Formación en sensibilización sobre seguridad de la información

¿Qué es la formación para la concienciación sobre la seguridad de la información?

La formación para la concienciación sobre la seguridad de la información proporciona información sobre las numerosas amenazas que los empleados pueden encontrar en el lugar de trabajo y las acciones que pueden llevar a cabo para mitigarlas o para hacerles daño. La formación sobre concienciación en materia de seguridad suele mostrar a los empleados qué aspecto tienen las amenazas, cómo funcionan y cuál es la mejor forma de evitarlas o detenerlas. 

La importancia de la formación en materia de seguridad de la información para las empresas

Cuando se trata de sus empleados, promover la concienciación sobre la seguridad informática es fundamental para la empresa por una sencilla razón: más del 90% de las violaciones de la seguridad implican un error humano. Eso significa que su mayor activo -su personal- es también uno de sus mayores riesgos de seguridad.

Los ataques de ransomware y phishing son cada vez más sofisticados. Se necesita un ojo entrenado para saber qué buscar en un correo electrónico sospechoso, y mucha gente no sabe lo que no sabe sobre seguridad de la información. Es imperativo proporcionarles algún tipo de formación.

Muchas organizaciones han invertido mucho dinero en la formación para la concienciación sobre la seguridad en un esfuerzo por inculcar una mayor concienciación sobre la seguridad informática entre los usuarios. Por desgracia, la rentabilidad de estos esfuerzos suele ser decepcionante. La mayoría de los cursos de concienciación sobre seguridad para empleados no consiguen cambiar el comportamiento, y no es difícil saber por qué: la formación suele ser aburrida. A menudo se empaqueta en largas y tediosas sesiones que los empleados temen -o peor aún, evitan- y una vez terminadas, las mejores prácticas se olvidan pronto.

Por eso Mimecast decidió dar un giro a la formación sobre concienciación en seguridad informática. En lugar de los típicos cursos de concienciación sobre seguridad que se leen como una presentación de PowerPoint, hemos desarrollado una formación masiva y atractiva basada en vídeos que utiliza una de las herramientas más poderosas de la educación: el humor. Sencillamente, lo nuestro es divertidísimo. Con la ayuda de grandes talentos de la industria del entretenimiento, hemos elaborado una serie de minisitcoms que mezclan un poco de aprendizaje con muchas risas. A los empleados no sólo les gustan nuestros cursos de concienciación sobre seguridad informática, sino que les encantan y piden más.

Para evitar la sobrecarga de información, impartimos cursos de concienciación sobre seguridad informática en módulos de 3 a 5 minutos de duración con los que los empleados participan aproximadamente una vez al mes. Eso mantiene fresco el aprendizaje y se asegura de que la concienciación sobre la seguridad informática esté continuamente en su radar.

Elementos de la formación de concienciación sobre la información de Mimecast

Mimecast Awareness Training fue desarrollado por líderes en ciberseguridad del ejército, las fuerzas de seguridad y la comunidad de inteligencia. El programa inculca la concienciación sobre la seguridad informática centrándose en cuatro aspectos.

• Contenidos atractivos. La gente no aprenderá nada si no está comprometida con el contenido, razón por la cual fracasan la mayoría de los cursos de concienciación sobre seguridad informática. El contenido en vídeo de Mimecast, breve y muy entretenido, mantiene a los empleados implicados en su formación en materia de seguridad: están aprendiendo continuamente sin darse cuenta.
• Pruebas constantes. Las pruebas de sentimiento realizadas antes de impartir la formación establecen una línea de base sobre la seriedad con la que cada empleado se toma las amenazas a la seguridad y se siente preparado para hacerles frente. Las pruebas después de cada módulo de formación refuerzan los conceptos clave y realizan un seguimiento de la retención y el cambio de comportamiento. Y las pruebas de phishing -completadas con plantillas reales de correos electrónicos de phishing- ponen a prueba el aprendizaje de sus empleados y le ayudan a identificar los puntos débiles.
• Puntuaciones de riesgo personalizadas. Con la formación de concienciación sobre seguridad informática de Mimecast, todos, desde la alta dirección hasta los empleados de primera línea, obtienen una puntuación de riesgo personalizada basada en los datos de la formación, las encuestas de opinión y los datos adicionales de la red de Mimecast. Las puntuaciones de riesgo le ayudan a comprender qué usuarios suponen un mayor riesgo para su empresa, qué empleados o departamentos evitan la formación y quiénes pueden ser el objetivo más probable de los atacantes.
• Aprendizaje dirigido. Con la inteligencia obtenida de la puntuación de riesgo personalizada, puede personalizar la formación para dirigirla a sus empleados de mayor riesgo. Eso puede significar proporcionar formación individualizada, impartir formación adicional o más frecuente, o ajustar los permisos del sistema para aquellos que no responden bien a la formación.

¿Está realizando correctamente la formación de concienciación sobre seguridad de la información?

La formación para la concienciación sobre la seguridad de la información está diseñada para abordar el eslabón de seguridad más débil de una organización: los seres humanos. Los estudios demuestran que el error humano está implicado en más del 90% de las principales violaciones de datos. Teniendo en cuenta que la reparación de una brecha media cuesta más de 4 millones de dólares, tiene sentido que organizaciones de todos los tamaños hayan invertido mucho en formación sobre ciberseguridad.

