a table with a laptop, notebooks, and iPad with a person holding a coffee

Formación en Ciberseguridad 101: Cómo crear hábitos entre los empleados que eviten los ciberataques

Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

Desde que comenzó la pandemia, los ciberataques han ido en aumento a medida que los piratas informáticos han explotado las vulnerabilidades de las prácticas de trabajo desde casa de los empleados. En lugar de atacar a grandes organizaciones o gobiernos, que suelen contar con grandes equipos de seguridad y software de protección, los hackers han cambiado sus tácticas para explotar las susceptibilidades en las prácticas de privacidad y seguridad de los empleados.1

Parte de la razón del aumento de los ciberataques es la negligencia de los empleados. La falta de atención de los empleados se ha convertido en un problema más importante desde que comenzó la pandemia, y más de la mitad de los ataques a organizaciones en 2021 serán consecuencia directa de la negligencia de los empleados.2

Abordar la ciberseguridad el primer día

El proceso de incorporación es un momento crucial para establecer expectativas y crear una base sólida de ciberseguridad. También ofrece oportunidades para reforzar el sentido de pertenencia de un empleado, lo que reduce en gran medida la probabilidad de un comportamiento displicente.

Prepárese contra la negligencia con la adquisición de conocimientos

Hay mucho en juego cuando se trata de formar adecuadamente a los empleados: por término medio, los ataques causados por negligencia de empleados o contratistas cuestan a las empresas 484.931 dólares.2 Aunque hay formas eficaces de cambiar el comportamiento una vez que un empleado ha terminado de incorporarse a la empresa (más información al respecto aquí), este artículo se centra en la importancia de crear resiliencia desde el principio.

Los resultados de las investigaciones sugieren que la solución más eficaz para prevenir los ciberataques es crear un programa de formación integral que aumente la base de conocimientos de los empleados sobre los métodos habituales de pirateo informático.3 La incorporación ofrece amplias oportunidades para mejorar la concienciación sobre los ciberriesgos, dado que todos los empleados nuevos deben completar los mismos protocolos de formación.

Formar hábitos desde el principio

Otro problema que surge al asignar la formación en ciberseguridad a empleados que ya están incorporados es que compite con sus hábitos y obligaciones laborales actuales.4 Del mismo modo, pedirles que la completen fuera del horario laboral puede hacer que algunos empleados no puedan asistir, o invitar a la falta de atención.5

Según un profesional de la formación empresarial, menos del 20% de los empleados cambian sus hábitos tras recibir formación.6

La ciencia del comportamiento puede abordar los hábitos y reflejos de ciberseguridad de los empleados, y puede encontrar más información al respecto aquí. Centrarse en la formación desde el principio evita muchos de estos problemas.

Promover la pertenencia para aumentar la iniciativa de seguridad

Un principio clave para poder proteger la información y actuar conforme a las mejores prácticas de ciberseguridad es el nivel de compromiso de los empleados con la organización. Las investigaciones sugieren que los empleados comprometidos toman decisiones que benefician a la organización y van más allá de las recomendaciones mínimas de ciberseguridad porque quieren influir positivamente en los resultados de la organización.7 La incorporación es un momento clave para mejorar el compromiso.8

Cuando una empresa fomenta el compromiso durante la incorporación, tratando a los nuevos empleados como socios de la organización y aumentando su confianza, experimentan una mayor asimilación y menos estrés, factores clave a la hora de pensar en el riesgo cibernético.8 En términos más generales, quienes se asimilan con éxito experimentan una mayor satisfacción laboral, mayores tasas de retención y un aumento de la productividad. Por el contrario, los que no se incorporan bien tienen mayores tasas de rotación, menor satisfacción del cliente y menor productividad.

References

  1. Okereafor, K., & Adelaiye, O. (2020). Randomized Cyber Attack Simulation Model: A Cybersecurity Mitigation Proposal for Post COVID-19 Digital Era. 05, 61-72.
  2. Informe mundial 2022 sobre el coste de las amenazas internas. (2022). Proofpoint. https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
  3. Greitzer, F. L., Strozer, J. R., Cohen, S., Moore, A. P., Mundie, D., & Cowley, J. (2014). Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits (Análisis de amenazas internas no intencionadas derivadas de exploits de ingeniería social). 2014 IEEE Security and Privacy Workshops, 236-250. https://doi.org/10.1109/SPW.2014.39
  4. Conteh, N., y Schmick, P. (2016). Ciberseguridad:riesgos, vulnerabilidades y contramedidas para prevenir ataques de ingeniería social. International Journal of Advanced Computer Research, 6, 31-38. https://doi.org/10.19101/IJACR.2016.623006
  5. Aldawood, H., & Skinner, G. (2019). Revisión de los programas de capacitación y concientización de ingeniería social de seguridad cibernética-Pitfalls and Ongoing Issues. Future Internet, 11(3), 73. https://doi.org/10.3390/fi11030073
  6. Yakowicz, W. (2015, 17 de febrero). 3 Errores que estás cometiendo cuando entrenas a tus empleados. Inc.Com. https://www.inc.com/will-yakowicz/3-mistakes-you-make-coaching-employees.html
  7. Blau, A., Alhadeff, A., Stern, M., Stinson, S., & Wright, J. (2017). Pensamiento profundo: A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
  8. Caldwell, C., y Peters, R. (2018). Incorporación de nuevos empleados: contratos psicológicos y perspectivas éticas. Journal of Management Development, 37(1), 27-39. https://doi.org/10.1108/JMD-10-2016-0202
  9. Mann, I. (2017). Hackear lo humano: técnicas de ingeniería social y contramedidas de seguridad. Routledge. https://doi.org/10.4324/9781351156882
  10. Informe de Verizon sobre investigaciones de violaciones de datos 2021. (2021). Verizon. verizon.com/dbir
  11. Iny, A., Khanna, S., Coden, M., & Struck, B. (2021). Refuerce su estrategia con escenarios cibernéticos. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  12. Hopper, E. (2019, 3 de julio). Qué es el modelo de probabilidad de elaboración en psicología? ThoughtCo. https://www.thoughtco.com/elaboration-likelihood-model-4686036
  13. Leana, C. R., & van Buren, H. J. (1999). Organizational Social Capital and Employment Practices. The Academy of Management Review, 24(3), 538-555. https://doi.org/10.2307/259141
  14. Gundu, T. (2019, 13 de mayo). Reconocer y reducir la brecha de saber y hacer en el cumplimiento de la ciberseguridad de los empleados.
  15. Kelman, H. C. (2006). Intereses, relaciones, identidades: Three Central Issues for Individuals and Groups in Negotiating Their Social Environment. Annual Review of Psychology, 57(1), 1-26. https://doi.org/10.1146/annurev.psych.57.102904.190156
  16. Wiederhold, B. (2014). El papel de la psicología en la mejora de la ciberseguridad. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  17. Cleaveland, A., Newman, J. C., & Weber, S. (2020, 24 de septiembre). El arte de comunicar el riesgo. Harvard Business Review. https://hbr.org/2020/09/the-art-of-communicating-risk
  18. Zhang, X. A., y Borden, J. (2020). ¿Cómo comunicar el riesgo cibernético? An examination of behavioral recommendations in cybersecurity crises. Journal of Risk Research, 23(10), 1336-1352. https://doi.org/10.1080/13669877.2019.1646315
  19. Nurse, J. (2013, 1 de enero). Comunicación eficaz de los riesgos de ciberseguridad. https://www.researchgate.net/publication/274663654_Effective_Communication_of_Cyber_Security_Risks

About the Authors

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us