Maximizando el Retorno de Inversión en Formación de Ciberseguridad
Con muchas organizaciones que enfrentan departamentos de TI y seguridad con poco personal con tiempo y presupuesto limitados, es inteligente preguntar: "¿Cómo superan los costos los beneficios de la capacitación en concientización sobre seguridad?"
Puntos clave:
- La capacitación tradicional para el cumplimiento es ineficaz para promover una cultura de ciberseguridad y un cambio de comportamiento sostenido.
- Saber que los trabajadores adultos actúan consistentemente de acuerdo con sus creencias y valores es la clave para superar la brecha de "conocimiento-intención-comportamiento".
- Alinear los mensajes y la metodología de capacitación con los objetivos y resultados que preocupan a los trabajadores adultos motiva los comportamientos deseados.
Los CISO, CIO y CTO que respondieron a la encuesta publicada recientemente en el informe 2023 State of the CISO Influence informaron insatisfacción con los resultados de sus inversiones en conciencia de seguridad. Algunos están reportando "fatiga del usuario" con las herramientas y metodologías tradicionales, con la esperanza de que las técnicas más innovadoras como la gamificación involucren mejor a sus trabajadores en el proceso de aprendizaje. Menos de la mitad de los encuestados informaron que su estrategia de capacitación en seguridad estaba logrando una mayor eficiencia operativa, reduciendo el riesgo o promoviendo efectivamente el apoyo ejecutivo para una inversión adicional en soluciones de seguridad.
Con muchas organizaciones que enfrentan departamentos de TI y seguridad con poco personal con tiempo y presupuesto limitados, es inteligente preguntar: "¿Cómo superan los costos los beneficios de la capacitación en concientización sobre seguridad?" Dicho de otra manera, "¿Cuáles son las barreras para lograr los tipos de resultados que demuestran un ROI convincente y racionalizan el tiempo, el esfuerzo y el costo de la capacitación de concientización sobre seguridad?"
Por qué la capacitación en concientización sobre ciberseguridad no siempre funciona
Perry Carpenter, oficial de seguridad evangelista de KnowBe4, sugiere que la "brecha conocimiento-intención-comportamiento" explica por qué las infracciones continúan a pesar de las inversiones que las empresas hacen en la construcción de programas sólidos de concientización sobre ciberseguridad. Observa que el hecho de que los trabajadores hayan sido conscientes de los riesgos de un comportamiento descuidado y se les haya proporcionado instrucción sobre el uso adecuado de herramientas y procedimientos no significa que se preocuparán o tomarán las medidas necesarias para mantener a la empresa segura.
Entonces, ¿cómo pueden los líderes de seguridad superar la brecha de "conocimiento-intención-comportamiento" y mejorar el ROI en la conciencia de seguridad? Tanto la investigación como la experiencia de campo coinciden en que las herramientas y métodos tradicionales promueven y recompensan fundamentalmente la mediocridad porque enfatizan la entrega de información e ignoran en gran medida los principios básicos probados del aprendizaje, especialmente cuando se aplican a estudiantes adultos.
Un mejor enfoque para la capacitación en seguridad
Los programas efectivos de concientización sobre seguridad influyen en los trabajadores para que valoren los objetivos y resultados de los comportamientos deseados cuando se centran en comprender y satisfacer estas necesidades esenciales de aprendizaje:
- Mentalidad: los adultos responden mejor a la transparencia del propósito y el beneficio. Su comportamiento es impulsado por cómo se ven a sí mismos, a sus colegas y a su mundo. "¿Cómo afecta mi comportamiento mi desempeño, moldea las percepciones de los demás y contribuye al éxito de la organización?"
- Significado- Los adultos lidian con problemas de la vida real. Están motivados para encontrar soluciones porque afecta su vida diaria. "El problema debería ser relevante y significativo para mí".
- Motivación- Los adultos actúan con urgencia sobre principios y valores. "Protegeré lo que juzgue importante y valioso".
En la mayoría de los casos, la adopción exitosa por parte de los trabajadores de prácticas informáticas más seguras, como la higiene de contraseñas, depende de las actitudes que el trabajador tenga hacia la seguridad, la realidad percibida de la amenaza y si el requisito es sensato y conveniente. Para superar este tipo de variables de comportamiento, debemos ser capaces de persuadir a los trabajadores haciendo el "caso de negocios" para la seguridad: objetivos y valores compartidos, razones y beneficios de la adopción, comportamientos deseados, riesgos de fracaso y solicitud de su apoyo. Con un caso de negocio sólido, en realidad podría haber un ROI para la capacitación en concientización sobre seguridad.
Para obtener más información sobre cómo motivar y presentar el caso comercial para la seguridad de sus empleados, descargue nuestro último informe 2023 State of the CISO Influence que lo equipará con todo lo que necesita para maximizar los resultados en la capacitación en ciberseguridad.