📝 Muchas organizaciones tratan la formación y concienciación (awareness) sobre ciberseguridad como una actividad para cumplir con una normativa que se realiza simplemente para satisfacer un requisito.
👉La realidad, sin embargo, es que la concienciación efectiva tiene tanto objetivos (por qué lo hacemos) como resultados (lo que las personas pueden hacer después de participar en él).
👉Los objetivos generalmente se derivan de políticas o directivas de alto nivel e impulsan el desarrollo de resultados, que a su vez impulsan el contenido y los métodos de entrega. Por ejemplo, si el objetivo es reducir la incidencia de ataques de phishing exitosos, entonces sería apropiado buscar como resultado el que los usuarios finales puedan detectar un correo electrónico de phishing. Tanto el objetivo como el resultado son medibles, lo que facilita la respuesta a la pregunta "¿está funcionando?"

✅ Podemos evaluar si el programa de awareness en seguridad es efectivo para mejorar la postura de seguridad de una organización simplemente midiendo las cosas antes de la formación y luego después de esta. Continuando con el ejemplo anterior, podríamos realizar un seguimiento de la cantidad de ataques de phishing exitosos y ver qué sucede con esa cantidad después de que se haya realizado la capacitación. Esta sería una evaluación del objetivo. También podríamos tomar usuarios capacitados y no capacitados y probar su capacidad para detectar correos electrónicos de phishing. Esperaríamos que a los usuarios capacitados les fuera mejor en esta tarea, lo que pondría a prueba el resultado. Si vemos que la cantidad de ataques de phishing permanece sin cambios (o peor aún, crece) o que los usuarios no detectan mejor los correos electrónicos de phishing después del entrenamiento, entonces tal vez el programa no sea efectivo.
 
📉 Al evaluar la efectividad de un programa de capacitación, es muy importante analizar los datos y no sacar conclusiones precipitadas. En el ejemplo del phishing, hay muchas explicaciones posibles para la falta de mejora.
📈 Tal vez los adversarios estén enviando mensajes más sofisticados que son más difíciles de detectar. Del mismo modo, los resultados podrían mostrar simplemente que a los usuarios simplemente no les importa y seguirán haciendo clic en enlaces y abriendo archivos adjuntos hasta que las consecuencias sean lo suficientemente negativas para ellos.

☑ Como conclusión, un punto importante a tener en cuenta a la hora de analizar los resultados de un programa de awareness, es investigar las causas fundamentales de las mediciones obtenidas para poder evaluar el entrenamiento de forma satisfactoria.
#ciberseguridad #cybersecurity #cissp