Llegamos a ustedes gracias a:



Reportajes y análisis

7 cosas a buscar en un proveedor de capacitación en seguridad

[04/09/2020] En una época en la que pulsar una sola tecla errónea puede poner en peligro a toda una empresa, la capacitación de los empleados en materia de seguridad no es solo una buena idea, sino una necesidad. Es bien sabido que los empleados son a menudo el eslabón más débil de la cadena de seguridad cibernética; sin embargo, es mucho menos reconocido que uno debidamente capacitado puede servir como la primera línea de defensa.

El secreto para transformar a los empleados cotidianos en vigilantes de la ciberseguridad es la capacitación integral. Mientras que muchas empresas dependen de equipos internos de formación, otras recurren a proveedores externos para obtener asistencia, comprendiendo que el panorama de las amenazas está evolucionando tan rápidamente que es mejor poner la capacitación en manos de expertos que se dediquen a mantenerse al tanto de la evolución de las nuevas tendencias.

El reto de buscar un proveedor de capacitación radica en encontrar una organización que sea competente, fiable y asequible. Para ayudarlo en su búsqueda, aquí les dejamos los siete atributos clave que debe buscar en un proveedor de formación en ciberseguridad.

1. Compatibilidad con los principios de seguridad de la empresa

Encontrar a un proveedor que se ajuste a las necesidades, políticas y objetivos de seguridad de su organización es esencial para lograr el éxito de la formación a largo plazo, señala Charlie Lewis, socio adjunto de la empresa de consultoría de gestión McKinsey and Company. Antes de dirigirse a un proveedor es necesario realizar una introspección de la empresa. "Cuando se desarrolla un nuevo producto o servicio de capacitación, este tiene que ser parte de una cultura cibernética exitosa, una conciencia cibernética y un programa de gestión de cambios", explica. "Estos tres factores conducen a una integración y a una selección exitosa de servicios o productos".

Llegar a un consenso interno es la mejor manera de asegurar una sólida combinación de proveedores, afirma Lewis, ex profesor asistente de política americana en la Academia Militar de los Estados Unidos que también desarrolló los programas de educación de liderazgo cibernético del Ejército. "Trabajar con empleados de primera línea y líderes empresariales para ver si un programa en particular se ajusta a sus intereses ayuda a asegurar que se seleccione la herramienta correcta", indica.

2. Capacidad de comprometerse

La capacitación tiene que ser pertinente para su organización y sus necesidades específicas, así como para las personas que serán capacitadas, anota Jo Stewart-Rattray, CSO del Grupo Silver Chain, un proveedor australiano de servicios de salud a domicilio y de atención a personas mayores. La capacitación es menos eficaz cuando es de naturaleza genérica, señala. "También tiene que haber cierta adaptación a la organización y a sus modalidades de aprendizaje preferidas", añade Stewart-Rattray, que también es la presidenta fundadora del Women's Leadership Advisory Council de ISACA, una asociación profesional internacional centrada en la gobernanza de TI.

Un enfoque de entrenamiento de talla única rara vez tiene éxito. Comprender el nivel de competencia del público es necesario para proporcionar una formación eficaz y centrada, señala Dan Callahan, director de formación cibernética de la empresa de consultoría empresarial Capgemini North America. "Algunas capacitaciones son demasiado correctivas y están impulsadas por un contenido excesivamente simplista que pasa por alto la necesidad del rol y el conjunto de habilidades cibernéticas requeridas", afirma. "Ser oportuno y relevante a los acontecimientos actuales y a la cultura de negocios de la empresa es vital.

3. Capacidad de entregar contenido específico

Independientemente de cómo se presente, el entrenamiento debe ser significativo para su público objetivo. "Por ejemplo, el enfoque [aplicado] a los trabajadores y ejecutivos internos podría ser diferente del enfoque que se aplica a los contratistas o a los proveedores externos", explica Sharon Chand, directora de asesoría financiera y de riesgos de la unidad de riesgos cibernéticos y estratégicos de Deloitte. Mientras tanto, el enfoque utilizado para capacitar a un empleado de tecnología de la información de acceso privilegiado será muy diferente de la capacitación proporcionada a un empleado de tecnología operacional que trabaja en un yacimiento petrolífero. "Hemos descubierto que la personalización del contenido de la capacitación para audiencias únicas aumenta considerablemente la eficacia", dice.

Para determinar el valor del contenido, nada es mejor que una evaluación práctica, comenta Greg Touhill, ex CISO del gobierno de EE.UU., actual presidente de la empresa de seguridad cibernética AppGate Federal y miembro adjunto del Heinz College of Information Systems and Public Policy de la Universidad Carnegie Mellon. "Me gusta mucho el enfoque test-drive, en el que el comité de selección hace que los empleados al azar tomen los programas de formación de los contendientes para un test-drive con el fin de evaluar sus capacidades con relación a los requisitos", añade.

