close
close Close

Suscríbase a nuestro Boletín

  
  
  

Blog Babel-Team
menu
folder Archivado en Ciberseguridad, CyberSecurity
4 Tácticas Clave para Fortalecer la Ciberseguridad en su Organización
By Babel-Team access_time 7 min lectura

En el panorama actual de la ciberseguridad, el factor humano se ha consolidado como el eslabón más crítico.

En 2023, un alarmante 74% de las brechas de datos fueron resultado de comportamientos inseguros o inadvertidos de los empleados, según el informe de Gartner “4 Tactics for Developing Security-Minded Employees”.

Esto deja claro que los enfoques tradicionales, centrados en programas de concienciación basados en currículos, ya no son suficientes. La concienciación por sí sola no es el problema principal; lo es el comportamiento humano, como se destaca en el mismo informe.

Los líderes de ciberseguridad, como los CISOs, deben ir más allá de simplemente «concientizar», según el informe. Se requiere un enfoque centrado en el usuario (UX), fundamentado en las ciencias del comportamiento y disciplinas relacionadas, para impulsar una toma de decisiones segura y consciente del riesgo.

La meta es evolucionar desde el cumplimiento básico de normativas hacia un cambio cultural profundo que maximice los comportamientos seguros de los empleados, un objetivo crucial para la gestión del riesgo humano.

Para lograr esto, Gartner ha identificado cuatro tácticas esenciales que todo líder en ciberseguridad debería considerar, según el informe citado.

1.Redefina sus programas de seguridad:

En lugar de solo buscar el cumplimiento básico, sus programas deben optimizar los comportamientos humanos y trabajar hacia un cambio cultural organizacional. Esto implica ir más allá de módulos de capacitación genéricos para enseñar comportamientos deseados y, finalmente, transformar la cultura de seguridad de la empresa.

Soluciones Prácticas:

  • Implemente lecciones de ciberseguridad atractivas, gamificadas e interactivas que se centren en el comportamiento.
  • Ofrezca contenido multilingüe para adaptarse a su fuerza laboral. Integre rutas de aprendizaje personalizadas cuya configuración se determine por factores como objetivos, duración, preferencias de idioma, lecciones seleccionadas y fechas de inicio dinámicas.
  • La personalización del ciclo de aprendizaje también puede basarse en una encuesta inicial de evaluación de hábitos laborales del usuario y su nivel de riesgo.
  • Fomente la evaluación continua mediante evaluaciones de concienciación para reforzar el conocimiento, evitando la repetición innecesaria de contenido ya conocido.
  • También, es crucial contar con la posibilidad de integrar contenido propio en formato SCORM en la plataforma de aprendizaje y distribuir lecciones especializadas por roles, como para profesionales de TI, finanzas o gerentes, con materiales imprimibles para trabajadores de producción.

2.Utilice marcos de comportamiento:

Un marco como el PIPE de Gartner (Prácticas, Influencias, Plataformas y Habilitadores) puede guiar la ejecución de un programa de cultura y comportamiento de seguridad. El éxito de esta táctica depende del apoyo ejecutivo, una visión clara, la experiencia adecuada y la evaluación constante de los resultados. Se trata de construir un programa que fomente prácticas seguras y minimice riesgos evitables.

3.Integre la experiencia de usuario (UX) en el diseño de controles de ciberseguridad:

La «fricción inducida por la ciberseguridad» —el esfuerzo innecesario que los empleados realizan debido a las medidas de seguridad—reduce la productividad y fomenta prácticas inseguras. Es fundamental identificar las fuentes de fricción, eliminar controles que no aportan valor y adoptar una mentalidad UX al diseñar estos controles para una experiencia más positiva.

Soluciones Prácticas:

  • Asegure que sus plataformas de aprendizaje y simulación sean multilingües y permitan la personalización de la marca para alinearse con su identidad corporativa, incluyendo logotipos y colores.
  • Facilite la gestión de usuarios con integración de inicio de sesión único (SSO) y herramientas de aprovisionamiento automatizado.
  • Un hub de intervenciones centralizado puede coordinar acciones efectivas para mitigar riesgos de ciberseguridad.

4.Diseñe experiencias de aprendizaje relevantes para cada rol:

La capacitación debe ser adaptada a escenarios del mundo real que los empleados probablemente experimenten en sus roles. Esto mejora el compromiso y el valor percibido del entrenamiento. Incluya preguntas que reflejen situaciones laborales específicas, ofrezca más de una «respuesta correcta» y permita un diseño de «elige tu propio camino» para que los usuarios comprendan las consecuencias de sus decisiones.

