Si tu idea para incrementar la sensibilización en seguridad es realizar una sesión maratoniana una vez al año con un PowerPoint, lo estás haciendo mal.
En efecto, si la capacitación para sensibilizar al personal en materia de seguridad resulta aburrida, puede ser una pérdida de tiempo tanto para los empleados como para el personal de TI responsable de llevarla a cabo. Sin embargo, una sesión bien enfocada puede convertirse en una oportunidad interactiva verdaderamente útil en la cual se pueden plantear cuestiones de seguridad y sentar las bases para mejorar los hábitos.
Barkly, firma especializada en la seguridad del end-point, ofrece siete consejos a los formadores para aumentar la concienciación en seguridad de los empleados:
- Haz cursos de formación pequeños y personalizados. No eres Steve Jobs, por tanto, olvida esos sueños de ofrecer una idea inspiradora que cale en toda compañía y enfócate en realizar sesiones más pequeñas dirigidas a grupos concretos de usuarios. No solo serán más fáciles de gestionar, sino que podrás personalizar el material y hacerlo mucho más relevante.
- Haz breves las sesiones. No sólo los empleados tienen períodos de atención cortos, sino que también tienen trabajo que hacer. Sé consciente de su tiempo y desarrolla las sesiones acordes a éste: evita presentaciones de más de 15 o 20 minutos e intenta no atascarte en detalles. Puedes atender a las personas que tengan preguntas concretas después de la sesión.
- Mantente enfocado. La seguridad es un área muy amplia, así que no abrumes a los empleados intentando abarcar todos los aspectos en una única sesión. Céntrate en una política concreta o en alguna amenaza que tenga alguna relación directa con su trabajo cotidiano.
- Realiza el entrenamiento de forma regular. Las sesiones anuales no solo dan como resultado 364 días en los que los trabajadores no están pensando en seguridad, sino que también perpetúan la idea falsa de que este ámbito no es una prioridad en las organizaciones ni forma parte del trabajo cotidiano. Programar sesiones de entrenamiento regulares alivia la presión de tener que abarcar todo de una vez, por lo que podrás profundizar en temas específicos importantes y aprovechar las conclusiones obtenidas en las sesiones anteriores.
- Mantén el material fresco. Sólo hay algo peor que una sesión aburrida: una sesión aburrida a la que ya has asistido antes. Si estás reutilizando materiales de sesiones previas, asegúrate de revisarlo y de actualizar cualquier ejemplo obsoleto. Incluir referencias actuales ayudará a que tu reunión sea mucho más oportuna y atractiva.
- Haz formaciones prácticas. En lugar de llenar una sesión de “FYI”, consigue que los empleados participen de forma activa dándoles una tarea que hacer. Ya se trate de pedirle que cambie un ajuste o de que dé los pasos necesarios para informar sobre un correo electrónico sospechoso, el hecho de que lleven algo a la práctica hará que lo recuerden con más facilidad.
- Involucra a los directivos. El entrenamiento no sólo debe estar dirigido a los empleados. Es conveniente diseñar una sesión específica para la dirección. Los ejecutivos son algunos de los principales objetivos del phishing y de otros ataques cibernéticos; si piensan que están demasiado ocupados, debes recordarle lo perjudicial que sería para ellos y para la organización que un hacker accediera a sus credenciales y permisos.
Ryan Francis, CIO