Cambiando la educación de los empleados
Los profesionales de cumplimiento nunca descansan, siempre se mantienen al día con los últimos requisitos normativos y tratan de mantener a toda la organización capacitada y en cumplimiento. Pero no se trata sólo de las últimas leyes. El cumplimiento y la seguridad están directamente vinculados, especialmente para cualquier industria que maneje datos confidenciales de clientes. Además de la cosecha estándar de regulaciones a las que están acostumbradas las organizaciones, surgen nuevas regulaciones todo el tiempo, como la recientemente promulgada CCPA en California.
Para evitar multas no deseadas y el posterior daño a la marca, las organizaciones deben asegurarse de que la capacitación en cumplimiento sea eficaz y eficiente. Además de adherirse a las reglas y regulaciones, la capacitación efectiva en cumplimiento conduce a una organización segura con un gobierno adecuado, dos objetivos que la mayoría de las organizaciones se esfuerzan por lograr. Uno de los pasos que las organizaciones pueden tomar para garantizar el máximo cumplimiento es incluir la capacitación en sus operaciones regulares y crear una cultura de capacitación continua.
Empleados: los eslabones más débiles de seguridad y cumplimiento
De acuerdo a Laboratorios Kaspersky, el 52 % de las empresas admite que los empleados son su mayor debilidad en la seguridad de TI, y que las acciones descuidadas de los empleados ponen en riesgo la estrategia de seguridad de TI de la empresa. Los problemas abarcan toda la gama, pero los errores humanos más comunes incluyen hacer clic en enlaces, abrir archivos adjuntos desconocidos e ingresar información personal o confidencial en lo que parece ser una cuenta amiga o familiar. Estos errores son impulsados por la ingeniería social, la técnica mediante la cual los piratas informáticos se aprovechan del comportamiento humano propenso a errores.
En la mayoría de las situaciones, estos errores de seguridad no son intencionales sino debido a la falta de educación y/o diligencia. Por supuesto, siempre habrá actores maliciosos, pero sus acciones suceden independientemente de una sólida capacitación en seguridad y cumplimiento y deben tratarse como casos atípicos.
La capacitación en ciberhigiene y cumplimiento es clave
En última instancia, la culpa no es solo de los empleados que hacen clic en el enlace equivocado, sino también de los empleadores que no los capacitaron adecuadamente. La mayoría de las empresas no invierten suficiente dinero en capacitación cuando realizan inversiones en tecnología. Cuando se trata de estas inversiones, la mayoría de las empresas dedican la mayor parte del presupuesto de TI a la tecnología real y muy poco a la capacitación y educación necesarias para esa tecnología, a pesar de que el error humano representa muchos de los incidentes cibernéticos que ocurren.
Las organizaciones continúan aumentando sus gastos para mejorar la seguridad de TI de su negocio, implementando herramientas como firewalls avanzados y MFA, pero las herramientas por sí solas no son suficientes para garantizar una seguridad de TI óptima. La implementación de una capacitación de seguridad simple pero efectiva que enfatice la importancia de las acciones de los empleados creará conciencia y ayudará a garantizar que su organización pueda disfrutar de la flexibilidad de un lugar de trabajo digital moderno mientras se mantiene segura.
Las organizaciones deben dedicar más tiempo y esfuerzo a la capacitación en higiene de la ciberseguridad. La higiene cibernética es un término colectivo para las prácticas y los pasos que toman los usuarios de computadoras y otros dispositivos para mantener la salud del sistema y mejorar la seguridad en línea. Una buena higiene de ciberseguridad no solo ayuda a prevenir infracciones, sino que también aborda otros problemas relacionados con el cumplimiento, como evitar la pérdida de datos o el extravío de datos.
Las empresas deben tener una política de higiene de ciberseguridad que incluya un componente específico de capacitación y educación, las organizaciones no deben asumir que los empleados saben estas cosas. La seguridad ahora es parte del trabajo de todos, y la capacitación en seguridad debe incorporarse.
Crear una cultura de formación continua
Las amenazas a la seguridad evolucionan y cambian continuamente, pero aún se deben cumplir las normas de cumplimiento. Como tal, la formación y la educación también deben evolucionar. La capacitación no es una necesidad única y puntual; a medida que los panoramas de ciberseguridad y cumplimiento continúan evolucionando, también debe hacerlo la educación de los empleados. Debe integrarse en las operaciones diarias o semanales. La mejor manera de lograr esto es haciendo que la capacitación sea fácilmente accesible para los empleados, en cualquier momento y desde cualquier lugar.
Un Sistema de Gestión de Aprendizaje (LMS) es útil aquí. Con un LMS, también puede compartir fácilmente actualizaciones importantes (reglamentos, actualizaciones de software, etc.) e información con todos los órganos de la organización y ponerla a disposición de los profesionales en todo momento. También puede brindar capacitación específica para el puesto de trabajo, la ubicación o la especialización de un empleado. Por ejemplo, en un entorno de atención médica, podría ofrecer capacitación a todos los empleados sobre los requisitos de HIPAA y la higiene cibernética. Pero solo un subconjunto de esos empleados necesitará capacitación sobre el último dispositivo médico de IoT.
El uso de un LMS facilitará su proceso administrativo y le dará más tiempo para transmitir el mensaje a sus empleados para que su programa se mantenga y, con el tiempo, garantice una cultura de cumplimiento y ética dentro de su organización.
Toma el control con entrenamiento
La necesidad de cumplir con las regulaciones no perderá relevancia y seguirá siendo crucial para todas las organizaciones. Lo mismo ocurre con la seguridad cibernética, particularmente a medida que los actores maliciosos desarrollan nuevos ataques con temas pandémicos y explotan las vulnerabilidades de seguridad del trabajo desde el hogar. Sin embargo, al seguir las recomendaciones anteriores, puede tomar el control y llevar a su organización hacia procesos de cumplimiento y seguridad que sean actuales, relevantes y de fácil acceso, así como también reducir los gastos típicamente asociados con la capacitación.