Más allá de políticas y procedimientos, la cultura de seguridad de una organización se puede definir como el “sistema operativo social” que influye y guía a los empleados en buenas prácticas, tanto en la propia organización como en sus vidas cotidianas.
Cuando no existe o empieza a quebrarse, se puede llegar a un punto tóxico de no retorno en el que gobierna la mala praxis. Para poder dar un giro de 180 grados y volver a la ‘ciberhigiene’ es necesario identificar estas señales que indican una mala cultura de seguridad:
Nadie tiene la culpa
Cuando ocurre un incidente grave, el foco en un ambiente tóxico se centra en el culpable, explica Rob Clyde, director de la junta de Isaca. La organización busca un chivo expiatorio, alguien a quien despedir. En muchas ocasiones puede ser el CISO. Según una encuesta elaborada por Nominet, su duración media en su puesto de trabajo es de menos de tres años. Y, para un 30% de los encuestados el promedio es de menos de dos ejercicios. “Esto se significa en empresas en un estado constante de cambios”, dice Clyde.
El cinismo crece
El cinismo es el comportamiento tóxico más fácil de detectar, asegura Karen Worstell, CEO de W Risk Group y fundadora de Mojo Maker for Women in Tech. “Cuando escuchas a la gente hablar sobre administración de una manera cínica, eso es una señal de alerta. Muestra que hay estrés y angustia en la empresa, y que hay una sensación de que las personas no tienen ningún tipo de agente que pueda afectar al resultado de su trabajo”. El ‘presentismo’, o simplemente hacer lo suficiente para simplemente cumplir, también indica que un entorno de seguridad es tóxico, asevera.
Las vulnerabilidades internas aumentan
“Cuando la cultura empieza a fallar, las métricas mostrarán señales reveladoras, como un aumento significativo de las vulnerabilidades internas”, expresa Wesley Simpson, director de operaciones de ISC. “Sabemos que el 20% de las infracciones son internas y provienen de los empleados. Si empieza a comprobar que aumenta esta estadística mes a mes, probablemente no haya una buena cultura de ciberseguridad”.
La respuesta suele ser “no”
Si la primera respuesta que sale de la boca del CISO es “no”, nos encontramos, en su mayoría, ante un ambiente tóxico, afirma Kevin Richards, jefe de consultoría global de riesgo cibernético en Marsh LLC. Además, cuando se reprende a alguien, éste siempre encuentra maneras de evadir al departamento de seguridad, lo que crea riesgos desconocidos.
El departamento de seguridad está aislado
Cuando el departamento del CISO es demasiado insular y centra la seguridad en un silo, hay que recomendar impulsar las relaciones y ampliar la cultura. “A veces, el CSO o CISO teme la pérdida de poder, por lo que la tendencia es aislarse y controlar la información”, argumenta Emily Mossburg, directora de Deloite and Tocuhe LLP. “Pero esto crea un ambiente tóxico. Es como si el equipo de seguridad fuese contra el resto de la organización”.
Cambiar las prácticas
Si en su empresa ha detectado varias de estas señales, es hora de darle un giro radical a la cultura. Para ello, los líderes deben aprender a mirar las vulnerabilidades “desde otro ángulo”, pasar a ser creativos y buscar nuevas soluciones. ¿Cómo se podría tomar un enfoque que no llene de carga al individuo?
También es necesario encontrar maneras de decir “sí”. La proactividad es necesaria para encontrar formas de mejorar la cultura. La mayoría de las veces, los empleados seguirán las sugerencias si entienden por qué los nuevos métodos hacen a la empresa más segura.
Por otra parte, en 2018, el 42% de las compañías no tenía un plan de gestión de cultura de seguridad que describiera con precisión los objetivos, la concienciación y la responsabilidad de cada trabajador, por lo que se vuelve necesario mejorar estos planes.
Y, por último, renovar las relaciones con la organización y sus líderes y dedicar fondos para la cacpacitación y la contratación de herramientas son dos imperativos. “Lo que mejor que puedes hacer para mejorar la cultura es invertir en la gente”, dice Clyde. “Tenemos que resistir la tentación de fichar más personal en vez de invertir en los trabajadores que tenemos”.
Stacy Collett, CSO EE.UU.