Cada año, se gastan miles de millones en todo el mundo en formación sobre seguridad. Sin retención, cerca del 60% de todas las infracciones que vemos están directamente relacionadas con un empleado que realiza una batalla insegura que conduce a esa infracción. (es afirmar, hacer clic en un enlace, proporcionar credenciales, permitir la omisión de 2FA) Uno informe dijo que en los próximos dos primaveras las empresas gastarán $ 10 mil millones (sí con una B) en capacitación de concientización sobre seguridad por año a nivel mundial.
No estoy seguro de usted, pero si estoy gastando $ 10 en poco, quiero que sea efectivo, ¡y mucho menos $ 10 mil millones! Esta es otra campo de acción en la que utilizarse más no significa que estamos viendo los resultados que queremos.
El otro día comencé a pensar en este problema y se me ocurrió una pequeña cinta de razones por las que he pasado que la capacitación en concientización sobre seguridad es ineficaz e incluso una pérdida de tiempo y boleto.
- es demasiado vaporoso
- es inconveniente
- es tedioso y poco realista
Repasemos cada uno juntos.
Es demasiado vaporoso
¿Cuántos de ustedes, levantando la mano, han pasado una de estas frases en su capacitación de concientización sobre seguridad?
- No haga clic en enlaces malos
- No interactúes con correos electrónicos peligrosos
- No responda preguntas sospechosas por teléfono
- Reportar toda actividad sospechosa
Entiendes la esencia. Ok, puedes descender las manos, lo entiendo, las has pasado todas. Tal vez algunos de ustedes incluso estén preguntando, yah, ¿y qué?
Dígame en una oración, ¿cómo le digo a Nancy de Medios Humanos qué es un enlace malo? ¿Cómo puedo describirle a Julio de contabilidad cómo es un correo electrónico peligroso? ¿Cómo puedo decirle a Ruth del centro de llamadas cómo suena una convocatoria sospechosa? ¿Y cómo le digo a Ryan del nivel C cómo se ve “toda la actividad sospechosa”? No puedes, y ese es el problema cuando tu entrenamiento es vaporoso.
es inconveniente
Uno de mis empleados sino está en el hospital ahora mismo. Es un asunto suficiente serio, y ella necesitaba atención urgente. Posteriormente de la cirugía estaba en recuperación y me llamó para contarme esta historia. Su enfermera entró para cambiar una vía intravenosa y cuidarla. Levantó la computadora portátil para mirar sus gráficos y comenzó a preguntarle a mi empleada cómo se sentía. Cuando de repente en la pantalla apareció su “Entrenamiento de seguridad obligatorio”.
WOW – ¿Estás bromeando? Mientras ella estaba en la habitación cuidando a un paciente, no durante el tiempo de inactividad o el tiempo de oficina, surgió su capacitación obligatoria. ¿Qué hizo esta enfermera? Ella movió el temporizador hasta el final, hizo clic en “futuro” “futuro” “futuro” “remitir” y ¡BAM! “Gracias por completar su capacitación en seguridad”.
Este hospital no solo forzó el entrenamiento textualmente en el peor momento del mundo, sino que incluso permitió que la enfermera pasara por detención sin ningún esfuerzo. Este entrenamiento no solo fue inconveniente, sino que simplemente fue instituido con negligencia.
Tal vez esté pensando: “¡Bueno, nunca habrá un momento conveniente para implementar la capacitación!” Claro, nunca existe el momento valentísimo. Pero, ¿debería implementarse 30 minutos antiguamente de las asueto del fin de semana? ¿Qué tal durante la atención al paciente? ¿O cuando el cliente se acerca a la ventanilla de su caja? ¿O cuando tiene una data periferia de fabricación acordado antiguamente de las asueto? Un poco de pensamiento crítico puede ayudar a aliviar este problema.
es tedioso y poco realista
De acuerdo, concedido: la capacitación en concientización sobre seguridad no es una película de gran éxito ni un software de televisión exitoso. Y sí, nunca vas a complacer a todos. Pero he sido refrendador de capacitaciones de concientización sobre seguridad que casi se burlan de los ataques que está experimentando su familia. He pasado capacitaciones que usan escenarios que no se relacionan con el equipo o su negocio. He pasado entrenamiento que está tan desactualizado que la tecnología en el video ni siquiera existe hoy. Y sí, he pasado capacitación que ni siquiera usa los términos habitual de la industria porque a determinado en la empresa no le “gustan”.
