Los errores humanos están presentes en la mayoría de los ataques cibernéticos, dice el Dr. John Blythe; y los programas estándar de capacitación prescriptiva no están demostrando ser muy eficaces para mejorar esta situación. En este artículo, explica por qué la gamificación puede mejorar el aprendizaje de los empleados, los resultados y la resiliencia cibernética general.
Casi el 82 por ciento de las infracciones del año pasado fueron el resultado de errores humanos, según la última investigación de Verizon. Ya sea que un empleado haga clic involuntariamente en un enlace malicioso, mantenga contraseñas débiles, exponga públicamente sus direcciones IP o no actualice el software a tiempo, los errores humanos están presentes en la mayoría de los ataques cibernéticos.
Por lo tanto, no importa qué herramientas y tecnología adopten las empresas, por sí solas no serán suficientes para garantizar una verdadera resiliencia cibernética, debido al importante papel que desempeñan las personas en la seguridad cibernética. Es por eso que las empresas de hoy tienen que dar igual, si no más, enfoque en el desarrollo de las capacidades cibernéticas y la confianza de toda su fuerza laboral, tanto a nivel individual como de equipo.
Una forma efectiva de lograr esto es reemplazando sus programas de capacitación prescriptiva heredados del pasado con aprendizaje gamificado, un enfoque atractivo, interactivo y basado en la simulación para la mejora de las habilidades de seguridad cibernética.
Los entrenamientos de concientización y sus trampas
El problema con la capacitación tradicional en seguridad es que tales programas se centran en crear conciencia más que en capacidades reales. La mayoría de las sesiones de capacitación en conciencia de seguridad (SAT) incluyen horas de presentaciones secas y cursos de aprendizaje electrónico con clics, lo que no causa más que fatiga y frustración para los empleados. En la mayoría de los casos, los empleados simplemente se sentarán a través de estas sesiones por el bien del cumplimiento. Tales SAT heredados no pueden seguir el ritmo de las amenazas cibernéticas en rápida evolución de hoy y, por lo tanto, tienen poco o ningún impacto en la seguridad de toda la fuerza laboral.
Conocer la información y actuar sobre ella son dos funciones muy distintas. Por ejemplo, casi todas las organizaciones y empleados de hoy conocen la amenaza de los ataques de phishing, pero sigue siendo una de las tácticas de ataque más exitosas. Esto se debe a que conocer las amenazas de phishing y ser capaz de detectar y reportar tales ataques son muy diferentes.
Este enfoque heredado ha hecho que la capacitación en seguridad cibernética sea una experiencia negativa entre los empleados, donde se ven obligados a participar como una audiencia cautiva. El resultado final es una fuerza laboral más desconectada e insegura, que espera ser separada por los actores de amenazas. Si las empresas desean lograr la resiliencia cibernética, sus programas de aprendizaje deben ser atractivos, interactivos y centrados en el desarrollo de capacidades, en lugar de solo proporcionar información.
Aquí es donde la gamificación puede agregar un valor significativo.
Comprender la psicología de la gamificación
La gamificación es la aplicación de elementos, mecánicas y diseño similares a los juegos a contextos o actividades no lúdicas para aumentar el compromiso, la motivación y la participación del usuario. El objetivo de la gamificación es hacer que las actividades no relacionadas con el juego, como la capacitación en seguridad cibernética, sean más agradables, motivadoras y gratificantes al aprovechar el deseo humano de competencia, logro y reconocimiento. Esto alienta a las personas a transferir su experiencia de aprendizaje en el juego al lugar de trabajo.
El beneficio psicológico central de la gamificación es el desarrollo de desafíos motivacionales. La motivación, de hecho, juega un papel muy importante en la creación de riesgos de seguridad para una organización. Una fuerza laboral desmotivada y poco comprometida significa que los desarrolladores pueden no estar lo suficientemente atentos para mitigar las vulnerabilidades, o los empleados pueden no informar un correo electrónico de phishing a tiempo. Esta falta de motivación crea una perspectiva más amplia de la fuerza laboral de que la seguridad es responsabilidad de otra persona.
