Barracuda full logo

Tendencia de seguridad de Gartner 2022 #5: Más allá de la Concienciación.

Temas:
16 nov 2022
|
Tony Burgess

Este es el quinto en nuestra serie continua de artículos sobre las siete tendencias clave identificadas en el informe de Gartner "Principales Tendencias en Ciberseguridad 2022", publicado para sus clientes en marzo. La quinta tendencia identificada en el informe se llama "Más allá de la Concienciación".

Alguna forma de error humano o juicio erróneo está involucrada en la mayoría de las violaciones de datos, incluyendo no solo el fallo en identificar un ataque de phishing, sino también la mala configuración del sistema, el mal uso o entrega incorrecta de datos, y el uso de credenciales débiles. Y esto indica que los enfoques tradicionales para la formación en concienciación sobre seguridad ya no son efectivos.

Gartner prevé la continua aparición de un nuevo tipo de programa para reemplazar la formación tradicional: un programa de comportamiento y cultura de seguridad (SBCP).

La formación tradicional se queda corta

Probablemente hayas experimentado esto tú mismo. Una o dos veces al año, se anuncia que todos los empleados deben completar el programa de formación en concienciación sobre seguridad antes de una fecha determinada para que la empresa cumpla con las regulaciones.

Literalmente, todos en la empresa lo consideran una tarea no deseada. Lo pospones tanto como puedes, y cuando finalmente decides abordarlo, intentas pasarlo lo más rápido posible, solo para terminarlo.

El programa en sí está escrito por expertos en ciberseguridad, con el objetivo de transmitir información de ciberseguridad de manera eficiente y evaluar la comprensión de los empleados. Solo puedes acceder al programa a través de un único tipo de dispositivo y portal. Y el programa es idéntico para todos, completamente estático, y —especialmente para la generación más joven de trabajadores que vienen con alta aptitud digital y alfabetización cibernética— no tiene éxito ni en transmitir nueva información ni en inculcar ningún tipo de pasión o motivación para adoptar prácticas seguras.

En la medida en que afecta la cultura corporativa, principalmente inculca un sentido compartido de desdén e impaciencia hacia la formación en concienciación sobre seguridad.

Nuevos enfoques

En comparación con los antiguos programas de formación trillados que están destinados principalmente a lograr el cumplimiento, los nuevos programas SBCP toman en serio la tarea de reducir el riesgo cibernético al efectuar un cambio real y duradero en los comportamientos de los empleados y en la cultura corporativa en general.

Esto es especialmente importante a la luz de otra tendencia identificada en el informe de Gartner, a saber, la creciente distribución de la toma de decisiones de seguridad en toda la empresa. A medida que un número creciente de tecnólogos empresariales están capacitados para tomar decisiones de ciberseguridad en el día a día en el curso de su trabajo, necesitan adquirir hábitos de pensamiento y patrones de comportamiento que vayan más allá de simplemente detectar correos electrónicos de phishing y responder adecuadamente.

Para lograr esto, los SBCP modernos no se construyen exclusivamente desde una perspectiva de ciberseguridad. En cambio, integran múltiples disciplinas para operar más como una campaña de marketing clásica y completa que como una campaña de concienciación sobre seguridad de la vieja escuela.

Esto significa que deben entrar en juego múltiples competencias no relacionadas con la ciberseguridad, como:

  • Marketing y relaciones públicas
  • Principios de diseño centrados en el ser humano
  • Gestión del cambio organizacional
  • Psicología y sociología

Adelantarse a la tendencia

Como líder en seguridad y gestión de riesgos para tu organización, tu objetivo debe ser impulsar un cambio cultural que proporcione a todos los trabajadores que interactúan con sistemas digitales habilidades efectivas de juicio cibernético, junto con una fuerte motivación para aplicarlas en el curso de su trabajo.

Esto requerirá que te familiarices con la gestión del cambio organizacional y los principios de las ciencias sociales que se pueden aplicar para cambiar la cultura organizacional.

Además, necesitarás colaborar con líderes empresariales de toda la organización para garantizar que todos los involucrados en la tecnología empresarial estén expuestos a actividades que cambien la cultura y puedan acceder a la formación.

Finalmente, querrás involucrarte con un proveedor de formación en ciberseguridad que utilice un enfoque centrado en la plataforma y proporcione características innovadoras que impulsen el compromiso y produzcan un verdadero cambio de comportamiento, como:

  • Simulaciones de phishing del mundo real basadas en las tendencias de amenazas más recientes
  • Gamificación que recompensa públicamente a los mejores desempeños mientras también motiva a los de menor rendimiento a mejorar
  • Formación adaptativa y contextualizada basada en el rendimiento
  • Recordatorios en el momento para mejorar el juicio

Si no estuviera comprometido a evitar cualquier tipo de enfoque de ventas en esta serie de blogs, aquí es donde podría mencionar que el Barracuda Security Awareness Training es un programa plataforma que cumple con muchos de esos requisitos. Pero lo estoy, así que no lo haré. De nada.

Suscríbete a Journey

 

 

Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Publicaciones relacionadas:
Explicación de los ataques de phishing de Microsoft Direct Send
Explicación de los ataques de phishing de Microsoft Direct Send
 Social engineering attacks: What MSPs need to know
Social engineering attacks: What MSPs need to know
 Understanding email threats: The foundation of email security
Understanding email threats: The foundation of email security
AI and innovation at Barracuda
AI and innovation at Barracuda
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.