A nadie se le escapa la importancia de la formación en ciberseguridad. Siendo el error humano la vulnerabilidad más importante dentro de una empresa, concienciar e instruir en este entorno se debe ver como una obligación.
Son muchos partners, los que viendo el reto que supone la formación en ciberseguridad, ofrecen ya cursos o asesoramiento especializado en este sentido. Sin embargo, no todo vale a la hora de ofrecer estos servicios de aprendizaje y lo más importante, terminar concienciando a los empleados.
Desde Proofpoint recuerdan que un programa realmente eficaz para reducir riesgos necesita adaptarse al comportamiento de los usuarios y a las amenazas reales, además de dar visibilidad sobre los progresos logrados.
Y es que conocer las buenas prácticas en materia de ciberseguridad no garantiza que no se caiga en errores humanos. Tanto es así que en el 49% de los CISOs españoles señala a las personas como su principal riesgo, pese a que el 55% considera que los empleados saben cómo deben actuar. Además, un estudio revela que el 46% de las organizaciones carece de herramientas para gestionar de manera adecuada el riesgo interno, lo que impide cerrar la brecha entre saber qué hacer y hacerlo realmente.
Como partners enfocarnos en una formación genérica para todos los empleados aporta poco a las compañías. Es cierto que es mejor que nada, pero cuando existe segmentación, suele ser un proceso manual que consume tiempo y energía a unos equipos ya sobrecargados; y, sin automatización, es casi imposible ofrecer una experiencia eficaz a quienes están más expuestos al riesgo.
Aquí es donde el aprendizaje adaptativo cobra protagonismo frente a una formación tradicional insuficiente. Este enfoque proporciona una educación específica y basada en el riesgo, ajustada al comportamiento, el rol y el perfil de cada empleado.
Un programa realmente eficaz necesita adaptarse al comportamiento de los usuarios y a las amenazas reales
Agrupar a los usuarios por su tasa de clics en simulaciones, por sus errores o simplemente por haber finalizado un curso, como hacen muchas plataformas de concienciación, no basta para comprender el riesgo real. Esto obliga a los administradores a recopilar más información manualmente para que los programas resulten útiles. A diferencia de esa segmentación básica, los grupos adaptativos incorporan señales de riesgo en tiempo real. Si un usuario gestiona incorrectamente datos sensibles, por ejemplo, pasa automáticamente a un grupo que recibe una formación diseñada para corregir ese comportamiento. De esta forma, los equipos de seguridad invierten menos tiempo en tareas operativas y más en apoyar a los usuarios, mientras los grupos se actualizan dinámicamente a medida que cambian los riesgos.
Los programas tradicionales de concienciación suelen estancarse por depender en exceso de procesos manuales. Los equipos deben decidir constantemente a quién dirigir, qué formación asignar y cuándo hacerlo.
No obstante, las rutas adaptativas automatizan la creación y entrega de experiencias de aprendizaje basadas en amenazas del mundo real. Si surge un grupo de usuarios que han activado alertas de prevención de pérdida de datos, se les inscribirá automáticamente en actividades diseñadas para abordar los riesgos asociados a sus comportamientos. La formación se ajusta en función de las acciones del usuario, su interacción con amenazas o los requisitos de cumplimiento. A medida que los riesgos cambian, los grupos se actualizan automáticamente, facilitando medir el impacto y refinar los programas.
Gracias a ello, los empleados no pierden tiempo preparándose para amenazas improbables o ya controladas. El enfoque se centra en quienes necesitan mayor apoyo y lo reciben exactamente cuando lo requieren. Más adelante, el refuerzo mediante repetición y ejemplos contextuales ayuda a que las prácticas seguras perduren.