Soluciones Prácticas:

  • Implemente simulaciones de phishing básicas y dirigidas, eligiendo entre correos simulados pre-diseñados para entrenar a los usuarios.
  • También se pueden usar plantillas personalizadas y distribución específica para roles como finanzas, TI, RRHH, desarrolladores y gerentes.
  • Utilice simulaciones basadas en el comportamiento que ajusten automáticamente la dificultad y frecuencia de los correos según el desempeño del usuario.
  • Ofrezca herramientas para crear plantillas de phishing personalizadas.
  • Incluya un botón de reporte de phishing integrado en el correo electrónico y páginas de aprendizaje interactivas que ofrezcan micro-lecciones después de que un usuario haga clic en una simulación de phishing, para reforzar la concienciación.
  • Las «Reporting Nudges» son herramientas de aprendizaje que entrenan a los usuarios a evaluar componentes del correo electrónico (direcciones, enlaces, archivos adjuntos y contenido) para identificar amenazas de phishing y mejorar las decisiones de reporte.

Capacidades Avanzadas para una Gestión Integral del Riesgo Humano:

Para implementar estas tácticas de manera efectiva, considere soluciones que ofrezcan:

  • Análisis y Reportes Detallados: Paneles de control para monitorear métricas clave de comportamiento en phishing y e-learning.
  • Capacidades de benchmarking para comparar el desempeño de su organización con líderes de la industria.
  • Reportes alineados con estándares como ISO 27001 y análisis expertos con la capacidad de mostrar datos basados en características específicas del usuario como ubicación, función y jerarquía. La integración con herramientas de inteligencia de negocios es clave para una análisis profundo, facilitando la exportación de datos desde la plataforma.
  • Un Índice de Seguridad Humana puede ayudar a rastrear y comparar tendencias en el comportamiento humano, tanto positivas como negativas, dentro de su panorama tecnológico y de riesgo.
  • Intervenciones Inteligentes y Automatizadas: Herramientas asistidas por IA para difundir alertas críticas en toda la organización, proporcionar soporte de nivel cero a los usuarios para preguntas comunes de seguridad aprovechando la base de conocimientos de su organización e identificar temas de seguridad de tendencia a partir de interacciones recientes para mejorar el enfoque de la seguridad.
  • La escalada automatizada a gerentes en caso de comportamientos de alto riesgo y acciones centralizadas para mitigar riesgos de ciberseguridad son fundamentales.
  • Contenido de Cumplimiento Específico: Acceso a paquetes de lecciones dedicados a la protección de datos, seguridad ocupacional y cumplimiento normativo regional (como para la UE, Alemania/DACH o Reino Unido). También, contenido especializado para sectores como finanzas (por ejemplo, Anti Lavado de Dinero – AML)
  • Soporte Estratégico: Diferentes niveles de soporte técnico e implementación, desde una implementación rápida de mejores prácticas hasta una implementación de servicio completo.
  • Acceso a gestores de éxito del cliente que brindan apoyo personalizado y mejores prácticas para maximizar el valor de su inversión, asegurando satisfacción y éxito a largo plazo.

Al adoptar un enfoque holístico y centrado en el ser humano, las organizaciones pueden transformar su postura de ciberseguridad, pasando de una simple casilla de verificación a una cultura de vigilancia activa que reduce significativamente el riesgo de incidentes.

Como señala el informe de Gartner para 2030, todos los marcos de control de ciberseguridad ampliamente adoptados se centrarán en el cambio de comportamiento medible en lugar de la capacitación basada en el cumplimiento como la medida crítica de eficacia para la gestión del riesgo humano.

¿Cómo está su organización abordando el riesgo humano en la ciberseguridad?

¡Comparta sus pensamientos!

 

 

Este artículo fue creado por el equipo de Babel-Team con base en el documento de Gartner Research 4 Tactics for Developing Security- Minded Employees y en la documentación oficial de SoSafe.

Ciberseguridad ResilienciaCibernética Sosafe

Previous Next

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cancelar Publicar el comentario

Siguiente artículo
Reglamentación y Ciberseguridad 2025: abordando el Riesgo Humano y el Cumplimiento Continuo