¿Es efectiva la capacitación en seguridad en línea?

6

Estoy viendo una organización que requiere que todos los empleados se sometan a una capacitación anual de ciberseguridad en línea de una hora (vea un video y realice un cuestionario, aparentemente creado con formación de conciencia de seguridad del usuario final de SANS ).

¿Existe alguna evidencia sobre si esto es efectivo y cuán efectivo es? Por ejemplo, ¿existe alguna medida o estimación de cuánto este tipo de capacitación en línea sobre la seguridad cibernética reduce los incidentes de seguridad, o mejora los resultados de alguna otra forma medible? ¿Deberíamos esperar ver una reducción del 5% en los compromisos de seguridad? Reducción del 50%? ¿Reducción del 0%?

Verifiqué en el sitio Asegurando al ser humano de SANS, calculando que si hubiera alguna evidencia o datos cuantitativos, lo mostrarían de manera prominente, pero no parecen decir nada al respecto.

    
pregunta D.W. 03.11.2015 - 05:32
fuente

1 respuesta

4

La eficacia de una serie anual de videos en línea de 1 hora para afectar el comportamiento del usuario es muy baja (las estadísticas de la industria muestran un cambio en el comportamiento del 0-5%, quizás estadísticamente insignificante). El cumplimiento es mayor en los días posteriores a la capacitación, pero luego disminuye muy rápidamente. Este tipo de capacitación debe ir acompañada de otros apoyos para ver los resultados, pero es posible ver resultados positivos de hasta un 70% (adopción consistente de comportamientos específicos) con ciertos suplementos para este tipo de capacitación. La repetición de la capacitación, el apoyo y el seguimiento son quizás más importantes que la transferencia de conocimientos en sí.

En cuanto a los suplementos, los métodos más efectivos incluyen pautas regulares de comportamiento y proporcionar información inmediata al usuario sobre la corrección del comportamiento presentado. La forma más común de esto es el phishing simulado, pero puede incluir cualquier comportamiento que la organización desee ver.

En algunos programas de simulación de suplantación de identidad (phishing), los estudios han demostrado una disminución en los usuarios que hacen clic en los enlaces en los correos electrónicos de hasta un 70%. Esto generalmente requiere pruebas periódicas y los usuarios aprenden lentamente qué hacer con el tiempo. La clave es la regularidad y la retroalimentación inmediata.

Este mismo enfoque se puede hacer para las políticas de contraseñas, el seguimiento, el bloqueo de computadoras, el reporte de incidentes, el manejo de dispositivos USB, etc.

La conciencia es conciencia. La transferencia de conocimiento es la transferencia de conocimiento. Pero el cambio de comportamiento es un juego de pelota diferente. Comienza con el conocimiento (a veces), pero luego necesita pasar a la acción. Y eso no se puede hacer con un video de 5 minutos.

(Estoy escribiendo un libro sobre este mismo tema)

    
respondido por el schroeder 03.11.2015 - 06:03
fuente

Lea otras preguntas en las etiquetas