Para poder combatir las complejas amenazas actuales, la formación debe ir más allá de los conocimientos básicos. Mientras que los empleados necesitan un aprendizaje continuo sobre las prácticas recomendadas de protección de datos y detección de amenazas, los líderes de TI también deben adaptar su programación a las necesidades específicas de la plantilla laboral híbrida. Por lo tanto, la formación debe centrarse en los siguientes aspectos:
Tutoriales sobre tecnología: no es posible contar con una plantilla laboral híbrida sin la tecnología que permite a los empleados realizar su trabajo desde cualquier lugar. Las empresas deben adoptar soluciones fáciles de usar que establezcan controles y tengan sentido para las personas que las utilizan día a día. La implementación debería ir acompañada de tutoriales específicos y sesiones de formación sobre el software.
Conocimiento de amenazas en distintas situaciones: los líderes de TI también deben crear casos de formación dirigidos a la variabilidad de una plantilla laboral dispersa mediante lecciones que aborden las amenazas en torno a la entrada y salida de flujos de información de la oficina, los peligros del trabajo desde zonas públicas o los tipos de ataques dirigidos a los trabajadores en casa, entre otras. Algunos de estos casos de ataque deben incluir:
- mirar por encima del hombro;
- estafas a empresas por correo electrónico mediante suplantación de identidad;
- sonsacar información;
- ataques a contraseñas mediante fuerza bruta;
- ataques de phishing.
Por último, la formación debe estar diseñada como una experiencia fácil de recordar, en lugar de como una tarea trimestral que los empleados sienten la obligación de completar.
Por ejemplo, en Zoom distribuimos una lista de verificación con las «Prácticas recomendadas de seguridad para el trabajo en casa» y realizamos una formación de seguridad anual con nuestros empleados, pero también hemos ampliado nuestros esfuerzos para abarcar una formación basada en situaciones. Hemos lanzado simulaciones de ataques de phishing de forma mensual y formación continua para que los empleados practiquen la identificación y notificación de correos electrónicos de phishing en un entorno seguro para transformar la amenaza de phishing en una realidad tangible.