Como los “Security Awareness Training” (SAT) tradicionales son prescriptivos, se centran en la entrega de información en aras de la conciencia, lo que rara vez se traduce en un cambio de comportamiento real. Por otro lado, la gamificación es un motor motivacional que crea sentimientos de empoderamiento, haciendo más atractiva la seguridad y promoviendo el trabajo cooperativo y el esfuerzo entre las personas.
Los beneficios de la gamificación están bien documentados en la investigación científica. Los estudios han encontrado que la gamificación tiene un efecto significativo en los resultados del aprendizaje digital. Esto se debe a que la gamificación involucra a las personas en escenarios de resolución de problemas. Ya sea que se trate de una simulación de prueba de pluma, comunicación activa o informes durante escenarios de crisis, las personas siempre están comprometidas a poner un esfuerzo práctico en la sesión de capacitación, lo que los hace más seguros y motivados cuando se enfrentan a incidentes de seguridad de la vida real.
Cómo la gamificación puede construir la resiliencia cibernética del personal
Cuando los empleados son incluidos en sesiones de aprendizaje gamificado, desarrollan los tres estados psicológicos de motivación: competencia, autonomía y conexión.
Al participar continuamente en ejercicios competitivos de simulación, los empleados comienzan a creer que pueden realizar una tarea porque la han dominado o al menos pueden realizar las acciones para completarla. Por ejemplo, la gamificación coloca a individuos y equipos en un entorno de aprendizaje basado en desafíos. Aquí practican diferentes tareas y acciones en ataques simulados o ejercicios de caja negra según sus roles. Con el tiempo, esto desarrolla el pensamiento lateral y la resolución creativa de problemas, lo que significa que cuando se enfrentan a un escenario de ataque similar en la vida real, saben cómo actuar y responder de manera efectiva.
También impulsa la conexión entre empleados y equipos. Es importante entender que la seguridad cibernética es una responsabilidad de toda la organización, no solo una obligación de los equipos de TI y seguridad. Cada incidente de seguridad requiere una respuesta colectiva, donde cada equipo necesita colaborar en diferentes aspectos. La gamificación reúne a diferentes equipos y departamentos en ejercicios cooperativos.
La implementación de soluciones de capacitación gamificadas permite a los colegas colaborar activamente a través de simulaciones de equipos cibernéticos o simulaciones de crisis multijugador. Al cooperar para completar tareas, los empleados desarrollan relaciones, lo que se ayuda mutuamente a dominar los desafíos colectivamente. Esto aumenta la competencia tanto para los individuos como para los equipos, mejorando así las capacidades cibernéticas humanas en toda la fuerza laboral.
Por último, está la autonomía. A medida que los empleados realizan ejercicios de desafío técnico y mejoran sus habilidades en áreas de seguridad específicas, desarrollan un sentido positivo de autonomía. Por lo tanto, cuando estalla un incidente de seguridad, los empleados tienen más confianza en la toma de decisiones independientes, lo que garantiza respuestas rápidas y eficientes.
Cómo empezar con la gamificación
Al pasar de la capacitación tradicional de sensibilización a la gamificación, es importante elegir la solución correcta que tenga todos los elementos necesarios en una sola plataforma. Cada ejercicio debe ser divertido e interactivo, al tiempo que respalda la participación colectiva. Las simulaciones deben basarse en respuestas del mundo real a situaciones del mundo real. Lo más importante es que los entrenamientos de seguridad gamificados deben automatizarse, de modo que los escenarios simulados se actualicen regularmente para cumplir con el panorama de amenazas dinámico y en constante cambio de hoy.
Mediante el uso de soluciones automatizadas y gamificadas, los empleados pueden mejorar sus habilidades en sus propios términos sin la necesidad de interrumpir las operaciones de la empresa. Esto no solo ahorra tiempo y dinero; También permite una mayor frecuencia de entrenamiento y, a su vez, un mayor aprendizaje.
El autor
El Dr. John Blythe es Director de Psicología de la Fuerza Laboral Cibernética en Immersive Labs.
FUENTE: www.continuitycentral.com