Así como los equipos deportivos practican y entrenan para los próximos juegos, su organización debe practicar y entrenar constante y consistentemente para los eventos de ciberseguridad, desarrollando los músculos y las habilidades que necesitan para responder cuando inevitablemente ocurre un ciberataque. La planificación y programación de entrenamientos y ejercicios es muy importante ya que permite a los equipos evaluar su desempeño y preparación. Los ejercicios en equipo deben realizarse regularmente y con las mismas herramientas, técnicas y procedimientos que se utilizan en las operaciones diarias, y las simulaciones deben reflejar escenarios del mundo real que los compañeros de equipo probablemente encuentren en su trabajo diario. Esto ayuda a generar confianza para responder a amenazas específicas y garantiza que las personas estén preparadas para actuar en consecuencia. Después de cada ejercicio, es importante proporcionar retroalimentación y discutir qué funcionó bien y qué podría mejorarse. Ayudar a los compañeros de equipo a aprender de sus errores y mejorar sus respuestas es uno de los aprendizajes más valiosos de cualquier evento de capacitación.
En la película cualquier domingo, Al Pacino pronuncia un discurso memorable frente a su equipo de fútbol perdedor. El discurso destaca una lección importante para los equipos. la confianza en sí mismos y en sus compañeros de equipo es esencial para el éxito. Así como los equipos deportivos de élite dependen de la confianza de los jugadores para rendir al máximo, la ciberseguridad se basa en la confianza en las computadoras, las personas y las organizaciones. Confiamos en que las computadoras funcionen de manera confiable y consistente, al igual que confiamos en que nuestros compañeros de equipo sobresalgan en sus roles organizacionales. Al igual que con los deportes, generar confianza dentro de un equipo de ciberseguridad es fundamental para el éxito. Al enfatizar comportamientos confiables y repetibles, las personas y los equipos pueden desarrollar la confianza que necesitan para desempeñarse de manera efectiva en cualquier situación que enfrenten.
Nuestra experiencia en el departamento CERT del Instituto de Ingeniería de Software de Carnegie Mellon está en el desarrollo de la fuerza laboral cibernética. Nuestro trabajo ayuda a las organizaciones a adquirir las habilidades necesarias como equipo para combatir las ciberamenazas. De muchas maneras, los líderes empresariales actúan como entrenadores, ayudando a los empleados a desarrollar habilidades críticas para que la organización sea exitosa. Así como los equipos deportivos deben entrenar y practicar para generar confianza y cohesión, las empresas deben hacer lo mismo para garantizar una alta productividad en el lugar de trabajo en evolución. Creemos que el entrenamiento personal y el entrenamiento en equipo pueden ayudar a crear una clara ventaja comercial. A través de ejercicios y prácticas repetidos, los jugadores individuales pueden convertirse en expertos en la materia en ciertas herramientas o técnicas, mientras que los equipos pueden responder colectivamente mejor a cualquier escenario que puedan enfrentar. Su organización debe practicar y capacitarse de manera constante y constante para las medidas de seguridad cibernética, desarrollando el músculo y las habilidades para responder cuando inevitablemente ocurre un ataque.
Identifique las habilidades básicas de ciberseguridad de su organización
Así como los entrenadores definen el estilo de juego de sus equipos, desarrollar un programa efectivo de capacitación en seguridad cibernética requiere identificar las habilidades y los conocimientos específicos necesarios para abordar las amenazas cibernéticas de una manera que se alinee con las metas y objetivos de la organización. Hay varias formas de hacer esto.
- Realice un análisis de brechas de habilidades que compare las habilidades de su fuerza laboral con las habilidades necesarias para contrarrestar las amenazas cibernéticas. El NICE Cybersecurity Workforce Framework del Instituto Nacional de Estándares y Tecnología (NIST) es un recurso útil para identificar las habilidades y los conocimientos necesarios para un equipo de ciberseguridad eficaz. Revisar sus políticas, procedimientos y protocolos de seguridad es otro buen punto de partida.