El problema es que la mayoría de los programas de formación de concienciación simplemente no funcionan, por varias razones clave:

• Son largos, áridos y aburridos, lo que dificulta que los empleados presten atención.
• Se entregan con muy poca frecuencia, lo que dificulta recordar las mejores prácticas.
• Son punitivas, y dejan a los empleados con la sensación de ser el blanco en lugar de recibir apoyo.

Cuando los empleados no están comprometidos -o peor aún, cuando se resisten- simplemente no aprenderán. Por eso, Mimecast ha creado un programa de formación para la concienciación sobre la seguridad de la información que cuenta con el arma secreta del educador: el humor.

Envolver de humor la formación sobre seguridad de la información

Los cursos de formación en ciberseguridad de Mimecast son diferentes a todo lo que ha visto hasta ahora. Para empezar, son divertidos. No gracioso como un chiste de papá, sino genuinamente hilarante. Están creadas por auténticos guionistas de comedia y profesionales de la industria del entretenimiento y se presentan como mini comedias de situación que los empleados realmente tienen ganas de ver.

 Elegimos lo divertido sobre lo aburrido porque - sorpresa, sorpresa - lo divertido funciona mejor. La gente presta atención, se implica y, en el proceso, aprende. Cualquier educador puede decírselo: el humor funciona con alumnos de todas las edades, impulsando la retención de la memoria a largo plazo y unos resultados de aprendizaje superiores.

Otra diferencia radical en la formación de concienciación sobre seguridad de la información de Mimecast: los módulos de formación cortos. Cada sesión abarca un único tema y no dura más de cinco minutos, lo que permite a los empleados asimilar fácilmente las mejores prácticas de seguridad fundamentales. Y en lugar de hacer que los empleados se sienten durante horas de formación cada vez, ofrecemos dosis cortas cada mes para mantener el aprendizaje fresco y la seguridad en mente. Los ocupados empleados pueden completar su formación mensual en sólo unos minutos, convirtiéndola en un bienvenido descanso en lugar de en un temido evento de horas de duración. 

Cómo funciona la formación de concienciación informativa de Mimecast

Además de los entretenidos módulos de formación basados en vídeo, la formación de concienciación sobre seguridad para empleados de Mimecast incluye:

• Capacidades de prueba de phishing. Los tests y tutoriales de formación sobre phishing de Mimecast son fáciles de usar y están totalmente integrados en la plataforma de formación de concienciación de Mimecast. Estas pruebas basadas en plantillas utilizan ejemplos de la vida real -desde promociones falsas y seguimiento de paquetes hasta restablecimiento de contraseñas y noticias falsas- para poner a prueba la concienciación de sus empleados sobre las técnicas de phishing y su manejo de los correos electrónicos de phishing.
• Pruebas de sentimiento y de progreso. Comprobamos el sentimiento o las actitudes de cada empleado antes del inicio de cualquier prueba y volvemos a comprobar los mismos parámetros cada seis meses. También realizamos pruebas inmediatamente después de cada módulo de formación para medir el progreso en la comprensión de las mejores prácticas por parte de los empleados.
• Puntuación predictiva del riesgo. En lugar de tratar a todos sus empleados por igual, Mimecast entiende que algunos empleados suponen un riesgo mucho mayor que otros. Asignamos puntuaciones personalizadas de riesgo cibernético a cada individuo basándonos en los datos de las pruebas, la participación en ellas o su evitación, y datos anonimizados de múltiples industrias, clientes y la red Mimecast.
• Formación personalizada y específica. Conocer la puntuación de riesgo de cada empleado le permite dirigir los recursos de formación a las personas que más lo necesitan. Eso puede significar que se requiera formación adicional para algunos o entrenamiento individual para otros. Y cuando persista una puntuación de riesgo más alta, podrá ajustar los permisos del sistema para proteger mejor a su organización.

Por qué Mimecast debe ser su socio de concienciación sobre seguridad informática

Más allá de ofrecer resultados claros y cuantificables, hay muchas razones para elegir Mimecast para la formación sobre concienciación en seguridad informática.

• El mejor contenido - y punto. Nuestros cursos de formación sobre concienciación en materia de seguridad son francamente divertidos: los empleados están deseando ver el próximo episodio. Nuestros cursos ofrecen conocimientos desarrollados por mentes destacadas en ciberseguridad, incluido un antiguo director del FBI y un antiguo CSO de AT&T. Y nuestro contenido formativo es exhaustivo, ya que abarca desde la concienciación sobre la seguridad de las contraseñas y el correo electrónico hasta las amenazas selectivas como el phishing y el ransomware, pasando por temas de conformidad sobre PCI, GDPR e HIPAA.
• Campañas dirigidas. Mimecast le permite dirigirse a los individuos y grupos que representarán los mayores riesgos en su organización. En lugar de un enfoque de "rociar y rezar" de "" , puede aprovechar al máximo sus limitados recursos, permitiendo que la formación en sensibilización sobre seguridad informática tenga un impacto mayor que nunca.
• Entrega en línea. Los cursos de concienciación sobre seguridad informática de Mimecast se imparten a través de un navegador web, lo que le permite gestionar la formación de concienciación de una plantilla global con sólo unos clics.
• Soluciones de ciberseguridad integradas y completas. Mimecast Awareness Training puede integrarse perfectamente con el conjunto de soluciones de Mimecast para la seguridad del correo electrónico, la seguridad web, el archivado de la información y la continuidad empresarial, proporcionando una única solución basada en la nube que aborda todas sus necesidades de ciberseguridad.