Publicado el día 19 de junio de 2018 .

3 claves para realizar simulaciones de phishing exitosas en tu empresa

En el post anterior hablábamos de cómo evitar las consecuencias del phishing en una empresa poniendo como ejemplo el caso de ABN Amro.

En esta ocasión, dedicaremos las siguientes líneas a descubrir cómo se puede gestionar el proceso de capacitación para evitar el "ruido" negativo de la organización, ofreciendo un programa de seguridad que genere un zumbido positivo y un compromiso real por parte de los empleados. Es posible conseguirlo si juegas limpio. Te presentamos 3 claves fundamentales.

1. Comunícate primero antes de comenzar las campañas

Sé abierto y transparente con tus empleados sobre el proceso de capacitación de phishing y asegúrate de no abusar de su confianza. Los empleados no quieren poner a la empresa en riesgo. Por tanto, cuando se informa a los trabajadores, al comienzo del proceso de capacitación, sobre los objetivos, lo que se espera de ellos durante la práctica y cómo deben actuar cuando les resulte ofensivo, se acaban involucrando más con la empresa, promoviendo el buen rumbo de la misma.

2. Un enfoque continuo apunta a un cambio habitual, no de detección ocasional

Cuando se realiza una "prueba de phishing" 2 o 3 veces al año, las personas pueden estar más al tanto de la suplantación de identidad (phishing), pero no les permitirá capacitarse para cambiar sus reacciones y comportamientos en tiempo real. Esa es la diferencia entre, el entrenamiento esporádico, que solo puede mejorar la actitud y la conciencia en general, y el entrenamiento continuo. La habituación es el objetivo de la capacitación continua, por lo que se recomienda exponer a los empleados a muchas variaciones dinámicas de ataques de phishing simulados en tiempo real para que ganen experiencia y confianza en su nuevo comportamiento.

3. Enseñar, no castigar

El juego limpio significa que, tenemos un objetivo mutuo juntos, manteniendo a la organización segura. Los castigos son "rompedores de reglas" y generan una actitud negativa. Pero, ¿qué harás con tus empleados que sigan haciendo clic? En el enfoque de entrenamiento continuo, incluso los "clickers en serie" cambian su comportamiento a lo largo del tiempo y, por lo tanto, no se requieren castigos. Tan solo están rompiendo el acuerdo de "juego limpio".

Conclusión

Para poder gestionar el proceso de capacitación con el objetivo de evitar el "ruido" negativo de la empresa resulta fundamental ofrecer un programa de capacitación de seguridad que promueva un efecto positivo y un compromiso real por parte de los empleados y las claves para conseguirlo son: una comunicación previa de los planes, exponer de forma habitual a los empleados estas pruebas y hacerlo didácticamente, no con castigos que solo generan reacciones adversas con consecuencias nefastas para tu negocio.

Fuente basada en artículo original de CibeReady

Ciberseguridad Banca & Seguros Blog

< Volver