Una nueva mirada para el riesgo en la formación de conciencia

La capacitación en concientización sobre seguridad cibernética siempre ha sido, en un nivel, sobre el riesgo. Ya sea que suscriba la noción de que los empleados son su primera línea de defensa (no lo son) o que los empleados son su última línea de defensa (ahí lo tiene), realmente no se puede argumentar que el comportamiento de los empleados no juega ningún papel en el riesgo que enfrenta una organización. Esta afirmación es cierta ya sea que estemos hablando de seguridad cibernética o seguridad en el sitio de construcción, pero el último año ha visto un cambio dramático en la forma en que las empresas hablan, piensan y actúan sobre la conexión entre el riesgo y la capacitación de los empleados.

Uno de los impulsores más fuertes de este cambio ha sido el papel de los proveedores de seguros cibernéticos en la industria de la seguridad cibernética. El seguro cibernético ahora se ve como un producto tan necesario como el seguro de propiedad y accidentes para la mayoría de las empresas. Y dado que las compañías de seguros cibernéticos cobran por su producto, un producto basado en el riesgo, el costo de ese producto y, por lo tanto, el costo del riesgoha llegado a la cima de la lista de temas de conversación de negocios.

Una nueva meta

Hoy en día, el objetivo de la capacitación en concientización sobre seguridad cibernética se trata menos de crear una fuerza laboral educada y más de reducir el riesgo de una fuerza laboral sin educación. Esos pueden parecer dos caras de la misma moneda, pero hay una diferencia fundamental: cómo se demuestra el éxito. Si el objetivo es producir una fuerza laboral educada, entonces la evaluación del éxito de la capacitación puede realizarse a través de pruebas que hagan preguntas sobre la lección que se acaba de enseñar. La clave es averiguar si el estudiante obtuvo información de la lección.

Si, por otro lado, el objetivo es reducir el riesgo de una fuerza laboral sin educación, entonces la evaluación del éxito de la capacitación debe pasar por una demostración del cambio de comportamiento. El problema no es si el estudiante adquirió información, sino si el estudiante utiliza esa información para comportarse de una manera que sea menos riesgosa para la organización. En pocas palabras, no es lo que los empleados saber pero lo que ellos hacer Eso importa.

El nuevo/viejo entrenamiento

La capacitación en concientización sobre seguridad cibernética siempre ha sido un servicio educativo de dos partes. La primera parte es la transferencia de conocimiento, mientras que la segunda parte es el cambio de comportamiento. Los nuevos objetivos y las nuevas conversaciones no cambian esa composición fundamental, pero sí cambian el énfasis del proceso y cómo se piensa en toda la organización.

Con el énfasis cambiando a la reducción del riesgo, la atención se centra en el cambio de comportamiento de los empleados. Los clientes, entonces, obligarán a los proveedores de capacitación a discutir cómo cambian el comportamiento (y medir ese cambio) en lugar de cómo involucran a los empleados o mantienen el interés de los empleados durante la duración de un curso de capacitación. Francamente, a muchas empresas no les importará cómo funciona un producto de capacitación siempre que produzca el cambio de riesgo deseado y medible.

Algunos proveedores de capacitación están comenzando a reconocer el cambio y hay más cambios en camino. Durante la evolución de la capacitación, es probable que la industria vea mensajes confusos, nuevas formas de describir el producto y nuevas formas de medir el éxito de la capacitación. Los clientes que aprovechen al máximo la realidad cambiante serán aquellos que recuerden que las dos piezas principales de la capacitación de concientización sobre seguridad cibernética no han cambiado: el proveedores de formación quienes han producido los mejores resultados en el pasado es probable que tengan una sólida ventaja inicial a medida que avanzamos hacia el futuro.