Primero el personal


¿En tu programa de concientización, se pone primero al personal?


Es bien sabido que las personas son el elemento más importante en la ciberseguridad, sin embargo, muchos programas de capacitación sobre ciberseguridad no logran los resultados esperados, ¿Por qué los empleados caen en las mismas trampas una y otra vez a pesar de la capacitación que las empresas realizan para ellos?

El error humano es una causa común y recurrente de las violaciones que existen en el área de ciberseguridad. Para los servicios en la nube, donde la seguridad es un requisito primordial,  las consecuencias podrían ser muy graves. Los servicios en la nube se crean con configuraciones de seguridad que vienen por default, sin embargo, durante el último año, una serie de violaciones de datos relacionados con la nube llegaron a los titulares, principalmente como resultado de que los usuarios hicieron cambios sin suficiente conocimiento o preocupación sobre las consecuencias.

IBM X-Force señalo que "el error humano, como los servidores en la nube mal configurados, las bases de datos en la nube no seguras y las copias de seguridad rsync incorrectamente protegidas, fueron responsables del 43% de los incidentes de seguridad, provocados por una configuración errónea y divulgados públicamente, lo que resultó en un aumento de más del 20% desde el año pasado".

Reducir o eliminar los errores humanos, ya sea accidentales o inducidos por ataques, es tan esencial como tener controles técnicos sólidos. Las personas siguen siendo el eslabón más débil de la cadena de la ciberseguridad, más que las vulnerabilidades en las plataformas tecnológicas. Mientras tanto, los atacantes se vuelven cada vez más sofisticados y alcanzan volúmenes y velocidad nunca antes vistos, con ataques dirigidos a individuos y grupos específicos de usuarios finales.

¿Por qué las empresas están invirtiendo en capacitación?

Hay una nueva demanda de capacitación de ciberseguridad, cambiando de una educación pasiva a una estrategia de seguridad centrada en las personas para abordar diferentes grupos de usuarios con distintos objetivos y estilos de enseñanza. Este es un segmento de rápido crecimiento del mercado que se estima que alcanzará los 10 mil millones para 2027.

Brindar un programa exitoso de capacitación va más allá del equipo de ciberseguridad, requiere un esfuerzo multidisciplinario en toda la organización, abordando las vulnerabilidades relacionadas con las personas y mitigando los riesgos de seguridad en las personas con los métodos, herramientas y métricas adecuados.

Para abordar los riesgos, debemos comenzar dividiendo a sus usuarios en tres categorías:

  1. Administración. Los gerentes deben poder dirigir a sus empleados para enfrentar las amenazas cotidianas y prever los riesgos de los que deben ser mas conscientes. 
  2. Usuarios técnicos. Pueden tener el mayor impacto porque son responsables de brindar seguridad en la arquitectura. Deben aprender continuamente los aspectos técnicos de la ciberseguridad y desarrollar soluciones adecuadas para las nuevas amenazas.
  3. Usuarios finales. Deben comprender las implicaciones de la ciberseguridad en su entorno de trabajo y distinguir entre actividad normal y anormal.
Cuando se integran estos tres puntos, los líderes de ciberseguridad pueden gestionar mejor el cumplimiento y los riesgos de organización y permitir operaciones seguras.


Su programa de concientización sobre ciberseguridad debe abordar los riesgos centrados en las personas.


La implementación de un programa exitoso de capacitación puede ser un viaje de varios años, ya que requiere cambiar la cultura y comportamiento de la fuerza laboral y una consideración cuidadosa de las diferentes necesidades y factores desencadenantes de los grupos de usuarios. Un programa exitoso se basa en la participación continua y activa de todos los empleados, con la alta dirección liderando con el ejemplo.