Cuando el correo anual de formación en seguridad llega a su bandeja de entrada, muchos empleados tienden a ignorarlo o a buscar atajos para pasar rápidamente el test final. Solo quieren tacharlo de su lista de tareas. Pero, ¿y si pudieras demostrarles que estas formaciones son cruciales y mucho más que otra tarea aburrida? ¡Es hora de ser creativos y transformar una formación monótona en una experiencia amena y atractiva!
El momento es importante
En primer lugar, la formación en seguridad no debería percibirse como un castigo ni como una carga para los empleados. Para lograrlo, evita programarlas en los periodos de mayor carga de trabajo y proporciona a los empleados el tiempo suficiente para completarlas. Adopta un enfoque de apoyo, motivando a tu equipo al mostrar que incluso la alta dirección participa y valora estas formaciones. Resalta que todo el mundo, incluido el liderazgo, está comprometido con la educación continua y la mejora constante.
¿Cómo mejorar la concienciación sobre ciberseguridad de tus empleados?
- Repite la formación en seguridad de manera regular
- Motiva a tus empleados: anima en lugar de castigar
- Fomenta que aprendan y permanezcan atentos
- Haz pruebas sorpresa
Asegúrate también de que todo el mundo entienda los principios básicos justo después de incorporarse a la empresa. "Los empleados también deben saber a quién deben reportar actividades sospechosas; cómo utilizar software o servicios en la nube; qué hacer si ven personas sospechosas en las instalaciones de la oficina; y cómo usar tecnologías de seguridad, como un gestor de contraseñas", dice Daniel Chromek, Director de Seguridad de la Información en ESET. Si tienes una dirección de correo electrónico para reportar incidentes, asegúrate de que esté visible en varios lugares de la oficina.
Explica por qué la formación regular es una gran medida preventiva
Una vez determinado el mejor momento, debes convencer a tus empleados de que la educación continua sobre amenazas digitales es importante. Explícales que las amenazas digitales evolucionan constantemente, y que solo pueden mantenerse seguros si se actualizan de forma continua. Idealmente, tus empleados deberían permanecer vigilantes en su rutina diaria—cuando envían correos, manejan datos o usan aplicaciones. Incluso las aplicaciones y páginas web que utilizan a diario podrían representar un riesgo de seguridad digital.
Ingeniería social
La ingeniería social, como el phishing, sigue siendo uno de los vectores de ataque más comunes. Según el PurpleSec Cyber Security Trends Report de 2023, un asombroso 98 % de los ciberataques implican algún tipo de ingeniería social. Su atractivo radica en que explota el eslabón más débil de cualquier sistema de seguridad: las personas. En lugar de confiar en habilidades técnicas para vulnerar sistemas, los atacantes utilizan la manipulación psicológica para ganarse la confianza y acceder a información sensible. Por ello, las formaciones regulares sobre tácticas de ingeniería social, los ataques simulados y las políticas claras son esenciales en cualquier organización.
[Más información sobre ingeniería social.]
Es importante recalcar que la prevención es la mejor protección para tus sistemas, y que recibir formación regular en seguridad digital es parte de lo que cada uno puede y debe hacer. Incluso normativas como NIS2 y marcos de referencia como NIST enfatizan su importancia. Además, las medidas preventivas pueden ahorrar a tu organización una cantidad significativa de dinero. Según IBM, el coste medio de una filtración de datos en 2023 fue de 4,45 millones de dólares, un 15 % más que hace tres años.
Sin embargo, formar a tus compañeros una o dos veces al año en sesiones de medio día podría ser insuficiente. Estos conocimientos se olvidan fácilmente si no se refrescan ni se ponen en práctica. Considera combinar formaciones clásicas con actividades más pequeñas pero frecuentes. "Tiene más sentido dividir la información en fragmentos que los empleados puedan asimilar fácilmente. Por ejemplo, utilizar vídeos de 10 minutos centrados en un solo concepto, o resumiendo los cuatro principales cambios derivados de nuevas políticas. Luego puedes distribuir estos ejemplos simplificados de forma regular para recordar a los empleados la importancia de vigilar los temas de seguridad", comenta Daniel.
Diviértete
Existen muchas formas creativas de hacer que la formación sea más amena. Puedes transformar las clásicas diapositivas aburridas en una historia en cómic o en un juego en el que el jugador sea recompensado al final. También puedes convertir la sesión de formación en una actividad en equipo divertida, organizar un concurso de conocimientos y hacer que compitan por pequeños premios. O bien preparar escenarios prácticos para poner a prueba los conocimientos adquiridos. Aquí algunas ideas para empezar:
ESCENARIO CÓDIGO QR
Coloca códigos QR de una fiesta de Navidad en lugares accesibles por posibles atacantes, como ascensores o puertas de entrada. Haz que parezcan auténticos y añade un texto llamativo: por ejemplo, indicando que quienes escaneen el código recibirán un regalo en la fiesta. Estos QR deberían llevar a una página que advierta de los riesgos de escanear códigos desconocidos, especialmente en espacios públicos.
ESCENARIO DE SUPLANTACIÓN
Aquí necesitarás ser un poco más creativo y técnico. Encuentra la forma de suplantar (con permiso, claro) a una persona de alto rango de la empresa usando técnicas de deepfake o clonación de voz. Luego envía mensajes a sus subordinados con instrucciones detalladas (como transferir dinero a una cuenta específica, que luego recuperaréis). Después revela el experimento y destaca lo fácil que fue engañar, subrayando la creciente sofisticación de los deepfakes y clones de voz.
ESCENARIO DE INTRUSO
En este caso, necesitarás ayuda externa (por ejemplo, de tu pareja, amigo o hermano, alguien que los empleados no conozcan). Esta persona debe colocarse en el exterior de las instalaciones y pedir amablemente a alguien que le deje entrar, alegando que olvidó su tarjeta de acceso. El intruso puede entrar y salir varias veces probando a diferentes empleados antes de revelar el experimento mediante un correo electrónico. No expongas a los individuos concretos que fallaron, pero sí muestra estadísticas: cuánto tardó el intruso en entrar, cuántos empleados le cuestionaron, etc. Educa a tu personal sobre el riesgo de permitir el acceso físico no autorizado a dispositivos de la empresa.
Concienciación creativa
Al final, tus compañeros deberían salir de la formación sintiéndose formados y más seguros para afrontar los retos de la seguridad digital, en lugar de aburridos o frustrados. La creatividad e innovación deben ir de la mano con la transmisión de que, solo mediante actualizaciones regulares, ellos y la empresa podrán mantenerse por delante de los riesgos.