Cuando mis hijos eran pequeños, leí este ejemplar de psicología sobre la crianza de los hijos, y llegó a un punto que me quedó aguafuerte hasta el día de hoy. Usar palabras en esencia graciosas con mis hijos para cobijas, caseína, comida, el baño, etc. puede parecer escultural cuando son pequeños. Entonces, un día van a la escuela y le preguntan a la maestra: “Bebí demasiado moomoo sentado en mi beebeeba y ahora tengo que hacer tinkleytink en la suciedad”. Llevemos esa misma disertación a nuestras empresas. Imagine que no le gusta la palabra “vishing”, que es la palabra que se encuentra en el diccionario de Oxford para phishing telefónico. Por lo tanto, desea llamarlo “Phishing de atacante telefónico”. Ahora, su familia va a Internet a averiguar información sobre esto, ¿qué van a encontrar? Poco.
Asentar su entrenamiento en ataques realistas y la terminología correcta mientras lo mantiene breve y agradable hará el cambio más efectivo.
De acuerdo, entonces estás leyendo esto y diciendo: “bueno, espléndido, esta es básicamente toda mi configuración, ¿y ahora qué?” Aquí hay algunas cosas que puede hacer para solucionar el problema o al menos comenzar a avanzar en la dirección correcta.
Hay esperanza
No puedes simplemente hacer lo contrario de todo lo inicial y encontrar el éxito. No puede decirle a Nancy, Julio o Ruth que comiencen a averiguar y escanear dominios. Hacerlo demasiado complicado, demasiado duro o demasiado complaciente no ayudará a que usted o su familia permanezcan seguros. Piensa en cómo puedes implementar estas ideas:
- Defina cómo se ve un correo electrónico astuto. ¿Cómo puede su familia determinar si un correo electrónico es lo suficientemente “phishing” como para denunciarlo?
- ¿Qué métodos de demostración le ha legado a su familia para que puedan determinar si una convocatoria telefónica es sospechosa?
- ¿Ha facilitado la notificación de todas las actividades sospechosas o requiere mucho tiempo y es arduo?
- ¿Puede incluir algunos de los ataques de phishing o vishing del mundo efectivo que su familia está recibiendo en su capacitación?
- Combine ataques de humano a humano en su entrenamiento para ayudar a su familia a conocer cómo se siente, pero en un entorno seguro.
- ¿Puede hacer recordatorios periódicos durante todo el año en lado de una ráfaga de mucho entrenamiento una vez al año?
- Mezclar los métodos de entrega de su formación. Poco de CBT, poco de tentempié y estudios, algunos discursos en vivo, etc.
- Piense en formas de compensar las acciones positivas y entrenar las negativas sin usar la vergüenza, la yerro o el miedo como motivadores.
Esta no es una cinta exhaustiva, pero espero que despierte un poco de conversación y discusión para ayudarlo a mejorar su conciencia de seguridad.
Ayuda para mejorar su conocimiento de la seguridad
Aquí en Ingeniero Social, LLC solo utilizamos humanos completamente capacitados y certificados (sí, no hay marcadores automáticos, plantillas tontas o guiones enlatados) para sufrir a extremo toda nuestra capacitación en el mundo efectivo. Trabajamos con cada cliente para asegurarnos de que estamos utilizando escenarios que llegarán a casa y afectarán a su familia de la modo correcta. Nos aseguramos de que el mensaje sea claro acerca de los informes. Y sobre todo, seguimos el divisa, “Déjalos sintiéndose mejor por haberte conocido”. Esto se implementa buscando formas de compensar a quienes toman la batalla correcta y capacitando a quienes no lo hacen.
Para ver el emoción de cómo funciona este tipo de maniquí, acércate y habla con nosotros. O descarga uno de nuestros estudios de caso que describe algunos de los sorprendentes éxitos que hemos tenido en estos programas con nuestros clientes.
Hasta la próxima, mantente a aparte.
teniente chris
Imagen:
Foto de Magnet.me en Unsplash