Las estadísticas demuestran que los empleados representan un riesgo importante para la seguridad de las empresas y que el phishing sigue siendo una de las principales formas en que los atacantes obtienen acceso a los sistemas de una empresa. En el 2020, el 22% de las violaciones de seguridad involucraron phishing, y el 96% de los ataques de phishing se entregan por correo electrónico. Además, el 33% de las violaciones de seguridad involucraron un empleado negligente o malintencionado.
En base a conversaciones con nuestros clientes, la ciberseguridad se ha convertido en una preocupación cada vez más importante para las empresas de todo el mundo y los ataques se han vuelto más frecuentes, sofisticados y costosos, lo que deja a las empresas con un desafío cada vez mayor para proteger sus datos, sistemas y activos.
Pese a la importancia que las empresas le están dando a la ciberseguridad, el fuerte de la inversión sigue siendo en tecnología y herramientas de seguridad, dejando de lado un punto débil importante: los propios empleados.
Los colaboradores pueden ser el eslabón más débil en la cadena de seguridad, ya que pueden ser engañados por el phishing, suelen ser descuidados con las contraseñas o simplemente no saben cómo reconocer y reportar una amenaza de seguridad.
Desafíos de negocios
Para muchas empresas, incorporar a los colaboradores en la estrategia de ciberseguridad es un reto importante. Los empleados pueden sentirse abrumados por la cantidad de información que necesitan conocer y por el tiempo que deben dedicar a mantenerse actualizados.
Además, la capacitación en ciberseguridad a menudo se presenta de manera poco atractiva y puede parecer tediosa o aburrida para algunos empleados. Junto a lo anterior, otra necesidad es que muchos empleados pueden no comprender plenamente el impacto que una violación de seguridad podría tener en la empresa y en su propia carrera.
En base a las conversaciones que hemos tenido con diferentes organizaciones en Latino América, los desafíos de negocio que enfrentan las organizaciones al momento de incorporar a los colaboradores en la estrategia de ciberseguridad, se pueden clasificar en:
Metodología y contenido:
Algunas de las áreas de IT y Ciberseguridad están realizando esfuerzos importantes en generar contenido que permita ser incorporado por los colaboradores en su forma de trabajo, ya sea en cápsulas informativas, videos de concientización en ciberseguridad, correos, etc.
Sin embargo, esto presenta un reto importante al momento de definir el contenido y la metodología a utilizar para entregarlo. Además de que el contenido sea interactivo e informativo, es fundamental que se base en una metodología de educación avalada y reconocida, tal como lo poseen todos los cursos o carreras de universitarias.
Una metodología de aprendizaje implica realizar evaluaciones periódicas, tanto de diagnóstico como de seguimiento para establecer métricas de cumplimiento para asegurar una asimilación correcta del contenido por parte de los colaboradores y que realmente se produzca el cambio organizacional esperado.
Incorporación de imagen corporativa:
Otro factor fundamental es incorporar la imagen corporativa de la organización dentro del programa para lograr mayor adopción y pertenencia por parte de los colaboradores. Además de incorporar los logos y colores corporativos, es importante que las evaluaciones y las preguntas de los contenido estén basada en el día a día de la organización, sus políticas de seguridad y su cultura organizacional. De lo contrario, la tasa de adopción puede disminuir a menos del 50%.
Asimismo, como parte del programa se debe reconocer al colaborador ya sea por medio de un certificado o diploma firmado por un alto directivo de la organización, para que de esta forma el colaborador adquiera una responsabilidad respecto a los contenidos entregados y al deber de colocarlos en práctica en su quehacer diario.
Capacidad de los equipos de IT y/o ciberseguridad:
Un gran desafío que enfrentan las áreas de IT y Ciberseguridad de las organizaciones es la falta de recursos internos para administrar y gestionar las plataformas de concientización de ciberseguridad producto de la falta de personal para taras como: definir los contendidos, la entrega de los contenidos, realizar seguimiento, reportes, etc. y en algunos casos la carencia de conocimientos metodológicos de educación y capacitación.
Hacer participar a los colaboradores en la estrategia de ciberseguridad de las organizaciones no es tarea fácil y no tomar en consideración estos tres factores, puede llevar a las organizaciones a no aprovechar ni obtener el máximo retorno en los presupuestos de inversión que están realizando en capacitación en ciberseguridad para los colaboradores, junto con no alcanzar lograr el cambio conductual que permita resguardar y proteger los datos de la organización y sus datos personales, los sistemas y los activos organizacionales.
Nuestro programa de concientización en ciberseguridad, WPersona, ayuda a las empresas a superar estos obstáculos, brinda capacitación en línea efectiva y acompañamiento por ingenieros de seguridad altamente capacitados en todo el proceso de implementación, seguimiento y soporte, y los contenidos se entregan en base a una metodología de educación avalada por expertos.
En un formato fácil de entender y atractivo para los empleados, nuestro programa combina videos, juegos interactivos y cuestionarios para mantener a los empleados comprometidos y ayudarlos a comprender los conceptos de seguridad de manera más efectiva.
Nos aseguramos de que los empleados comprendan la importancia de la ciberseguridad y que adopten e incorporen la estrategia de ciberseguridad de la organización para protegerse así mismos y a la información de la organización.
Queremos que los colaboradores se transformen en la primera línea de defensa frente a amenazas y eventos de ciberseguridad y estamos comprometidos en ayudar a las empresas a protegerse contra las amenazas de seguridad.