Mantener capacitados en temas de Ciberseguridad, a sus funcionarios es una actividad continua que toda empresa debe realizar, ello debido a que si no estamos preparados para afrontar el creciente sinnúmero de amenazas cibernéticas, tal vez podríamos quedar expuestos a una parálisis empresarial con un correspondiente fin de nuestros negocios.
Planteamos entonces este blog para entender los pasos que se deben surtir en el diseño de un programa de entrenamiento eficiente adecuado a su tipo de negocio, y dimensionado con base en sus necesidades reales.
El primer paso consiste en realizar una evaluación de los riesgos, indicando en ella a qué está expuesto su negocio, cómo se pueden materializar una afectación por dicha exposición y cuál es la probabilidad de ocurrencia de dicho riesgo; esta ponderación sintonizará las debilidades de nuestros procesos con los requerimientos, y como consecuencia obtendremos una lista de necesidades acordes con las amenazas reales detectadas, con el nivel de conocimiento que poseemos en el aspecto técnico, y con los objetivos trazados por el plan de capacitación
- Por ejemplo: si por temas presupuestales en su organización no hay mecanismos automatizados para controlar el flujo de datos a través de redes sociales, existiría una probabilidad alta que la organización sea infiltrada a través de mecanismos de ingeniería social y/o trampas en las que caen la mayoría de los usuarios; sin embargo, si llegase a existir dicho control de acceso a esas redes sociales sea a través de software restrictivo o buenas prácticas de uso, entonces su riesgo en ese aspecto se disminuiría, y más bien debería enfocarse en otro tipo de afectación como un hackeo, con la cual debería considerar elementos tecnológicos que detecten intentos de conexión entrante, que bloqueen automáticamente direcciones IP, o que monitoreen conexiones salientes.
Una vez realizado el proceso anterior, se entenderán las necesidades reales de la organización, y ello necesariamente conducirá a un diseño de un programa ajustado a las expectativas. En esta instancia tal vez se estaría tentado a trabajar en la didáctica del entrenamiento; sin embargo, se debe aguardar, ya que el enfoque aquí únicamente debe centrarse en los tópicos a plantear, por ejemplo: técnicas de almacenamiento seguro, detección temprana de intrusiones, monitoreo en tiempo real de servidores y estaciones de trabajo, configuración del sistema operativo, selección y uso del antimalware, entre otros.
Estando entonces agrupados todos los temas a tratar, ahora si será útil centrase en el tipo de material que se usará en la capacitación, indicando entre otros: los medios audiovisuales apropiados para la audiencia, qué nivel de perfección que se le dará a las presentaciones; el conocimiento requerido y la experiencia práctica que se debe alcanzar. En tal sentido se deberán crear contenidos educativos que aborden las amenazas y mejores prácticas relevantes, diversificando el formato del material, por ejemplo: videos, manuales, talleres o e-learning; de esta manera se manejarán diferentes modelos de aprendizaje que consoliden el objetivo educativo.
No olvide por supuesto, la segmentación del público, ello significa esfuerzo en adaptar el contenido a las necesidades específicas de distintos grupos dentro de la organización, por ejemplo, personal técnico, administrativo, o gerencial, lo que al final dará como resultado un producto educativo afinado y apropiado para su organización.
¿Y ahora qué hacer?
Nada más que implementar el programa, y esto se hace programando sesiones de capacitación que sean regulares y accesibles para todos los empleados, vinculando a ellas contenido como por ejemplo plataformas para aprendizaje, seminarios web dictados que son dictados por funcionarios internos que conocen del tema o por terceros especializados en seguridad y privacidad, talleres y otros métodos de formación.
Conforme a la ley de protección de datos personales, se debe Involucrar a dirección, asegurando su apoyo y su participación junto con la de los demás líderes de la organización. Se debe medir el progreso de los funcionarios a través de evaluaciones, encuestas o pruebas prácticas o retroalimentación para medir el conocimiento adquirido y las habilidades desarrolladas.
No olvide que periódicamente usted debe volver a ejecutar los procesos descritos desde el principio, de esa manera aparecerán nuevos riesgos, otros se verán disminuidos, pero siempre tendrá un contenido actualizado que permita crear conciencia entre sus empleados y estar preparado para el universo de amenazas que se alzan sobre su negocio
Por último, recuerde que la formación en ciberseguridad es un proceso continuo de nunca acabar; eso lo decimos porque muchas organizaciones piensan que tan solo una inducción será suficiente para preparar al personal, y eso está muy lejos de la realidad. Tal vez, sea por suerte o por el gran número de empresas que hay en Colombia que su organización no ha sido víctima de ataques informáticos, de robo de información, secuestro de bases datos, suplantación de funcionarios o fraude en sus cuentas bancarias o de proveedores; sin embargo, la verdad es que son muchos las casos de este tipo que a diario se presentan en nuestro país, y de los que usted no es ajeno; entonces tome medidas inmediatas.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
