Cómo la gamificación puede potenciar la capacitación en ciberseguridad

Analizamos cómo la formación a través del juego puede ser un gran aliado en el objetivo de lograr que los empleados sean más conscientes de los riesgos asociados a la ciberseguridad.
Desde 2017, cada 21 de abril se celebra el Día Mundial de la Creatividad y la Innovación. Si bien es una fecha dedicada a promover el pensamiento creativo e innovador, eso no significa que sea una celebración que deba limitarse a la industria creativa y las artes. La creatividad y la innovación es esencial en todos los campos, especialmente en aquellos que pueden considerarse altamente técnicos y un poco aburridos, como la ciberseguridad.
Dado que el error humano es el responsable de muchos de las incidentes de seguridad que ocurren, trabajar en la concientización de temas vinculados a la ciberseguridad debería estar en la agenda de capacitación de la mayoría de las empresas. Pero no solo de las empresas, ya que los millennials, que crecieron con Internet impregnado en todos los aspectos de sus vidas, ahora están criando niños que no pueden imaginar un mundo sin computadoras o sitios web. Por lo tanto, los padres millennials deberán probablemente enseñar a sus hijos cómo navegar por la red de manera segura y, quién sabe, eso podría incluso motivarlos a considerar una carrera en ciberseguridad.
Por otra parte, para muchos empleados dar conferencias o presentaciones interminables ya no es suficiente, dado que la mayoría de las veces los miembros de su audiencia no logran mantener su atención durante toda la presentación. Y es que la clave no es demostrar ejemplos de ataques de phishing o tipos de malware, sino llamar la atención del público al tiempo que hacen de todo el ejercicio una pieza creativa: ahí es donde entra la gamificación.
La definición del diccionario de “gamificación” es la aplicación de estrategias de juegos (pensamiento o la lógica del juego) a un entorno o tarea ajena al mismo con el objetivo de alentar la participación; en resumen, convertir una capacitación en un juego. Al hacer que el aprendizaje sea más interactivo y divertido, se logra que los participantes se comprometan más con el material y esto estimula la práctica. Esta experiencia permite aprender más rápido y retener el material en la memoria a largo plazo.
Una forma de utilizar la gamificación en el campo de la ciberseguridad puede ser a la hora de realizar capacitaciones sobre ataques de phishing. En lugar de simplemente mostrar ejemplos de un phishing a sus empleados, pruebe utilizando un juego o un cuestionario donde los participantes tengan que descubrir el engaño.
Para que el ejercicio sea aún más gratificante, puede agregar puntos … y una vez que los empleados hayan acumulado suficientes puntos, pueden canjearlos por premios. Las recompensas los mantienen comprometidos y motivados a dar lo mejor mientras dominan las habilidades que usted quiere fortalecer. Para ponerlo en números: 8 de cada 10 empleados se  sienten más motivados cuando su capacitación utiliza técnicas de gamificación.
Si desea ir un poco más allá, también puede agregar un tablero o pizarra que incluya los resultados que van obteniendo los empleados para que compitan entre sí. La sana competencia nunca está de más y añade un incentivo, ya que todos quieren desempeñarse al menos al mismo nivel que sus colegas.
La capacitación a través de la gamificación da sus frutos: los empleados no solo permanecen motivados y comprometidos, sino que la organización también se beneficia de los buenos resultados. “En el transcurso de este último año, tuvimos una reducción del 10% en los riesgos del usuario final. Cuando una organización es comprometida por un atacante, la mayoría de las veces esto sucede por el factor humano; es decir, porque el usuario final tiene una contraseña débil, es engañado mediante un phishing o descarga malware. La cantidad de tiempo que se necesita dedicar a la capacitación en estos temas es increíble. En este sentido, obtener una reducción del riesgo en el entorno del 1 o el 2% es una victoria, pero alcanzar una reducción del 10% es notable”, dijo George Gerchow, jefe de seguridad de Sumo Logic, a InfoSecurity Professional Magazine.
Los empleados están en la primera línea y los errores son costosos. Sin embargo, en el caso de una brecha o incidente de seguridad, generalmente son los ejecutivos los que tienen que actuar y lidiar con las consecuencias. Ellos son los que necesitan identificar las amenazas y tomar decisiones, especialmente cuando el tiempo es esencial. Por lo tanto, ellos también necesitan capacitarse. Y qué mejor manera de capacitar que experimentar un ciberataque, es decir, simulado. Es posible que haya oído hablar del concepto “juegos de guerra”. El mismo es utilizado para describir juegos que intentan recrear situaciones para poner a prueba teorías y estrategias, sin necesidad de exponerse a un riesgo real.
La simulación de un ciberataque se basa en la misma premisa: la compañía puede probar sus tiempos de reacción y defensa sin incurrir en daños de ningún tipo. En función de sus resultados, puede analizar aspectos a mejorar. En primer lugar, es un ejercicio educativo, pero dado que imita escenarios de la vida real, es más fácil comprender los ataques (simulados) una vez que son experimentados que solo a partir de leer sobre ellos. Uno de esos juegos fue desarrollado por  PricewaterhouseCoopers.

Dado que tener una comprensión básica de la ciberseguridad es imprescindible en estos tiempos, las empresas tienen que capacitar continuamente a sus empleados y aumentar el grado de concientización sobre las amenazas existentes. Tener un enfoque creativo e innovador para la capacitación puede marcar una gran diferencia: no solo será atractivo para los empleados, sino que es más probable que sean más competentes en la identificación de amenazas cibernéticas.

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS