En esta tribuna, Neil Thacker, CISO para EMEA en Netskope, aborda la creciente importancia de la formación en ciberseguridad y cumplimiento normativo en el contexto actual de amenazas digitales.
Los programas de formación en ciberseguridad y cumplimiento normativo se han convertido en un gran negocio. Según Cybersecurity Ventures, el mercado mundial en formación y concienciación sobre seguridad alcanzó los 5.600 millones de dólares en 2023 y se espera que supere los 10.000 millones en apenas cuatro años. Este boom comercial no es ninguna sorpresa: las ciberamenazas proliferan y los ataques a gran escala siguen apareciendo en los titulares; por poner unos ejemplos muy conocidos, los ataques sufridos por el Ayuntamiento de Sevilla o el Hospital Clinic de Barcelona, que afectaron gravemente su funcionamiento. Todo esto pone de relieve que cualquier organización, independientemente de su tamaño, corre el riesgo de sufrir un ataque.
Las técnicas de ingeniería social, en las que un atacante se dirige contra las distintas personas que tienen acceso a los sistemas (en lugar de a los propios sistemas) y las manipula para que le cedan el control, fueron las tácticas maliciosas más populares en 2023. De ahí que las empresas estén en lo correcto al reconocer que las personas son una vulnerabilidad clave.
En la mayoría de las organizaciones, la formación anual sobre ciberseguridad es una actividad habitual en el calendario, en un intento de garantizar que todas las personas de todos los departamentos desarrollen sus habilidades de ciberseguridad y sean capaces de detectar las amenazas y responder antes de que se conviertan en un problema grave. A la vista de la rápida evolución de las amenazas a la seguridad, a menudo esta formación queda rápidamente desfasada y puede tardar meses o incluso años en impartirse para que las personas puedan llegar a reconocer las tácticas empleadas.
¿Se debería impartir la formación tan pronto como sea posible?
Si preguntamos a cualquier responsable de seguridad, no le será muy difícil admitir que los empleados consideran que la formación anual en ciberseguridad es una experiencia tediosa y poco estimulante. A menudo se la considera una distracción para el empleado, por lo que muchos harán clic, leerán por encima, verán vídeos a doble velocidad y buscarán cualquier atajo que puedan encontrar para llegar al certificado de finalización, marcar la casilla y continuar con su jornada laboral.
Además, la poca interactividad de cada curso no consigue captar ni mantiene la atención de los empleados. Los índices de retención caen en picado sin una implicación activa, y muchos planes de formación carecen de cualquier forma de conectar al empleado con escenarios del mundo real que podrían aparecer en su función laboral concreta.
Incluso para aquellos que consideran que la formación anual es interesante e instructiva, sigue habiendo pocas pruebas de que realmente sirva realmente para concienciar a las personas o provocar cambios positivos en su comportamiento. El resultado es que valen poco más que como casillas de verificación de cumplimiento, en lugar de ser una medida proactiva para establecer una cultura de alerta y defensa frente a las amenazas. En definitiva, no supone un uso eficaz ni del tiempo ni de los recursos, y los ciberataques no dejan de multiplicarse.
También hay que tener en cuenta que los actores maliciosos diseñan sus campañas de tal forma que incluso el empleado mejor formado pueda olvidar su base lógica de ciberseguridad. Esto implica aprovecharse del comportamiento emocional, más que del lógico, y explotar el sentido de urgencia para desviar a la víctima de su aproximación racional y entrenada.
¿Cómo podemos ir más allá de la formación? Las entidades de todo el mundo necesitan una acción conductual que ayude a las personas a volver al pensamiento lógico antes de asumir grandes ciber riesgos.
Cómo lograr una mejor práctica de la higiene cibernética
Para conseguir cambios de comportamiento efectivos a largo plazo, lo ideal es una acción a pequeña escala, periódica y centrada en el individuo. Un ejemplo de ello es la “teoría del empujón”, un conjunto general de principios destinados a guiar el comportamiento humano por un camino más deseable. Se trata de un concepto bien establecido que ha tenido un enorme éxito en el pasado, orientando a las personas hacia opciones alimentarias más saludables y comportamientos favorables al medio ambiente, y que sólo requiere pequeños cambios en la toma de decisiones en momentos cruciales en los que se mueven por comportamientos (a menudo automáticos). Aplicar esto al mundo de la ciberseguridad, por tanto, parece una obviedad.
Al igual que las señales de velocidad de los radares indican la velocidad a la que circulamos, dándonos un segundo para pensar y adaptar nuestro comportamiento, en el trabajo necesitamos señales que nos avisen cuando vayamos a participar en un comportamiento de riesgo y nos animen a reflexionar y disminuir “la velocidad”.
Esta vía de prevención, centrada en la persona, puede ser muy eficaz, y es una herramienta que las empresas deberían conocer mejor y utilizar en mayor medida. La formación de usuarios en tiempo real, por ejemplo, aprovecha la inteligencia artificial para señalar instantáneamente un comportamiento de alto riesgo a la persona en el momento en que se produce, y proponer acciones alternativas al empleado.
Esto es especialmente importante en esta era de la IA generativa, en la que las herramientas de IA de terceros están disponibles de forma gratuita en muchas empresas, y plataformas como ChatGPT y Google Bard se consideran un asistente al que recurrir para muchas tareas administrativas. En este caso, el problema es que muchos empleados suben datos confidenciales a estas plataformas (desde código fuente hasta información de identificación personal) y aumentan significativamente el riesgo de pérdida de datos.
En la mayoría de los casos, los empleados que acceden a estos servicios no son conscientes del peligro e intentan ser productivos con herramientas con las que están familiarizados o que han encontrado por casualidad. En lugar de prohibir totalmente esta actividad, lo que podría dar lugar a un empleado descontento que se esforzaría en eludir estas medidas, la formación continua de los empleados ofrece la oportunidad de explicar el problema en el momento en que se produce -de acuerdo con la cultura y el tono de voz de la empresa, así como con las políticas- y recomendar formas más seguras de lograr el mismo resultado.
Este método de educación y refuerzo continuo puede aportar a los empleados justo aquello de lo que carece la formación anual: una oportunidad para contextualizar la información y evitar que se difumine rápidamente en la memoria. Es más, este uso práctico de recordatorios constantes en la vida laboral diaria de un empleado es el ingrediente esencial para comprender y aplicar correctamente una mayor ciber higiene.
Mediante la orientación de los empleados en tiempo real, para que se desarrollen como “mejores ciber ciudadanos” y tomen decisiones más seguras, las empresas pueden detectar los incidentes en el momento en que se produce la amenaza y crear auténticas oportunidades de formación en la vida laboral diaria de los empleados.
No debemos considerar a las personas como el eslabón débil de nuestro dispositivo de seguridad, sino como la última línea de defensa entre la empresa y el mundo de las ciberamenazas. Debemos ser conscientes de ello y ofrecer una formación que resulte más eficaz y habilitadora.
