En la película Un domingo cualquiera, Al Pacino da un discurso memorable al equipo de fútbol perdedor. El discurso destaca una lección fundamental para los equipos: la confianza en sí mismos y en sus compañeros de equipo es fundamental para el éxito. Así como los equipos deportivos de élite dependen de la confianza de los jugadores para rendir al máximo, la ciberseguridad se basa en la confianza en los ordenadores, las personas y las organizaciones. Confiamos en que los ordenadores funcionan de forma fiable y coherente, del mismo modo que confiamos en que nuestros compañeros de equipo sobresaldrán en sus funciones organizativas. Al igual que en el deporte, generar confianza en un equipo de ciberseguridad es esencial para el éxito. Al hacer hincapié en un comportamiento confiable y repetible, las personas y los equipos pueden desarrollar la confianza necesaria para rendir de forma eficaz en cualquier situación en la que se encuentren.
Nuestra experiencia en la división CERT del Instituto de Ingeniería de Software de Carnegie Mellon está en Desarrollo de la fuerza laboral cibernética. Nuestro trabajo ayuda a las organizaciones a adquirir las habilidades que necesitan en equipo para combatir las ciberamenazas. En muchos sentidos, los líderes empresariales funcionan como entrenadores y ayudan a los empleados a desarrollar habilidades cruciales para que la organización tenga éxito. Del mismo modo que los equipos deportivos deben entrenar y practicar para generar confianza y cohesión, las empresas deben hacerlo para garantizar una alta productividad en un lugar de trabajo en evolución. Creemos que el entrenamiento individual y los ejercicios de equipo pueden ayudar a crear una clara ventaja empresarial. Mediante ejercicios y prácticas repetitivos, los jugadores individuales pueden convertirse en expertos en la materia en determinadas herramientas o técnicas, mientras que los equipos pueden responder colectivamente de la mejor manera posible a cualquier escenario al que se enfrenten. Su organización debe practicar y capacitarse de manera constante y consistente para eventos de ciberseguridad, desarrollando los músculos y las habilidades que necesitarán para responder cuando se produzca un ataque inevitable.
Identifique las habilidades clave de ciberseguridad para su organización
Del mismo modo que los entrenadores definen el estilo de juego de sus equipos, desarrollar un programa de formación en ciberseguridad eficaz requiere identificar las habilidades y los conocimientos específicos necesarios para hacer frente a las ciberamenazas de una manera que se alinee con las metas y los objetivos de la organización. Hay varias formas de hacerlo.
- Realice un análisis de las brechas de habilidades comparando las habilidades de su fuerza laboral con las necesarias para hacer frente a las ciberamenazas. El Instituto Nacional de Estándares y Tecnología (NIST) Marco laboral de ciberseguridad de NICE es un recurso útil para identificar las habilidades y los conocimientos necesarios para un equipo de ciberseguridad eficaz. Revisar sus políticas, procedimientos y protocolos de seguridad es otro buen punto de partida.
- Revise los estándares del sector con organizaciones como NIST y VISA para garantizar que su organización siga las mejores prácticas de su sector e incorpore esas prácticas en su programa de formación en ciberseguridad. Por ejemplo, existen controles especiales para las organizaciones que gestionan ciertos tipos de datos, como los datos de atención médica y la información de identificación personal, por lo que ciertos sectores deben cumplir normas como Información de identificación personal (PII) o el Ley de portabilidad y responsabilidad del seguro médico (HIPPA).
- Póngase en contacto con los departamentos y líderes de su organización para entender sus problemas y desafíos específicos de ciberseguridad. Por ejemplo, una fuerza de ventas global debe considerar el uso de los datos a la luz de una legislación como la de la UE Reglamento general de protección de datos (RGPD) y el Ley de Privacidad del Consumidor de California (CCPA). Hablar con cada jefe de departamento proporcionará información sobre las necesidades de formación específicas en todos los niveles de la organización.
Desarrolle un plan de mejora del rendimiento para cumplir con su estrategia
Una vez que haya identificado las habilidades y los conocimientos necesarios para combatir las ciberamenazas, el siguiente paso será desarrollar un programa integral de entrenamiento y ejercicios para mejorarlos. Estas son las medidas que se pueden tomar para desarrollar un programa eficaz:
- Diseñe simulaciones para cubrir una variedad de escenarios, incluidos ataques de suplantación de identidad, ransomware e ingeniería social.
- Como la práctica de bloqueo y placajes en el fútbol, comience con escenarios simples que se centren en los conceptos básicos y aumente gradualmente la complejidad de los escenarios. Concéntrese en desarrollar habilidades y confianza antes de abordar las amenazas más difíciles.
- Concentre las simulaciones en escenarios del mundo real a los que probablemente se enfrenten sus compañeros de equipo en su trabajo diario. Esto ayuda a generar confianza a la hora de responder a amenazas específicas y garantiza que las personas estén preparadas para actuar en consecuencia.
Después de cada ejercicio, dé su opinión y hable sobre lo que ha funcionado bien y lo que podría mejorarse. Ayudar a los compañeros de equipo a aprender de sus errores y a mejorar sus respuestas es una de las conclusiones más valiosas de cualquier evento de entrenamiento.
Ejecute una campaña continua de entrenamiento y ejercicios efectivos
Los grandes atletas entrenan con regularidad. Las empresas también deben priorizar el desarrollo continuo de habilidades para seguir siendo competitivas, ya que las tecnologías y las ciberamenazas cambian rápidamente. Estas son algunas consideraciones clave.
- Los presupuestos de entrenamiento y ejercicio no deben sacrificarse para reducir costes. Invertir en el desarrollo de los empleados ofrece un valor enorme y ninguna empresa puede darse el lujo de subestimarlo los costes financieros a largo plazo de una ciberinfracción.
- Planificar y programar los entrenamientos y los ejercicios es crucial, ya que permite a los equipos evaluar su desempeño. Al identificar con regularidad las áreas de mejora, los equipos pueden planificar y ejecutar de forma más eficaz en el futuro. Además, tomarse el tiempo de revisar y evaluar el rendimiento pasado puede llevar a tomar decisiones más informadas sobre qué escenarios utilizar y qué herramientas utilizar en las futuras sesiones de entrenamiento.
- Los ejercicios de equipo deben hacerse con regularidad y con las mismas herramientas, técnicas y procedimientos que se utilizan en las operaciones diarias para desarrollar una memoria muscular útil en situaciones del mundo real.
En su discurso, Pacino dice: «Descubra que la vida es este juego de centímetros, también lo es el fútbol». También lo es la ciberseguridad. Cada centímetro del progreso cuenta. Las amenazas actuales son más sofisticadas y generalizadas que las anteriores, y no se trata de si una organización se enfrentará a un ciberataque, pero cuando. Por eso es crucial que los líderes empresariales prioricen la formación y el ejercicio en ciberseguridad como un componente clave de su postura general de seguridad. Al identificar las habilidades y los conocimientos específicos necesarios para combatir las amenazas de forma eficaz, planificar y programar la formación y los ejercicios y colaborar con las principales partes interesadas para entender las necesidades de formación específicas de su organización, las empresas pueden crear un equipo más fuerte y seguro de sí mismo. Invertir en el desarrollo de los empleados mediante programas de formación formal y ejercicios continuos puede aportar un enorme valor y ayudar a las empresas a mantenerse por delante de los adversarios en el cambiante panorama de la ciberseguridad.