- Revise los estándares de la industria con organizaciones como NIST y CISA para asegurarse de que su organización esté alineada con las mejores prácticas en su industria e incorpore esas prácticas en su programa de capacitación en seguridad cibernética. Por ejemplo, existen controles específicos para organizaciones que procesan ciertos tipos de datos, como datos de salud e información de identificación personal, por lo que algunas industrias deben seguir regulaciones como la Información de identificación personal (PII) o la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPPA). . :
- Involúcrese con los departamentos y líderes de su organización para comprender sus inquietudes y desafíos específicos de ciberseguridad. Por ejemplo, una fuerza de ventas global debe considerar el uso de sus datos a la luz de la legislación como el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA). Hablar con cada jefe de departamento le dará una idea de las necesidades específicas de capacitación en todos los niveles de la organización.
Desarrolle un plan de mejora del rendimiento para alinearse con su estrategia
Una vez que haya identificado las habilidades y el conocimiento que necesita para combatir las amenazas cibernéticas, el siguiente paso es desarrollar un programa integral de capacitación y ejercicios para mejorarlas. Estos son los pasos que se pueden tomar para desarrollar un programa eficaz:
- Diseñe simulaciones para cubrir una variedad de escenarios, incluidos ataques de phishing, ransomware y de ingeniería social.
- Al igual que la práctica de bloqueo y placaje en el fútbol, comience con escenarios simples que se centren en conceptos básicos y aumente gradualmente la complejidad de los escenarios. Concéntrese en desarrollar habilidades y confianza antes de abordar amenazas más desafiantes.
- Enfoca las simulaciones en escenarios del mundo real que los compañeros de equipo probablemente encuentren en su trabajo diario. Esto ayuda a generar confianza para responder a amenazas específicas y garantiza que las personas estén preparadas para tomar las medidas adecuadas.
Después de cada ejercicio, proporcione retroalimentación y discuta qué funcionó bien y qué podría mejorarse. Ayudar a los compañeros de equipo a aprender de sus errores y mejorar sus respuestas es uno de los aprendizajes más valiosos de cualquier evento de capacitación.
Implementar una campaña continua de entrenamiento y ejercicio efectivo
Los grandes atletas entrenan regularmente. Las empresas también deben priorizar el desarrollo continuo de habilidades para seguir siendo competitivas a medida que la tecnología y las amenazas cibernéticas cambian rápidamente. Estas son algunas consideraciones clave.
- Los presupuestos de entrenamiento y ejercicio no deben sacrificarse por medidas de reducción de costos. Invertir en el desarrollo de los empleados proporciona un valor enorme y ninguna empresa puede permitirse subestimar los costos financieros a largo plazo de las infracciones cibernéticas.
- La planificación y programación del entrenamiento y los ejercicios es muy importante. permite a los equipos evaluar su desempeño. Al identificar regularmente áreas de mejora, los equipos pueden planificar y ejecutar de manera más efectiva en el futuro. Además, tomarse el tiempo para revisar y evaluar el desempeño anterior puede conducir a decisiones más informadas sobre qué escenarios ejecutar y qué herramientas usar en futuras sesiones de capacitación.
- Los ejercicios en equipo deben realizarse con regularidad y con las mismas herramientas, técnicas y procedimientos que se utilizan en las actividades cotidianas para desarrollar una memoria muscular útil en situaciones del mundo real.
En su discurso, Pacino dice: eso es fútbol”. Así es la ciberseguridad. Cada centímetro de progreso cuenta. Las amenazas de hoy son más complejas y generalizadas que las anteriores, y eso no es una pregunta. si organización se enfrentará a un ciberataque, sin embargo cuando. Por eso es importante que los líderes empresariales prioricen la capacitación y los ejercicios de seguridad cibernética como un componente clave de su postura general de seguridad. Al identificar las habilidades y los conocimientos específicos necesarios para combatir las amenazas de manera eficaz, planificar y programar capacitaciones y ejercicios, y comprometerse con las partes interesadas clave para comprender las necesidades de capacitación específicas de su organización, las empresas pueden crear un equipo más fuerte y seguro. Invertir en el desarrollo de los empleados a través de programas formales de capacitación y ejercicios continuos puede aportar un enorme valor y ayudar a las empresas a mantenerse por delante de la competencia en el panorama de ciberseguridad en constante cambio.