Su importancia radica en como asegurar que los usuarios comprendan y sigan ciertas prácticas para ayudar a garantizar la seguridad de una organización. Desde esta perspectiva, la concientización en seguridad informática ha existido prácticamente desde siempre, más cuando se toma en cuenta para una necesidad de seguridad en aplicaciones militares.

Hoy en día, la concienciación se enfoca en la seguridad de la información y especialmente en la ciberseguridad. Los rápidos avances en la tecnología de la información (y en paralelo las innovaciones de los cibercriminales) implican que los empleados y otros usuarios finales deben aprender las mejores prácticas y procedimientos para mantener las redes y los datos seguros, así como las consecuencias de no hacerlo.

Los departamentos de TI pueden establecer políticas y procesos de defensa y de protección eficaces. Pero sólo se necesita un error, en el lugar menos pensado, en el momento equivocado, para que una amenaza tenga la oportunidad para aprovechar una posible brecha en la seguridad.

¿Por qué la concientización debe ser una tarea continua?

La capacitación de los empleados desempeña un papel fundamental en la ciberseguridad de la empresa. Sin embargo, con demasiada frecuencia, ese entrenamiento se aborda como una actividad de seguridad única. Una vez que las acciones de capacitación se han completado, los administradores y los empleados las olvidan.

Y tener conciencia en ciberseguridad es algo que no se puede dejar de lado, pues para abordar la creciente cantidad de amenazas, las empresas necesitan un programa integral de capacitación en concientización. El programa de ciberseguridad debe estar bien diseñado y construido para resolver los problemas y riesgos más apremiantes de la compañía y debe incluir los siguientes puntos:

• Identificar los temas, tendencias, amenazas y riesgos de seguridad esenciales que enfrenta o podría enfrentar la organización.
• Determinar qué tipo de información puede educar mejor a los empleados sobre esos temas.
• Planear el programa de seguridad y calendarizar los módulos de cada campaña de seguridad.
• Mantener las campañas integradas entre sí y hacer evaluaciones para asegurar que los empleados han entendido los conceptos abordados.
• Evaluación periódica del programa permite identificar oportunidades de mejora del programa.

Algo importante a señalar es que una razón por la cual las empresas hacen campañas únicas y sin continuación, es el tiempo que se debe invertir en crear un programa válido, así como reunir, distribuir y actualizar el material, así como realizar las evaluaciones.

Si el programa y las campañas específicas no se planifican con anticipación, los responsables terminan reinventando la rueda días antes de que llegue el momento de la próxima campaña.

¿Cuáles son los beneficios de la concientización de ciberseguridad?

Estas son algunas ventajas importantes que se persiguen al tener un programa de concientización de ciberseguridad:

1. Un personal con una capacitación continua presenta un menor riesgo para la seguridad de la Información de la organización.
2. Menos riesgos se traduce en menos perdidas ante un ciberdelito.
3. Una empresa con personal consciente de la seguridad de la información tendrá una mejor reputación entre sus clientes.

¿Cuáles serían las mejores prácticas para un programa de concientización de ciberseguridad?

Prácticas que se recomiendan:

• Conseguir el cumplimiento de los objetivos propuestos.
• Incluir a todos sin importar su nivel jerárquico dentro de la organización.
• Concientización sobre phishing y spear-phishing.
• Concientización sobre USB Rubber Ducky
• Concientización sobre ransomware
• Establecer seguridad en contraseñas.
• Concientizar sobre la ingeniería social.
• Comunicar claramente el programa de concientización sobre seguridad.
• Hacer que el entrenamiento sea atractivo y entretenido.
• Reforzar los mensajes importantes con revisiones y repetición.
• Crear un ambiente de refuerzo y motivación.

En nosotros está el cambiar el hecho de que los empleados se consideren el eslabón más débil de la organización cuando se trata de ciberseguridad. De hecho, pueden ser el mayor recurso de protección cuando están conscientes, informados y motivados.