Después de dos largos años de conferencias virtuales, fue una oportunidad fantástica ver a tantos clientes y colegas en la reciente conferencia de capacitación y concientización en seguridad de la NCA.

Y durante el evento, vi que después de todos estos años, el mercado está empezando a cambiar su lenguaje y a ver el valor en tres áreas clave.  

Estas tres áreas me resultaban muy familiares. Mientras el mercado se enfocaba en el lenguaje de concientización y capacitación, nosotros hablábamos de preparación y aprendizaje, y de cómo generar un cambio de comportamiento real.  

Concientización vs Preparación

Hay varias razones por las que la idea de concientización nunca me pareció correcta. En primer lugar, representa únicamente el aporte del gerente de capacitación: cualquier acción que los capacitadores estén tomando para que los empleados conozcan los riesgos de ciberseguridad en la forma en que trabajan. Los gerentes de capacitación implementan técnicas y campañas de concientización para intentar demostrar un cambio de comportamiento por parte de sus empleados.  

Un enfoque más inteligente siempre ha sido centrarse en el otro lado de la ecuación: el resultado que crean los empleados. Si el aporte es la concientización, el resultado es la preparación. ¿Qué tan preparados están sus empleados para enfrentar los riesgos de ciberseguridad de hoy? Esta es una definición práctica que se puede planificar, ejecutar y, de manera crítica, medir.  

Entretenimiento vs Aprendizaje 

El siguiente cambio es de la idea de capacitación al aprendizaje. Esto puede verse de manera similar a través del lente de entrada vs salida. En lugar de fijarnos en lo que los capacitadores pueden ofrecer, (y por el momento la tendencia parece ser videos y juegos, apoyándose en la gamificación y lo divertido para intentar que la capacitación sea más atractiva) los capacitadores necesitan entender cómo aprenden los empleados. No buscamos entretener a nuestros alumnos; ni siquiera buscamos comunicarnos con ellos directamente la mayor parte del tiempo. Simplemente buscamos ayudarlos a aprender y adoptar nuevos comportamientos tras bambalinas, y luego medir el resultado de ese aprendizaje en términos de su cambio de comportamiento. 

Para hacer esto, no necesitamos técnicas de capacitación de moda ni gamificación. En cambio, nos preguntamos: ¿cuáles son los disparadores de aprendizaje de los empleados? ¿Cómo podemos brindar oportunidades para que practiquen y repitan lo que necesitan saber en un entorno real? ¿Qué mediciones nos ayudarán a seguir su cambio de comportamiento con el tiempo?   

Marcar la casilla vs Cambio de comportamiento 

Un enfoque tradicional de concientización sobre ciberseguridad son las certificaciones. El CISO hace que sea un requisito para toda la empresa tomar Cybersecurity 101 y luego marca a todos los empleados como capacitados con éxito. Misión cumplida, y la capacitación de concientización sobre seguridad puede tacharse de la lista de tareas de la organización.  

Sin embargo, ¿qué se ha logrado realmente aquí? Todos sabemos que no existe algo totalmente seguro cuando se trata de estafas de phishing y preparación para la seguridad. Los hackers solo se vuelven más persistentes, y hay miles de kits automatizados que intentan continuamente vulnerar las defensas de sus empleados manipulando su miedo, confianza o estado de ánimo. Sentarse en una clase mientras un capacitador lee una presentación no te vuelve preparado. Lo mismo ocurre cuando se ven videos graciosos o geniales. Todo lo que hace es crear una falsa sensación de seguridad en sus empleados, haciéndoles creer que no necesitan estar atentos, porque están completamente preparados y tienen el certificado para demostrarlo.  

Es importante enfocarse en apoyar a los empleados para que practiquen nuevos comportamientos esperados, creando una cultura de aprendizaje continuo en lugar de una iniciativa de marcar la casilla.  

No se trata de que nos sentemos a capacitar a empleados en blanco y les transmitamos nuestra gran cantidad de información. Los empleados no son pizarras en blanco; tienen mucho conocimiento. Lo que necesitan son oportunidades de aprendizaje: la posibilidad de practicar y repetir los comportamientos deseados. Como sabemos que el aprendizaje tiene mayor impacto en el momento de la necesidad, apoyamos a los empleados con varias simulaciones de phishing que, cuando se hace clic en ellas, ofrecen breves momentos de aprendizaje accionables para el usuario. La repetición ayuda a los empleados a crear generalizaciones cognitivas junto con fragmentos de conocimiento específicos y contextuales. Luego podemos medir la respuesta a estas simulaciones, brindándonos datos del mundo real sobre el cambio de comportamiento.  

Fue fantástico ver que la industria reconociera y entendiera estos temas en la conferencia de la NCA de este año. No puedo esperar a ver cómo este nuevo nivel de comprensión contribuye a un panorama más efectivo, resiliente y preparado para las empresas de hoy. 

Más información aquí: CybeReady.com 

Colaborador invitado: Mike Polatsek, cofundador y CSO en CybeReady