continuamente mutando y siempre encuentra nuevas formas de abrir brecha en las vulnerabilidades humanas y en la falta de hábito de manejar un flujo constante de problemas.
Nuestro objetivo es forjar las competencias necesarias que hagan que un usuario sea plenamente consciente a fin de que pueda aprovechar al máximo las oportunidades de la dimensión digital. A su vez, debemos minimizar los riesgos para su seguridad y la de su organización, debemos desarrollar todas las habilidades necesarias y actuar sobre el saber —que está relacionado con el conocimiento—, sobre el saber hacer —que está relacionado con la práctica y con la experiencia—, y sobre el saber ser —que está relacionado con los comportamientos—.
La integración entre los diferentes cursos, siguiendo una lógica de formación continua y actualización permanente, es la base para promover el saber en su totalidad, con el objetivo de desarrollar la cuarta habilidad, la del saber devenir, que fomenta un estado de autoobservación y autorreflexividad.
La importancia de la «práctica» en la formación
Maurizio Zacchi, responsable de formación de Cyber Guru, explica la importancia de la formación práctica y el entrenamiento continuo para poder detener los ataques que llegan desde nuevos e inesperados frentes.
«Especialmente en lo que concierne a los correos electrónicos de “phishing” —comenta—, nos hemos dado cuenta de que si hay una gran diferencia en el nivel de preparación de las personas esta es consecuencia del ejercicio sistemático y variado. De hecho, este pone a prueba concretamente el aprendizaje de las nociones teóricas y conduce, en la mayoría de los casos, a la modificación permanente del comportamiento, que debe ser el resultado de una formación eficaz. Por esta razón, una parte fundamental de nuestra formación consiste en el envío, obviamente por sorpresa, de correos electrónicos que contienen trampas de distintos tipos y proporcionales al nivel de preparación del alumno. Es decir, dependiendo de cómo este último reaccione en cada ocasión al engaño simulado, se le enviarán nuevos correos electrónicos de “phishing” que harán que se enfrente a desafíos cada vez más difíciles o que, en cualquier caso, respondan a su nivel de aprendizaje».
De hecho, se trata de una formación «ad personam» que, precisamente porque se basa en la experiencia personal, es la más eficaz para aportar resultados permanentes en la modificación del comportamiento. Un proceso adaptativo que permite «personalizar» el recorrido formativo.
Ludificación
A este tipo de ejercicios Cyber Guru añade además una parte lúdica, de juego, con la que los empleados de la empresa pueden divertirse y desafiarse sobre el inestable terreno de la ciberdelincuencia. Un elemento este último que hace crecer enormemente la motivación y el deseo de probarse a uno mismo.
Una cosa es cierta: Cyber Guru tiene perfectamente claro que la formación en ciberseguridad debe salir de las aburridas y cada vez más estrechas jaulas de los cursos de formación clásicos para empresas, que la mayoría de las veces someten durante días enteros a los pobres empleados a un bombardeo de nociones y teorías que casi siempre acaban cayendo en el olvido al cabo de unos días. Se trata de un esfuerzo inútil por parte de los empleados y de una inversión equivocada por parte de la empresa, así como de una peligrosa exposición al riesgo de sufrir estafas informáticas, ya que este campo tiene una evolución muy rápida y cada vez más desafiante.
Para poner freno a la ciberdelincuencia se necesita una formación revolucionaria
Por esta razón, la formación de Cyber Guru puede considerarse como revolucionaria, ya que recoge las indicaciones procedentes de las teorías del aprendizaje más vanguardistas y las organiza en recorridos formativos graduales, eficaces y personalizados.
Durante los tres primeros años está prevista una verdadera escuela organizada, con una formación de aproximadamente media hora al mes que mezcla sabiamente conocimientos teóricos, experiencias prácticas personalizadas y actividades lúdicas. En esta fase se aprende todo lo que hay que saber sobre el tema y se llegan a dominar todos sus aspectos, dejando a cada uno la libertad de gestionar y asimilar su recorrido formativo a su propio ritmo.
Pasado este periodo comienza la fase de mantenimiento, porque la memoria se mantiene gracias a la repetición y el ejercicio continuos. Y también porque hablamos de un campo en constante evolución que no se puede relegar a una o dos jornadas formativas a lo largo del año.
Por esta razón, a partir del cuarto año, Cyber Guru ya no incluye el enfoque didáctico, sino un recorrido personalizado, que se organiza de forma espaciada en función de cómo responda cada alumno. Si este demuestra conocer un tema, se pasa a un curso de refuerzo de sus conocimientos; en caso contrario, se propone un curso de reordenamiento hasta la asimilación completa.
Todo esto se realiza a través de vídeos interactivos que, sin embargo, no les quitan a los empleados más de 30 minutos al mes.
Para que el recorrido formativo sea aún más atractivo, se organizan además «juegos serios», en los que el alumno se somete a una serie de preguntas y problemas que debe resolver, siguiendo el modelo de una «escape room». Si se adivinan y superan los desafíos, se logra salir de la habitación, tras completar con éxito el recorrido.
«Es un modelo —explica Maurizio Zacchi— basado en el proceso adaptativo, creado con algoritmos de inteligencia artificial, que permite una adaptación automática del recorrido formativo al conocimiento y la capacidad del alumno. Se trata de la superación definitiva del concepto formativo tradicional, que en el ámbito empresarial ha demostrado todas sus limitaciones».