Com evitar que el personal d’una empresa ignori els consells de ciberseguretat
Mix de missatges
Encara que els recordatoris periòdics són molt efectius, si es repeteix el mateix missatge, existeix el perill que el personal es desconnecti i acabi per desentendre’s del procés.
L’any passat es va veure una clara prova d’això: el coneixement de les frases clau va disminuir, a vegades de manera significativa. En l’Informe sobre l’estat del phishing d’enguany, poc més de la meitat (53%) dels usuaris podia definir correctament el phishing, enfront del 63% de l’any anterior. El reconeixement també va caure en termes comuns com malware (un 2% menys) i smishing (un 8% menys). El ransomware (s’obre en una nova pestanya) va ser l’únic terme que va augmentar la seva comprensió, encara que només el 36% va poder definir-lo correctament. Això posa de manifest la necessitat de mantenir fresca la formació en matèria de seguretat.
Contar una història
La majoria dels usuaris no són experts en ciberseguretat, ni solen desitjar ser-ho. Per tant, és poc probable que es relacionin amb paraules de moda, argot i estadístiques seques. Hi ha que presentar el procés de ciberseguretat com una història. Hi ha que anar pas a pas per a mostrar als usuaris com un simple comportament, com no tancar correctament un programa, utilitzar un dispositiu no autoritzat o fer clic en un enllaç maliciós, obre la porta als ciberdelincuentss.
Hi ha molts exemples del món real que poden ajudar en aquest sentit. Als darrers anys, es poden triar entre els incidents més destacats de LinkedIn, Equifax, Cognizant, Twitter i molts més. També es pot anar més enllà, adaptant aquestes històries als rols laborals, departaments i mals hàbits per a traçar un camí clar entre les accions d’avui i les conseqüències de demà. Com més personalitzat sigui el missatge, més es relacionaran els usuaris i més ràpid canviarà el seu comportament.
Hi ha que fer-ho divertit… de debò
Pot ser que la formació en ciberseguretat no sembli la idea de diversió de la majoria de la gent, però hi ha moltes maneres de mantenir-la positiva i fins i tot divertida. Es por impartir la formació en models curts i nítids, i no tenir por d’utilitzar enfocaments diferents, com l’animació o l’humor, si encaixen bé en la cultura d’una empresa.
Hi ha que fer que la formació en seguretat sigui competitiva i convertir-la en un joc també pot ajudar al procés. S’ha demostrat que la ludificació dels mòduls de formació augmenta el compromís i la motivació, a més de millorar les puntuacions dels exàmens.
Per a aconseguir el màxim impacte, la formació i l’educació no han de semblar una tasca. Com més agradable sigui l’experiència, menys es resistirà el personal a participar, convertint la indiferència per la seguretat en acció de seguretat.
Fer de la ciberseguretat una cosa quotidiana
És possible que hi hagi hagut un temps en el qual el dia a dia de la ciberseguretat era manejat pels equips TIC i els administradors. Però aquest temps fa temps que va passar. Com continuem enviant, rebent i processant masses de dades cada dia, tant en el nostre treball com en la nostra vida personal, la ciberseguretat envolta a tots. Les millors pràctiques de ciberseguretat també haurien d’estar al voltant de tothom. I amb una formació en seguretat adaptada, atractiva i contínua, aviat ho estarà.