La eficacia de una serie anual de videos en línea de 1 hora para afectar el comportamiento del usuario es muy baja (las estadísticas de la industria muestran un cambio en el comportamiento del 0-5%, quizás estadísticamente insignificante). El cumplimiento es mayor en los días posteriores a la capacitación, pero luego disminuye muy rápidamente. Este tipo de capacitación debe ir acompañada de otros apoyos para ver los resultados, pero es posible ver resultados positivos de hasta un 70% (adopción consistente de comportamientos específicos) con ciertos suplementos para este tipo de capacitación. La repetición de la capacitación, el apoyo y el seguimiento son quizás más importantes que la transferencia de conocimientos en sí.
En cuanto a los suplementos, los métodos más efectivos incluyen pautas regulares de comportamiento y proporcionar información inmediata al usuario sobre la corrección del comportamiento presentado. La forma más común de esto es el phishing simulado, pero puede incluir cualquier comportamiento que la organización desee ver.
En algunos programas de simulación de suplantación de identidad (phishing), los estudios han demostrado una disminución en los usuarios que hacen clic en los enlaces en los correos electrónicos de hasta un 70%. Esto generalmente requiere pruebas periódicas y los usuarios aprenden lentamente qué hacer con el tiempo. La clave es la regularidad y la retroalimentación inmediata.
Este mismo enfoque se puede hacer para las políticas de contraseñas, el seguimiento, el bloqueo de computadoras, el reporte de incidentes, el manejo de dispositivos USB, etc.
La conciencia es conciencia. La transferencia de conocimiento es la transferencia de conocimiento. Pero el cambio de comportamiento es un juego de pelota diferente. Comienza con el conocimiento (a veces), pero luego necesita pasar a la acción. Y eso no se puede hacer con un video de 5 minutos.
(Estoy escribiendo un libro sobre este mismo tema)