Las capacitaciones de concientización son un ‘must-have’, no un ‘nice-to-have’

Durante más de dos años, la capacitación en conciencia de seguridad ha sido una parte integral de la cartera de G DATA CyberDefense. Es hora de hacer balance. En esta entrevista, Nikolas Schran, Product Owner Cyber Defense Academy, explica el concepto de capacitación en conciencia de seguridad.

¿Cuál es nuestro enfoque?

Además de todas las medidas técnicas de protección, los empleados se están convirtiendo cada vez más en el foco de los ciberdelincuentes. Sin embargo, las empresas medianas en particular todavía tienen mucho que hacer al día aquí. Esto también se demuestra en el ataque a la ciudad de Witten, que es comparable en tamaño a una empresa mediana. Las grandes ciudades como Múnich, Hamburgo o Hannover ya tienen un presupuesto de seguridad de TI correspondiente: están mejor posicionadas.

Queremos utilizar una combinación de phishing y e-learning para mostrar a las empresas las necesidades respectivas de capacitación en seguridad. Sobre esta base, queremos capacitar profesionalmente a nuestros empleados con los cursos adecuados. Estamos convencidos de que un buen concepto de aprendizaje consiste en averiguar lo que hay que aprender y luego desplegar este conocimiento a los usuarios de una manera amigable para la persona. Desde nuestro punto de vista, es de vital importancia que el alumno aprenda el contenido que es relevante para él o ella. Esto incluye, por ejemplo, información sobre las amenazas cibernéticas actuales y consejos sobre cómo protegerse de ellas.

¿Qué hemos aprendido?

Al principio tuvimos que pagar la matrícula, sin duda. Para ello ahora contamos con un producto muy fácil de usar con el que cumplimos con los requisitos de nuestros clientes.

Un primer aprendizaje fue que, aunque en G DATA tenemos una experiencia en seguridad de TI extremadamente alta, carecíamos de las habilidades para impartir este conocimiento. Tuvimos que aprender que se necesita un concepto didáctico razonable para transmitir nuestra experiencia. Primero tuvimos que desarrollar este concepto didáctico. La pregunta central era: ¿Cómo aprende la gente hoy? Con este conocimiento, pudimos crear el contenido y un plan de aprendizaje. Desde mi punto de vista, esto requiere un plan que se pueda aplicar individualmente a los empleados. Es importante que los cursos recojan a los alumnos de tal manera que no pierdan inmediatamente el interés y se detengan. Es por eso que hemos creado un mundo en el que los usuarios se sienten cómodos y los administradores reconocen el valor agregado en la capacitación en seguridad de TI.

Es importante tener en cuenta que la capacitación en concientización es un proceso continuo. Esto significa que nosotros, como proveedor, también adaptamos los cursos de formación una y otra vez para informar a las empresas y sus empleados sobre las amenazas y riesgos actuales.

¿Qué errores cometimos?

Rápidamente nos dimos cuenta de que no podíamos llegar lejos con el «martillo de madera». En otras palabras, proporcionar a cada alumno 40 cursos a la vez no conduce a la meta. Por lo tanto, hemos diseñado rutas de aprendizaje para acompañar continuamente a los usuarios de manera didáctica, con material de curso interesante y cambiante regularmente. Hemos establecido un proceso de aprendizaje continuo. La pregunta fundamental detrás de esto es: ¿Cómo debe anclarse el aprendizaje en la empresa? Desde nuestro punto de vista, es una interacción entre la empresa respectiva y la plataforma de aprendizaje utilizada.

Cuando se trata de seguridad de TI, estamos tratando con un tema seco. Y, sin embargo, puedo presentar el contenido de aprendizaje de una manera emocionante. Y esa es exactamente nuestra tarea. Por ejemplo, abordamos el tema del phishing desde la perspectiva de un atacante para descubrir los trucos psicológicos del atacante. Si el alumno se desliza en este papel virtualmente, el tema permanecerá en su mente durante mucho tiempo.

¿Dónde estamos parados? ¿A dónde queremos ir?

Aunque ya hemos logrado mucho este año, todavía estamos en el principio, al igual que otros proveedores de capacitación en concientización. Además, para muchas empresas, el tema de la concienciación en seguridad aún no tiene la importancia que debería tener desde nuestro punto de vista. Siempre nos reunimos con administradores que ya han reconocido la importancia. Quieren que los empleados pasen del riesgo de seguridad a convertirse en parte de la solución de protección. Esta transformación tiene éxito si los empleados tratan constantemente el tema. Y este cambio es un proceso muy largo. Sin embargo, muchas empresas aún no proporcionan los presupuestos necesarios para esto. Y con la capacitación única en el aula, nada se pega. Ese es el enfoque equivocado. Si quiero lograr un cambio real, solo funciona con un proceso continuo.

Desde mi punto de vista, muchas empresas aún tienen que desarrollar la voluntad de proporcionar presupuesto para esto y capacitar a los empleados a largo plazo. Por lo tanto, debemos asegurarnos de que los responsables de la toma de decisiones reconozcan el valor añadido. Por eso queremos construir el mejor producto del mercado. Nuestra visión es ayudar a las empresas a construir una nueva cultura de seguridad combinando capacitación y tecnología.

¿Quiénes son nuestros clientes?

Estoy convencido de que ya nos hemos establecido en muchos grupos de clientes. Sin embargo, el mercado se divide en dos partes. Actualmente, las empresas se encuentran entre nuestros clientes para quienes el tema de la seguridad de TI es de mayor importancia. Ya están dispuestos a invertir en formación de sensibilización. Para ellos, la conciencia no es un «agradable de tener», sino un «imprescindible».

Nuestros clientes provienen de muchas áreas e industrias diferentes. Estos incluyen ciudades y municipios, instituciones de caridad, así como empresas y corporaciones medianas.

¿Cuál es la retroalimentación de los clientes?

Escuchamos una y otra vez que hemos creado un producto muy fácil de usar. Para nosotros, la retroalimentación de los estudiantes tiene una prioridad muy alta. Si ellos están contentos, nosotros estamos satisfechos. Nuestro objetivo es que los alumnos se ocupen regularmente del contenido. Lo hacen cuando reciben regularmente un recordatorio. Esto motiva a los empleados. Al mismo tiempo, tenemos una plataforma que es intuitiva de usar y muestra a los usuarios lo que deben hacer a continuación.

Una confirmación de que estamos en el camino correcto es el Premio Security Insider de este año. Allí ganamos el premio de plata en la categoría «Formación de Concienciación». El premio se debe a todo el equipo de sensibilización de G DATA. Estoy muy contento con este premio.

Enlace: «Las capacitaciones de concientización son un ‘must-have’, no un ‘nice-to-have'», | G DATOS (gdata.de) Blog de G DATA Stefan Karpenstein