This post is also available in: Português Español
Por sí solas, algunas estadísticas serían suficientes para convencer a los gerentes de hacer una capacitación de concientización sobre seguridad (traducción del término inglés “security awareness”) con sus empleados. Una de las más impactantes se refiere al hecho de que el 82% de las brechas de seguridad involucran factores humanos, es decir, derivan de errores de personas que están en el día a día de las empresas.
Sin embargo, las mismas estimaciones muestran que solo 1 de cada 9 empresas (11 %) proporcionó capacitación en seguridad cibernética, o un programa de concientización sobre seguridad, a los empleados. Por lo tanto, parece que muchos aún deben estar convencidos de los beneficios que ofrece esta capacitación para la seguridad de la información. A continuación, seleccionamos 7 razones que refuerzan su importancia:
1. Evitar la filtración de datos y el éxito de los ataques de phishing
Siempre es bueno reforzar: la capacitación en concientización sobre la seguridad de la información ayuda a prevenir infracciones. Sin embargo, es difícil cuantificar exactamente el número de ataques que evita un programa de entrenamiento de este tipo.
Sin embargo, es posible demostrar el retorno de la inversión (ROI). Basta con comparar el número de incidencias que surgen antes y después de las actividades. Las métricas resultantes se pueden utilizar para obtener una indicación del ROI.
Dichos cálculos no son necesarios para mostrar que las filtraciones de datos pueden costar millones de dólares, mientras que la capacitación en concientización sobre seguridad es relativamente económica. Así, no es necesario realizar mucha formación para obtener rendimientos considerables, ya que los conocimientos suelen absorberse rápidamente.
2. Construir una cultura de seguridad
Este es el gran sueño de muchos oficiales de seguridad de la información (CISO). Entonces, con la ayuda de la capacitación en concientización sobre seguridad, más empresas están llegando a ese nivel.
Crear tal cultura de seguridad significa incorporar valores de seguridad en la estructura del negocio. La capacitación cubre el conocimiento de la situación, además de brindar beneficios para el trabajo y la vida personal, y es una buena manera de involucrar a los empleados.
Las plataformas de capacitación avanzada pueden incluso ayudar a monitorear y desarrollar una cultura de seguridad, convirtiendo a las personas en la primera línea de defensa contra los ataques de ingeniería social, por ejemplo.
3. Fortalecer las barreras
Las defensas tecnológicas son un arma valiosa para prevenir infracciones. Sin embargo, exigen la acción intensa de las personas involucradas.
Los Firewall, por ejemplo, deben estar habilitados; las advertencias de seguridad deben reconocerse y el software debe actualizarse. Acciones de este tipo requieren seres humanos en acción.
Pocas empresas piensan hoy en operar sin defensas tecnológicas. Sin embargo, sin capacitación en concientización sobre seguridad y educación en seguridad cibernética, es poco probable que las protecciones alcancen su máximo potencial.
Los atacantes de hoy en día rara vez se molestan en intentar atacar a las empresas únicamente a través de medios tecnológicos. A menudo se dirigen a las personas, ya que se consideran una forma relativamente fácil de acceder a redes seguras. Después de todo, a menudo son más propensos a fallar que los sistemas.
4. Para dar confianza a tus clientes
Los consumidores son cada vez más conscientes de las ciberamenazas. Y, como clientes, quieren sentirse mínimamente inmunes a tales problemas.
Esto significa que una empresa que toma medidas para mejorar la ciberseguridad generará más confianza en el consumidor. Y se sabe que una empresa confiable inspira más lealtad a los clientes, lo que hace que se sientan más tranquilos para volver a comprar.
Sin embargo, la investigación de Arcserve muestra que el 70 % de los consumidores cree que las empresas no están haciendo lo suficiente para garantizar la ciberseguridad. Y dos de cada tres dijeron que evitarían hacer negocios con una marca que ha sufrido un ciberataque en los últimos meses.
Por ejemplo, la seguridad comprometida del punto final, los ataques de phishing, la ingeniería social y la violación de datos son incidentes de seguridad comunes que pueden generar alertas en la mente del consumidor.
Cada vez más clientes prestan atención a la seguridad, aunque todavía no se encuentra en los porcentajes más positivos. Por lo tanto, cuando se introduce la capacitación en concientización sobre seguridad, los clientes tienden a ver a la empresa como más responsable, lo que en última instancia beneficia al negocio.
5. Cumplimiento
No es algo que, en sí mismo, sea una razón para unirse a la capacitación de concientización sobre seguridad. Después de todo, cualquiera que haga esto solo para cumplir con las regulaciones probablemente esté haciendo lo menos posible, lo que tiende a ser un gran problema para los ciberdelincuentes.
Aún así, cada vez más reguladores exigen que industrias específicas implementen capacitación en concientización sobre seguridad. Las empresas de todos los tamaños necesitan desarrollar una cultura de seguridad de arriba abajo. La ciberseguridad es una responsabilidad compartida, donde se adopta un enfoque cooperativo para hacer frente a estas amenazas.
El cumplimiento, entonces, debe ser un subproducto positivo de la capacitación en concientización sobre seguridad. La introducción de contenido de capacitación hace que la empresa sea más segura y, en muchas industrias, cumple con los requisitos reglamentarios.
6. Responsabilidad social
Como demostraron los programas maliciosos WannaCry y NotPetya, los ciberataques pueden propagarse rápidamente. Cuantas más redes estén infectadas, mayor será el riesgo para otras redes. Y la debilidad de una red aumenta la amenaza general para las demás.
Esto significa que la ausencia de capacitación en concientización sobre seguridad en una organización hace que otras sean vulnerables. Sería como dejar la puerta de tu casa abierta y las llaves de la casa de tu vecino adentro.
Así, esta formación no sólo beneficia a la propia empresa, sino que acaba extendiéndose a clientes, proveedores y todos los demás conectados a la red.
7. Para mejorar el bienestar de los empleados
Es un hecho que las personas felices son más productivas. Por lo tanto, vale la pena recordar que la capacitación en concientización sobre seguridad no solo mantiene a las personas seguras mientras están en el trabajo. También los protege de las amenazas de ciberseguridad en su vida personal.
Solo recuerde que la capacitación en concientización sobre seguridad cibernética hace lo que debe en la prevención de amenazas. Por lo tanto, no es solo un beneficio para el empleador. Es un beneficio para los empleados también.
This post is also available in: Português Español