Redefinir los modelos de formación para concienciar en ciberseguridad

Se habla mucho de la falta de competencias en materia de ciberseguridad, y con razón. Existe una escasez de profesionales en este ámbito, lo que hace que las redes y quienes dependen de ellas, es decir, la sociedad en su conjunto, estemos inseguros. A esto se añade el hecho de que los humanos somos el eslabón más débil de la cadena de ciberseguridad de una organización.

Las organizaciones necesitan un nuevo paradigma de formación que ofrezca contenido apropiado sin que conlleve interrupciones del negocio. Se trata de aplicar técnicas no tradicionales que transformen la experiencia de aprendizaje de un evento aislado en el que el alumno “consume el contenido de la formación” en una cultura de aprendizaje continuo en la que los empleados son “participantes activos” en un proceso de aprendizaje más informal, social y orientado al objeto de interés. 

Son muchos los beneficios científicos de estas nuevas técnicas, como la reducción de la carga cognitiva, un mayor compromiso por parte del alumno y mayor nivel retención de información. Entre las técnicas de capacitación no tradicionales cabe destacar: las ayudas laborales, microaprendizaje, gamificación, insignia digital y campañas de sensibilización.

Imaginemos que un empleado recibe un email sospechoso. En lugar de recurrir a un extenso manual o tratar de recordar las características específicas de los correos electrónicos maliciosos sobre las que le hablaron en una formación previa, el empleado puede buscar ayuda en el propio entorno de trabajo. Podría ser tan simple como una hoja plastificada con dos caras, en una se describen las características de varios emails maliciosos y en la otra cara se explica con simples diagramas de flujo qué hacer. Se trata esencialmente de un aprendizaje “Just-in-Time” que pronto se convertirá en algo natural para el empleado. 

El microaprendizaje es un concepto general que consiste en proporcionar a los participantes píldoras formativas donde y cuando sea apropiado. El contenido puede ofrecerse de diversas maneras, como los sistemas modernos de gestión del aprendizaje (LMS) que llevan el contenido a los usuarios. O a través de medios menos formales, como cuestionarios integrados en boletines informativos regulares. El microaprendizaje es una tendencia al alza con gran potencial en el aprendizaje basado en las competencias, por su capacidad de sensibilización. Es ideal para reforzar los temas de seguridad y las habilidades requeridas, aumentando las probabilidades de retención y cumplimiento general.

La gamificación, basada en elementos propios del diseño de videojuegos en entornos de aprendizaje, involucra a los alumnos a través de actividades lúdicas e incluso y crea un entorno competitivo o social. Al ganar puntos, elevar su nivel de estatus, llegar a la cima de una tabla de clasificación u otras técnicas de juego, los usuarios se sienten motivados para continuar aprendiendo. El juego se implementa en distintas maneras y grados, como otorgar puntos a los que participen en actividades de microaprendizaje, o en campeonatos de “captura la bandera”. Desde la perspectiva de la concienciación sobre la ciberseguridad, la gamificación del aprendizaje podría llevarse a cabo junto con equipos de ingeniería de seguridad que envíen ataques de phishing simulados y otorguen puntos a los empleados que los eviten y sean capaces de identificar características de los mismos. 

Las insignias digitales se definen como “un símbolo o indicador validado de un logro, habilidad, calidad o interés”. Aunque no es una técnica de capacitación en sí misma, la insignia digital puede ser una herramienta clave como motivador de comportamientos y elevar el nivel de involucración de los alumnos mediante el reconocimiento de los logros. También puede ser utilizada como un mecanismo para comunicar el estado de una persona o su pertenencia a una comunidad. De hecho, el distintivo digital se está convirtiendo rápidamente en una alternativa a las designaciones tradicionales de certificación técnica, que a menudo requieren una inversión significativa de tiempo y dinero. Es un gran facilitador para los responsables de ciberseguridad y los departamentos de RRHH que desean evaluar las habilidades y el conocimiento de los potenciales nuevos empleados de una organización. Es una buena herramienta para que los equipos internos que vigilan el cumplimiento de los procesos puedan medir y realizar informes fácilmente sobre el conocimiento en ciberseguridad de sus empleados.  

Aunque no es tan tecnológico como la gamificación o las insignias digitales, un método de formación que a menudo se pasa por alto es aprovechar las campañas de sensibilización existentes. Estas campañas pueden centrarse específicamente en una iniciativa de formación, como la concienciación sobre ciberseguridad, o pueden ser campañas de mayor envergadura que estén bien alineadas con los objetivos de aprendizaje, como el Mes de la concienciación sobre la ciberseguridad. Pueden ser campañas internas o externas que normalmente proporcionan un número significativo de recursos y apoyo.

Al evolucionar la estrategia de formación de la organización para incluir una variedad de técnicas no tradicionales para las necesidades de ciberseguridad, tenemos el potencial de hacer algo más que crear un equipo de trabajo formado en ciberseguridad. Está en nuestras manos el poder cambiar la cultura general de aprendizaje de nuestra organización para que se convierta en una verdadera organización de aprendizaje.  

La entrada Redefinir los modelos de formación para concienciar en ciberseguridad aparece primero en Globb Security.