Por qué enormes bibliotecas de contenido no benefician la resiliencia cibernética de tus empleados
La mayoría de las plataformas de concienciación sobre ciberseguridad tienen bibliotecas de contenido que rivalizan en tamaño con la Enciclopedia Británica: tutoriales, artículos, juegos e incluso contenido de video al estilo de Netflix... Los gerentes de TI pueden simplemente seleccionar una lección y enviarla a sus compañeros. Pero los datos demuestran que este enfoque no reduce los incidentes cibernéticos. En este blog, explicaré por qué.
En sus primeros días, cuando la empresa hermana de Phished, Bringme, quería cultivar la conciencia de sus empleados sobre las amenazas cibernéticas, nuestra compañía de proptech se asoció con una conocida plataforma de concienciación sobre ciberseguridad. Pero los ejecutivos de Bringme rápidamente identificaron algunos problemas clave al depender de su enorme biblioteca de contenido:
- Desde la biblioteca, el gerente de TI elegía el contenido a su propia discreción basado en eventos anteriores de seguridad cibernética. Pero resultó que estos no eran un buen predictor de qué tipo de eventos ocurrirían en el futuro.
- Dado que faltaba un camino de aprendizaje general, no había pruebas finales que examinaran adecuadamente si los empleados realmente habían absorbido toda la información presentada.
- Los ejercicios saltaban de un tema a otro y no ofrecían ejemplos de amenazas cotidianas reconocibles en el flujo de trabajo; mucho menos las mejores prácticas de seguridad sobre cómo cambiar el comportamiento. Entonces, ¿cómo se podría esperar que los empleados supieran cómo implementar estos aprendizajes?
Resultado: El número de eventos cibernéticos se mantuvo igual. Lo único que disminuyó fue el dinero en el banco.
"El hecho de que una plataforma de capacitación ofrezca una enorme biblioteca de contenido no significa que sea efectiva. Lo único que realmente cambia el comportamiento de los empleados es una plataforma holística con entrenamientos personalizados." - Jo Vandebergh, CEO de Phished
Cuando me convertí en CEO de Phished y comencé a hablar con clientes potenciales, escuché la misma historia innumerables veces: los gerentes de TI intentaban educar a las personas sobre las amenazas cibernéticas, utilizando contenido de la gigantesca biblioteca de su plataforma de concienciación sobre ciberseguridad, solo para descubrir que este material era demasiado vago para cambiar alguna vez el comportamiento de las personas, permitiendo que los incidentes cibernéticos continuaran ocurriendo.
Por eso en Phished, introduje un enfoque completamente diferente. Fundamos la Academia Phished y diseñamos un camino de entrenamiento claro con sesiones de capacitación breves, presentando situaciones de trabajo reales junto con las mejores prácticas de seguridad y políticas fáciles de implementar en tu organización. Al final de cada nivel, el conocimiento de tus compañeros de trabajo es evaluado y premiado con un certificado. Estoy personalmente involucrado en este proceso de creación, y continuamente ajustamos nuestras sesiones de capacitación basadas en el feedback de los gerentes de TI y los usuarios. Así es como cambias el comportamiento humano.
Además, creamos estas sesiones de capacitación no solo con la ayuda de expertos en ciberseguridad, sino también con gestores operativos de experiencia y miembros del equipo de diferentes campos (legal, finanzas, marketing, etc.). De esta manera, obtienes lo mejor de ambos mundos: una capacitación en resiliencia cibernética que se adhiere a los estándares de seguridad más recientes y un programa educativo holístico que cubre todos los temas dentro de tu organización.
Jo Vandebergh
CEO Phished