En las campañas de concientización, el contenido no es «la vedette». Lo que hace la diferencia es la manera de llegar y la diversidad
A diferencia de las capacitaciones, en las que se apunta a formar acerca de algún saber o habilidad, las actividades de concientización son aquellas en las que se busca adoptar algún nuevo hábito, por mínimo que sea. Se trata de una cuestión actitudinal, y la ciberseguridad nos interpela a entender cómo percibe el riesgo el usuario para explicar que tiene que hacer algo al respecto.
En este marco, cabe hablar de estrategias innovadoras para lograr que las personas dentro de una organización o empresa se interesen por estas actividades, y entretenimiento cumple un rol fundamental.
Es importante brindar experiencias memorables a los participantes y así llegar mejor con los mensajes que queremos dar. Una gran aliada para estas acciones es la magia. ¿Cómo? La manera que tienen los ciberdelincuentes de estafar es similar a los métodos de los ilusionistas. Relacionamos el factor atencional, el concepto de «alucinación invertida»: no ver algo que está frente a nuestros ojos, algo muy usual tanto en los trucos de magia, como en las estafas.
Además, la magia es un arte que permite comunicar todo tipo de mensajes de manera divertida y asombrosa. Cuando un participante se asombra y se divierte, está más permeable a recibir el mensaje que le queremos dar: incorporar hábitos seguros para cuidar su información y la de la empresa.
Existe una conexión en el concepto de la «estafa» y en el efecto emocional que produce el asombro. Así, es como podemos llamar la atención, y luego «estafar emocionalmente» al participante para llevarlo a esa sensación, y que luego recuerde mejor lo que le queremos transmitir.
Resulta difícil que se perciba el riesgo si es que algo de esto no te sucede. Por eso lo difícil es que nos presten atención, de allí la importancia de innovar a la hora de capacitar al capital humano. Es crucial encontrar distintos canales y formatos para llegarles.
Javier Queimaliños
Indicadores de una concientización en ciberseguridad
En las campañas de concientización, el contenido no es «la vedette», sino que lo que hace la diferencia es la manera de llegar, la diversidad y frecuencia de canales y formatos para estar ahí presentes.
Por eso es clave innovar y pensar siempre una nueva manera de llegar. Muy similar a las campañas de seguridad vial, seguridad ambiental, cuidados de la salud, todo lo que implique prevención es más difícil que nos «preocupe», por eso la creatividad es importante para que se entienda el riesgo de algo que ¡todavía no te sucedió!
A la hora de buscar efectividad, la concientización a través de la magia logra un 100% en satisfacción de los participantes. Esta metodología fue llevada a cabo en más de cinco países: la Argentina, Paraguay, Perú, Chile y Uruguay. Así, llegó a más de treinta empresas y a, aproximadamente, 5 mil personas. Pero, si de indicadores se trata, podemos identificar cuatros fundamentales:
- El «conocimiento«, ya que se puede medir cuánto aprende una persona haciendo un pretest y un post test luego de alguna actividad. De esa manera podemos medir cuánto sabía antes de hacerla y cuánto sabe al finalizarla.
- La «percepción de riesgos«: este indicador mide cuánto la persona dice o cree que es riesgoso un comportamiento. No es lo mismo saber qué es un phishing (indicador 1) que decir que si recibe un correo sospechoso no lo abre o lo reporta.
- El «engagement» mide cómo llegamos a los usuarios, básicamente es una métrica de clics, visualizaciones y/o reacciones. También en el caso de actividades presenciales y/o sincrónicas es el indicador de cantidad de participantes.
- El «comportamiento«: este indicador es el más «ácido» y tal vez el más importante para medir el impacto de las acciones de concientización. Mide cómo se comporta un usuario ante un determinado hecho… el típico y reconocido método es el de las simulaciones de phishing, vishing, smishing o similares.
No hay grandes saberes o capacidades requeridas para tener hábitos seguros. Se necesita, en principio, incorporar esa necesidad de cambiar las maneras en que nos vinculamos los usuarios con la tecnología, para lograr conexiones más seguras.
(*) Director de BTR Consulting, especialista en ciberseguridad.