¿Con qué frecuencia debemos concientizar?

¿Con qué frecuencia debemos concientizar?

Introducción

Cada familia es un mundo, y cada empresa también lo es. Tras varios años trabajando como Product Manager de SMARTFENSE, podría clasificar las diferentes estrategias que las organizaciones aplican a la hora de concientizar de la siguiente manera:

Concientizar a todos para cumplir normativas

Algunas compañías realizan una serie masiva de campañas de Módulos Interactivos y Newsletters a lo largo de algunos meses, inundando de información a los usuarios. Completados todos los contenidos pertinentes para cumplir con normativas y regulaciones, suspenden las acciones.

Concientizar en etapas para… ¿quedar bien?

Otra estrategia que siguen algunas organizaciones consiste en concientizar a un grupo de usuarios durante un período, y luego continuar con otro grupo, en una especie de proyecto en cascada donde se concatenan los esfuerzos de capacitación por áreas o equipos. De esa manera, buscan capacitar a la totalidad de colaboradores en el año. Pero visto desde la perspectiva del usuario, esto significa que de repente un día comienza a recibir material útil de seguridad de la información, y de repente, deja de gozar de ese beneficio hasta próximo aviso.

Concientizar para fortalecer la capa humana

Otras organizaciones realizan una serie continua y consistente de campañas de Módulos Interactivos, reforzadas por Newsletters, separando los envíos en el tiempo para no interferir demasiado en la jornada laboral del usuario y favorecer el aprendizaje paulatino de los contenidos.

Amerita aclarar que estas clasificaciones no pretenden ser exhaustivas ni taxativas, sino sólo un esbozo de la realidad a partir de mis propias observaciones, y sin adentrarme aún en las acciones de simulación de Phishing y Ransomware, exámenes y encuestas.

La frecuencia y su efecto en la efectividad de nuestras acciones

Una diferencia fundamental entre las estrategias mencionadas es la frecuencia con la cual los usuarios reciben el contenido.

En esencia un programa de concientización busca crear hábitos seguros en los usuarios y llevar hacia una cultura segura tanto dentro como fuera de la organización.

Los seres humanos tenemos una memoria que no es perfecta. Si absorbemos cierta información hoy, cada día que pase se irá perdiendo, salvo que reforcemos nuestro aprendizaje. Ni hablar sobre crear un hábito, para lo cual se necesita de manera esencial una constancia sostenida en el tiempo.

Dicho esto, en cuanto a frecuencias, hay una única estrategia destinada a triunfar, y es la de concientizar de manera continua a todos los usuarios de nuestra organización.

Ideas finales

Habiéndose comprobado ya la importancia del usuario en la seguridad de la información, y contándose con el Hardening de usuarios como herramienta esencial para el desarrollo de una capa humana segura, es comprensible que cada vez más organizaciones opten por concientizar a sus usuarios.

Reconocido el problema y tomada la decisión de actuar sobre él, cumplimos un paso muy importante. Sin embargo, debemos comprender que los resultados llegarán únicamente al enfocar la concientización como un proceso transversal de mejora continua y sostenido en el tiempo.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario