Cybersecurity and digital privacy

Crear un programa de formación en ciberseguridad eficaz

Astraed

5 min read

Del mismo modo que los equipos deportivos practican y se entrenan para los próximos partidos, su organización debería practicar y entrenarse de manera constante y coherente para los eventos de ciberseguridad, desarrollando los músculos y las habilidades que necesitarán para responder ante un ciberataque inevitable. Planificar y programar el entrenamiento y el ejercicio es fundamental porque permite a los equipos evaluar su rendimiento y su preparación. Los ejercicios de equipo deben realizarse con regularidad y con las mismas herramientas, técnicas y procedimientos que se utilizan en las operaciones diarias, y las simulaciones deben reflejar los escenarios del mundo real a los que probablemente se enfrenten los compañeros de equipo en su trabajo diario. Esto ayuda a generar confianza a la hora de responder a amenazas específicas y garantiza que las personas estén preparadas para actuar en consecuencia. Después de cada ejercicio, es importante dar su opinión y analizar qué ha funcionado bien y qué podría mejorarse. Ayudar a los compañeros de equipo a aprender de sus errores y a mejorar sus respuestas es una de las conclusiones más valiosas de cualquier actividad de entrenamiento.

••• En la película _Un domingo cualquiera_, Al Pacino da [un discurso memorable](https://www.youtube.com/watch?v=f1yWSePMqsk) a su equipo de fútbol perdedor. El discurso destaca una lección fundamental para los equipos: la confianza en sí mismos y en sus compañeros de equipo es fundamental para el éxito. Así como los equipos deportivos de élite dependen de la confianza de los jugadores para rendir al máximo, la ciberseguridad se basa en la confianza en los ordenadores, las personas y las organizaciones. Confiamos en que los ordenadores funcionan de forma fiable y coherente, del mismo modo que confiamos en que nuestros compañeros de equipo sobresalgan en sus funciones organizativas. Al igual que en los deportes, generar confianza en un equipo de ciberseguridad es fundamental para el éxito. Al hacer hincapié en un comportamiento fiable y repetible, las personas y los equipos pueden desarrollar la confianza necesaria para actuar de forma eficaz en cualquier situación en la que se encuentren. Nuestra experiencia en la división CERT del Instituto de Ingeniería de Software del Carnegie Mellon está en[Desarrollo de la fuerza laboral cibernética](https://www.sei.cmu.edu/our-work/cyber-workforce-development/index.cfm). Nuestro trabajo ayuda a las organizaciones a adquirir las habilidades que necesitan en equipo para combatir las ciberamenazas. En muchos sentidos, los líderes empresariales funcionan como entrenadores, lo que ayuda a los empleados a desarrollar habilidades cruciales para que la organización tenga éxito. Del mismo modo que los equipos deportivos deben entrenarse y practicar para generar confianza y cohesión, las empresas deben hacerlo para garantizar una alta productividad en un lugar de trabajo en evolución. Creemos que la formación individual y los ejercicios en equipo pueden ayudar a crear una clara ventaja empresarial. Mediante ejercicios y prácticas repetitivos, los jugadores individuales pueden convertirse en expertos en la materia en herramientas o técnicas determinadas, mientras que los equipos pueden responder colectivamente de la mejor manera posible a cualquier situación a la que se enfrenten. Su organización debería practicar y capacitarse de manera constante y coherente para los eventos de ciberseguridad, desarrollando la fuerza y las habilidades que necesitarán para responder cuando se produzca un ataque inevitable. ## **Identifique las habilidades clave de ciberseguridad de su organización** Del mismo modo que los entrenadores definen el estilo de juego de sus equipos, desarrollar un programa de formación en ciberseguridad eficaz requiere identificar las habilidades y los conocimientos específicos necesarios para hacer frente a las ciberamenazas de una manera que se alinee con las metas y los objetivos de la organización. Hay varias formas de hacerlo. - Realice un análisis del déficit de habilidades comparando las habilidades de su fuerza laboral con las necesarias para hacer frente a las ciberamenazas. El Instituto Nacional de Estándares y Tecnología (NIST)[Marco laboral de ciberseguridad de NICE](https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center) es un recurso útil para identificar las habilidades y los conocimientos necesarios para un equipo de ciberseguridad eficaz. Revisar sus políticas, procedimientos y protocolos de seguridad es otro buen punto de partida. - Revise los estándares del sector con organizaciones como[NIST](https://www.nist.gov/cyberframework) y[CISA](https://www.cisa.gov/topics/cybersecurity-best-practices) para garantizar que su organización esté alineada con las mejores prácticas de su sector e incorpore esas prácticas a su programa de formación en ciberseguridad. Por ejemplo, hay controles especiales para las organizaciones que gestionan ciertos tipos de datos, como los datos de atención médica y la información de identificación personal, por lo que algunos sectores deben cumplir reglamentos como[Información de identificación personal (PII)](https://www.dol.gov/general/ppii) o el[Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA)](https://www.hhs.gov/hipaa/for-professionals/index.html). - Póngase en contacto con los departamentos y los líderes de su organización para entender sus problemas y desafíos específicos de ciberseguridad. Por ejemplo, una fuerza de ventas global debe tener en cuenta el uso de los datos a la luz de una legislación como la de la UE[Reglamento general de protección de datos (GDPR)](https://gdpr.eu/what-is-gdpr/) y el[Ley de Privacidad del Consumidor de California (CCPA).](https://oag.ca.gov/privacy/ccpa) Hablar con el líder de cada departamento le proporcionará información sobre las necesidades de formación específicas en todos los niveles de la organización. ## **Desarrolle un plan de mejora del rendimiento para cumplir con su estrategia** Una vez que haya identificado las habilidades y los conocimientos necesarios para combatir las ciberamenazas, el siguiente paso es desarrollar un programa integral de entrenamiento y ejercicio para mejorarlos. Estas son las medidas que se pueden tomar para desarrollar un programa eficaz: - Diseñe simulaciones para cubrir una variedad de escenarios, incluidos la suplantación de identidad, el ransomware y los ataques de ingeniería social. - Como en la práctica de bloquear y abordar en el fútbol, comience con escenarios simples que se centren en los conceptos principales y aumente gradualmente la complejidad de los escenarios. Céntrese en desarrollar habilidades y confianza antes de abordar las amenazas más difíciles. - Centra las simulaciones en escenarios del mundo real a los que probablemente se enfrenten sus compañeros de equipo en su trabajo diario. Esto ayuda a generar confianza a la hora de responder a amenazas específicas y garantiza que las personas estén preparadas para actuar en consecuencia. Después de cada ejercicio, dé su opinión y comente lo que funcionó bien y lo que podría mejorarse. Ayudar a los compañeros de equipo a aprender de sus errores y a mejorar sus respuestas es una de las conclusiones más valiosas de cualquier actividad de entrenamiento. ## **Lleve a cabo una campaña continua de entrenamiento y ejercicios efectivos** Los grandes atletas entrenan con regularidad. Las empresas también deben priorizar el desarrollo continuo de las habilidades para seguir siendo competitivas como[las tecnologías y las ciberamenazas cambian rápidamente](/2023/05/the-digital-world-is-changing-rapidly-your-cybersecurity-needs-to-keep-up). Estas son algunas consideraciones clave. - Los presupuestos de entrenamiento y ejercicio no deben sacrificarse en medidas de reducción de costes. Invertir en el desarrollo de los empleados ofrece un valor enorme y ninguna empresa puede darse el lujo de subestimarlo[los costes financieros a largo plazo de una ciberviolación](/2023/05/the-devastating-business-impacts-of-a-cyber-breach). - Planificar y programar los entrenamientos y los ejercicios es crucial; permite a los equipos evaluar su desempeño. Al identificar periódicamente las áreas de mejora, los equipos pueden planificar y ejecutar de forma más eficaz en el futuro. Además, tomarse el tiempo para revisar y evaluar el rendimiento pasado puede llevar a tomar decisiones más informadas sobre qué escenarios hacer ejercicio y qué herramientas utilizar en las próximas sesiones de entrenamiento. - Los ejercicios en equipo deben realizarse con regularidad y con las mismas herramientas, técnicas y procedimientos que se utilizan en las operaciones diarias para desarrollar una memoria muscular útil en situaciones del mundo real. En su discurso, Pacino dice: «Descubra que la vida es un juego de pulgadas, también lo es el fútbol». También lo es la ciberseguridad. Cada centímetro del progreso cuenta. Las amenazas actuales son más sofisticadas y están más extendidas que las anteriores, y no se trata de _si_ una organización se enfrentará a un ciberataque, pero _cuando_. Por eso es crucial que los líderes empresariales prioricen la formación y el ejercicio en ciberseguridad como un componente clave de su postura general de seguridad. Al identificar las habilidades y los conocimientos específicos necesarios para combatir las amenazas de forma eficaz, planificar y programar los cursos y los ejercicios y colaborar con las principales partes interesadas para entender las necesidades de formación específicas de su organización, las empresas pueden crear un equipo más fuerte y seguro de sí mismo. Invertir en el desarrollo de los empleados mediante programas de formación formales y ejercicios continuos puede generar un enorme valor y ayudar a las empresas a mantenerse por delante de los adversarios en el cambiante panorama de la ciberseguridad.

Read more