Demo

SMARTFENSE apesta, episodio I

Nicolás Bruna Blog No hay comentarios

SMARTFENSE apesta, episodio I

Objetivos concretos, resultados ¿reales?

Las plataformas de concientización (AMS) existen para asistir a las organizaciones en objetivos concretos:

  • Generar conciencia en los usuarios
  • Generar hábitos seguros y, a través de ellos, generar una cultura segura

SMARTFENSE, desde su fundación, se ha pensado y desarrollado para que las organizaciones puedan alcanzar estos objetivos en su totalidad, de manera homogénea.

Cuando el objetivo principal de una organización es únicamente generar hábitos seguros, hablamos de un programa de Security Awareness.

En cambio, cuando el objetivo va más allá, y también se desea generar hábitos seguros en los usuarios, y en última instancia desarrollar una cultura segura en la organización hablamos de un Security Behavior and Culture Program (SBCP).

En ambos casos, y como consecuencia de los objetivos mencionados, se da cumplimiento a diferentes normativas.

Un aspecto clave para alcanzar estos objetivos, son los contenidos de concientización. No todos los contenidos tienen la capacidad de causar cambios reales, y no todas las plataformas pueden crear un entorno donde esto sea posible.

Contenidos de SMARTFENSE

Los contenidos de SMARTFENSE están creados tanto para generar conciencia como para lograr un cambio de hábito real en los usuarios. Para esto se siguen diversas técnicas como design thinking y refuerzo positivo (derivado de la teoría de Nudges), entre muchas otras. Pensamos nuestro desarrollo de contenidos con una mentalidad de Marketing más que con un enfoque tradicional de concientización.

Esto permite que los usuarios tengan una experiencia de calidad con nuestros contenidos y nuestra plataforma, favoreciendo su engagement. El usuario percibe cuándo un contenido realmente busca aportar un valor en su vida laboral y personal, y aumenta su recepción, lo que en definitiva lleva a desarrollar o consolidar cierto hábito seguro.

Contenidos 100% customizables (y estropeables)

SMARTFENSE es muy probablemente la plataforma de concientización más flexible disponible en el mercado. Esto brinda muchas ventajas. Aquellas específicas relacionadas con los contenidos de concientización son, entre otras:

  • Generar contenido contextualizado para la organización
  • Utilizar la imagen corporativa de la organización
  • Responder de manera rápida frente a situaciones particulares, como por ejemplo generar una simulación de Phishing a partir de un ataque real recibido en la organización.

Este grado de flexibilidad, a veces, se combina con administradores que tienen un objetivo muy acotado para su programa de concientización: cumplir normativas.

Solo eso.

No les interesa generar conciencia, menos aún hábitos seguros, y ni hablar de culturas seguras.

De esta combinación, nace el episodio 1 de SMARTFENSE apesta.

El lado oscuro de la flexibilidad

Timbre en reparación, toque el pollo.
Uno de los puntos específicos que consideramos en SMARTFENSE a la hora de desarrollar cada contenido es cuánto tiempo va a requerir al usuario para completarlo. Para esto, manejamos tiempos desde 1 minuto a 12 minutos, dependiendo los componentes involucrados:
  • Videos
  • Videojuegos
  • Módulos Interactivos
  • Newsletters
  • Exámenes
  • Encuestas
  • Momentos educativos

El problema aquí es que muchos usuarios administrativos aprovechan la flexibilidad de SMARTFENSE para crear, por ejemplo, Módulos Interactivos personalizados de más de 100 slides, combinando diferentes tópicos, y creando así contenidos que llevan más de una hora para ser completados.

¿Por qué motivo hacen esto los administradores? Porque, como dijimos, quieren dar cumplimiento, y no les interesa nada más. Y lo logran (con un porcentaje muy bajo de usuarios). Y además, logran otras cosas, todas ellas negativas:

  • Echar por la borda cualquier tipo de engagement que el usuario pueda tener con la plataforma.
  • Predisponer negativamente al usuario y crear un ambiente negativo contraproducente para el aprendizaje.
  • Anular la capacidad del contenido de crear un cambio real en el comportamiento o nivel de conciencia del usuario, y por ende, en la cultura organizacional.

Maneras de empeorar esta situación

Siempre puede ser peor.

Existen casos donde los Módulos Interactivos incluyen Exámenes enormes, donde a través de 50 o más preguntas se trata de evaluar al usuario respecto al contenido nefasto que le asignaron.

Otro caso por ejemplo tiene que ver con organizaciones que no toman a la concientización como un proceso de mejora continua.

Previamente mencionamos los objetivos que realmente debe tener un programa de concientización. Y en definitiva el resultado que se persigue con ellos – la misión, si queremos hablar en términos estratégicos – es disminuir el riesgo de que se haga efectivo un ataque de ingeniería social en la organización. Dicho en otras palabras, gestionar el riesgo de la ingeniería social.

Los riesgos no se gestionan 3 meses, o 1 año. Se gestionan de manera continua, para poder mantenerlos en un nivel aceptable para la organización.

Muchas organizaciones sin embargo, ven a la concientización como un proyecto de corta duración, enfocado en generar una habilidad o conocimiento puntuales. Esto tiene diversas causas. Una muy común es que en algunos países existen subsidios/subvenciones para empresas que, para ser efectivos, piden que un período de tiempo muy corto (2 o 3 meses) se lance un curso de muchas horas (más de 20).

Por querer calificar para este beneficio económico, aprovechan la flexibilidad de la plataforma para transformarla de AMS a LMS (Learning Management System) y brindar cursos, lo cual no es el objetivo – ni de cerca – de una plataforma de concientización.

Nota: Al día de la publicación de este post tenemos en SMARTFENSE más de 300 clientes. Los casos presentados son reales, pero a su vez no son todos los que detectamos, ya que de lo contrario, este post sería largo como contenido de CISO que solo quiere cumplir.

Ideas finales

Es fácil dejarse llevar por las libertades que una herramienta puede proveer. Por eso, de la misma manera que debemos pensar dos veces antes de hacer clic, podemos pensar dos veces antes de editar un contenido.

  • ¿Qué queremos lograr con la edición?
  • ¿Realmente es bueno para el usuario final?
  • ¿Ayuda a que alcancemos de mejor manera los objetivos de nuestro programa de concientización?

Este es el primer episodio de una serie de posts sobre malos usos de SMARTFENSE. ¿Te gustaría conocer más al respecto? ¡Seguinos en nuestras redes para no perderte ninguna novedad!


Compartir:

Compartir en LinkedIn Compartir en Pinterest Compartir en WhatsApp
Tags:
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja una respuesta

Búsqueda

Entradas recientes

Nube de etiquetas

actualidad cambio de comportamiento capacitación y concienciación ciberseguridad ciso columnista invitado concienciación consejos hardening de usuarios ingeniería social phishing ransomware responsable de seguridad seguridad de la información smartfense