4. Suficiente alcance para satisfacer las necesidades de una fuerza laboral diversa

Las grandes empresas con fuerzas de trabajo dispersas por regiones o continentes suelen hacer frente a una mayor gama de amenazas localizadas que las organizaciones más pequeñas con empleados situados en una zona concentrada. Touhill dice que está atento a las herramientas de capacitación que serán relevantes para todo su equipo en términos de prevención de ataques y facilidad de uso, independientemente de la ubicación física. "Tenemos empleados en muchos países cuya lengua materna no es el inglés", señala. "Por eso, busco capacidades que se ofrezcan en el idioma de mis empleados.

5. Disponibilidad de integración de modelos de amenazas

La mayoría de las empresas utilizan algún tipo de modelo de amenaza para identificar, priorizar y abordar los peligros cibernéticos. Touhill aconseja utilizar un producto o servicio de capacitación que aproveche el modelado de amenazas para tomar decisiones informadas sobre los requisitos de capacitación y las medidas de seguridad. "Por ejemplo, si sé que tengo un actor estatal o un grupo de delincuentes cibernéticos en particular que buscan activamente mi propiedad intelectual, quiero que mi programa de capacitación ayude a mi equipo a saber cómo abordar adecuadamente esa amenaza.

El modelado de amenazas es visto a menudo como una búsqueda puramente técnica, pero el modelo también debe incorporar intereses comerciales. "Es importante identificar los tipos de información que se quiere que el público de una empresa considere, ya que en muchos casos las amenazas internas son las mayores preocupaciones", indica Callahan. "Una buena capacitación de concienciación cibernética puede ayudar a prevenir y mitigar la mayoría de estas amenazas".

Lewis está de acuerdo en que es necesario entender cómo las amenazas cibernéticas influyen directamente en la capacitación de seguridad del personal de la empresa. "El modelado de amenazas es un componente clave de cualquier implementación exitosa de herramientas de selección de programas de concientización, afirma.

6. Precios apropiados y competitivos

Touhill aconseja consultar con sus pares para determinar si un proveedor está cotizando un precio competitivo. "La comunidad CISO es inigualable en su intercambio de mejores prácticas", señala. "Las posibilidades de que llegar a otros CISOs le ayudará a identificar rápidamente los cursos de acción de los contendientes que puede evaluar son excelentes".

Tenga cuidado con los proveedores que intentan sobrevender productos o servicios. "Muchas empresas están ahora sobrecargadas de contenido y eventos de capacitación", anota Callahan. "Si se envía demasiado contenido o información a los empleados, éstos se sobrecargarán, lo que hará que se adormezcan ante la intención que hay detrás de la capacitación", advierte.

7. Capacidad de proporcionar una capacitación eficaz

"La globalización de los ecosistemas, impulsada por la expansión de los negocios, la computación en la nube, la inteligencia artificial, el aprendizaje automático, la movilidad y los dispositivos conectados, proporciona una mayor superficie de ataque que puede ser explotada por los adversarios", señala Chand. La capacitación efectiva proporciona la mejor manera de abordar estos desafíos.

Para evaluar la posible eficacia de un producto o servicio de capacitación, Stewart-Rattray sugiere que se incorpore a los stakeholders, incluyendo a los jefes de los departamentos de recursos humanos y otros pertinentes, en el proceso de adopción de decisiones. "Al evaluar la posible eficacia de un producto, es importante utilizar la colaboración interfuncional y asegurarse de que los principales interesados participen en el proceso de adopción de decisiones, así como en el posible pilotaje de un producto cuando sea posible hacerlo", aconseja.

Lewis cree que un ensayo de prueba de concepto (PoC) es una excelente forma de determinar la eficacia en el mundo real de una tecnología de capacitación. "Podría empezar a ver mejores resultados de entrenamiento con el tiempo, incluyendo mayores tasas de finalización", indica. "Seguramente querrá medir esta métrica a lo largo de todo el período de prueba de concepto, así como seguir adelante, para poder evaluar continuamente el producto".

Si un producto o servicio no cumple con las expectativas, hágaselo saber al proveedor. "Si esa herramienta no está realmente reduciendo las tasas de clics de phishing o reduciendo el riesgo debido a un comportamiento o error humano, trabaje con esa organización para ajustar o cambiar de marcha", recomienda Lewis. Si todo lo demás falla, comience a buscar otro proveedor.

Asegurarse de que un enfoque de capacitación sigue siendo efectivo con el tiempo es una tarea abierta. Se necesita una atención constante para asegurar que un producto o servicio desplegado sigue haciendo su trabajo. "Un enfoque obvio que la mayoría de los líderes de seguridad conocen es la prueba de phishing interno", indica Callahan. Otra técnica popular es visitar a los empleados para revisar sus escritorios y ver si la información crítica está disponible o visible.

Moraleja

Incluso la planificación más exhaustiva de la capacitación en materia de seguridad tiene sus límites. No hay un enfoque o tecnología de formación perfecto. "Para cambiar realmente el comportamiento, las organizaciones necesitan ir más allá de la capacitación en seguridad y la actividad de concienciación", indica Chand. "Aunque empieza con los líderes, una cultura de concienciación de la seguridad debe resonar entre todos los empleados y tener eco en el ecosistema de la organización", señala.