Estoy comenzando mi tercera evaluación de Forrester Wave™ para el mercado que solía llamarse mercado de Concientización y capacitación en seguridad (SA&T). Lo hemos estado llamando Gestión de Riesgos Humanos cuando asesoramos a nuestros clientes en los últimos años, pero finalmente tomamos la decisión de retirar formalmente la nomenclatura SA&T.
Este blog explica por qué nosotros (y toda la industria) estamos haciendo el cambio de SA&T a la gestión de riesgos humanos, define la gestión de riesgos humanos y agrega color sobre la complejidad y la oportunidad de rechazar el status quo y hacer evolucionar nuestras formas de pensar.
¿Por qué el cambio?
Forrester predice que el 90% de las filtraciones de datos incluirán el elemento humano en 2024. Sin embargo, nuestros esfuerzos por comprender y gestionar esta importante amenaza siguen siendo superficiales, y se promociona una solución milagrosa: SA&T. Este es un mercado que ha crecido exponencialmente, y algunos informes predicen un mercado con un valor de 10 mil millones de dólares anuales para 2027. Incluso con toda esta capacitación y cuestionarios, las infracciones relacionadas con humanos están aumentando. Por ejemplo, el FBI informó que las pérdidas de empresas defraudadas por ataques exitosos de Business Email Compromise (BEC) aumentaron de $676 millones en 2017 a $2,700 millones en 2022, un aumento de casi 10 veces en 5 años.
¿Porqué ahora?
En pocas palabras, con todo lo que sabemos en Forrester después de cubrir en profundidad la disciplina de la conciencia, el comportamiento y la cultura durante 6 años, parecía inadmisible continuar con el status quo. Nuestro informe, “El futuro de la concientización y la capacitación en seguridad: alterar el status quo pasando a una protección humana adaptativa” examina los principales cambios esperados en la concientización y la capacitación en seguridad a corto, mediano y largo plazo de la siguiente manera:
- A largo plazo, la protección humana adaptativa creará libertad para los empleados. Articulamos que este futuro es, de manera realista, años (estimamos entre 6 y 10 años) en el futuro para la mayoría, por lo que, mientras tanto, indique la gestión de riesgos humanos.
- El enfoque a mediano plazo en la gestión del riesgo humano superará las deficiencias de SA&T:Debido a las deficiencias de SA&T, influir positivamente en el comportamiento de seguridad de los empleados e inculcar una cultura de seguridad será impulsado por una gestión de riesgos humanos basada en evidencia.
- El término inmediato nos hace centrarnos en los métodos mediante los cuales capacitamos a las personas.en lugar de los resultados. Esto satisface los requisitos reglamentarios para la formación en seguridad, pero poco más. A esto lo llamamos concienciación y formación en materia de seguridad.
¿Están todos preparados para el cambio?
No les mentiré: gran parte de la industria todavía se encuentra en el “plazo inmediato”. Muchas de mis sesiones de consulta y orientación de 2023 fueron del tipo: “Nos gustaría recibir información sobre los fundamentos de la creación de programas de concientización”. Sin embargo, todos terminaron en una discusión sofisticada sobre la necesidad de hacerlo mejor, y las preguntas evolucionaron rápidamente. Muchas preguntas fueron impulsadas por la insatisfacción con el status quo, el deseo de hacerlo mejor y de cambiar. En 2023, vimos cómo la Gestión de Riesgos Humanos pasó del concepto a la realidad, incluyendo:
- Los frustrados CISO y sus equipos querían recomendaciones sobre “soluciones que eliminen la dependencia de los humanos en la toma de decisiones”, “crear un cambio radical en este espacio” y “ofertas relativamente únicas”.
- Proveedores como Living Security, Elevate Security (ahora parte de Mimecast), CultureAI y muchos otros ahora tienen la gestión de riesgos humanos en su marca.
- El curso de concientización y capacitación anterior de SANS ahora se llama “Gestión del riesgo humano”. SANS también cambió el nombre de su cumbre anual de concientización sobre seguridad a “Cumbre de Gestión del Riesgo Humano”. Los eventos de proveedores también están plagados de terminología de riesgo humano, como la Cumbre de riesgo humano de Egress y la Conferencia de riesgo humano de Living Security.
- Living Security lanzó un modelo de madurez convincente, denominado “El modelo de madurez de la gestión de riesgos humanos”.
- Las descripciones de puestos encontradas en las bolsas de trabajo incluían puestos de nivel superior con palabras como personas y cultura, gestión de riesgos humanos, comportamiento de los ciberusuarios y seguridad sociotécnica en el título. La gestión del riesgo humano ya no es dominio de una persona junior, o de una persona o función independiente para marcar una casilla de ciberseguridad.
¿Qué es la gestión de riesgos humanos?
¡Esto no es solo un cambio de nombre (también conocido como cordero vestido de cordero)! Es un cambio significativo de mentalidad, estrategia, proceso y tecnología sobre cómo abordamos un viejo problema en un mundo nuevo.
En Forrester, definimos las soluciones de gestión de recursos humanos como:
Soluciones que gestionan y reducen los riesgos de ciberseguridad planteados por y para los humanos a través de:
1) Detectar y medir comportamientos de seguridad humana y cuantificar el riesgo humano
2) Iniciar intervenciones de políticas y capacitación basadas en el riesgo humano
3) Educar y capacitar a la fuerza laboral para protegerse a sí mismos y a su organización contra los ciberataques.
4) Construir una cultura de seguridad positiva.
Satisfacer los requisitos de capacitación en concientización sobre seguridad es un caso de uso secundario para las soluciones de gestión de riesgos humanos, mientras que el enfoque permanece en cambiar comportamientos y promover la cultura de seguridad.
Conectemos
Los clientes de seguridad y riesgos de Forrester que tengan preguntas sobre este cambio significativo o sobre cómo posicionarse para identificar y gestionar de manera efectiva el riesgo humano pueden comunicarse conmigo a través de una sesión de consulta o orientación.
