Por décadas, las organizaciones o empresas han gastado millones intentando educar a los empleados concientizándolos sobre la seguridad. Los resultados siempre han sido marginales, según el Information Security Forum (ISF), una organización sin fines de lucro que investiga y analiza los problemas de seguridad y administración de riesgos.
“Un muy pequeño porcentaje de organizaciones son realmente capaces de decir que han alcanzado el nivel más alto de concientización sobre la seguridad o los comportamientos positivos que realmente están buscando”, señala Steve Durbin, vicepresidente global de ISF. “Si lo que actualmente estamos haciendo -desde el punto de vista de la concientización- no está funcionando, ¿qué es lo que tenemos que hacer para ser más efectivos?”
La respuesta, señala, es implantar comportamientos de seguridad positivos en su proceso de negocio. Aquí le damos 10 principios que podrían ayudar.
Deje que el riesgo impulse las soluciones
Todo se resume a un enfoque basado en el riesgo. Usted necesita realizar una evaluación de riesgos en sus datos y su gente. ¿Qué datos le dolería más perder si es que pasa algo? ¿Qué empleados -del CEO para abajo- representan el riesgo más grande? Construya una base fuerte y criterios de medición basándose en el riesgo como punto de partida, asegurándose que cada solución de seguridad tenga un enlace directo con los requerimientos del negocio y que aborde uno o más riesgos.
“Va a tener un tipo diferente de solución de riesgos dependiendo del perfil de gente a la que le esté llevando el mensaje”, indica Durbin. “Identifique dónde yacen las verdaderas joyas de la corona, y aborde o ataque eso primero antes de tratar de extenderlas a través de toda la organización”.
Continúe buscando procesos alternativos
Implantar comportamientos positivos es un proceso en marcha. Solo porque lo hizo de alguna manera en el pasado, no significa que es el mejor enfoque. ISF le recomienda desafiar los sistemas complejos y procesos incómodos, en lugar de forzar que el comportamiento cambie y se acomode a éstos. Luche y esfuércese para asegurar que los nuevos sistemas y procesos son tan simples y amigables al usuario como sea posible.
“Entre y hágalo con mente abierta”, afirma Durbin. “El proceso en sí mismo puede ser el problema. Puede ser que tenga un sistema particularmente complejo o un proceso incómodo y no tiene que ser necesariamente de esa manera. Pregúntese: ‘Si comenzáramos relajados, ¿cómo construiríamos o implantaríamos seguridad en o dentro de este proceso en particular que haría que sea más fácil que la gente se conforme?’”
Implante comportamientos de seguridad positivos
Busque promover y valorar comportamientos que faciliten que la gente tenga un rol esencial en el fortalecimiento de la resiliencia organizacional. No es suficiente comunicar lo que deberían hacer, sino que necesita ayudarlos a entender por qué el comportamiento es importante y ayudarlos a sentir que son importantes, para que así puedan reconocer los momentos clave y tomar las decisiones correctas. Esto puede requerir adaptar el mensaje al departamento particular o incluso al rol específico que tiene como objetivo.
Permita que la gente que tome decisiones sobre la seguridad de la información
Enfoque la solución de seguridad como una batalla por los corazones y las mentes. En el mundo de negocios hoy en día no hay manera de evitarlo: Los empleados tendrán datos de valor en la punta de sus dedos. Para lograr una posición positiva de seguridad, necesita mejorar la confianza de los empleados y motivarlos a proteger el negocio autorizándolos a tomar las decisiones necesarias para hacerlo.
“Si puede ganar corazones y mentes, también puede cambiar actitudes y comportamientos”, señala Durbin. “Necesita tener conversaciones de adulto. No podrá hacerlo en todos los niveles de la organización, pero sí debería intentar ser confiable y motivador en toda la empresa”.
Establezca un plazo determinado para cambiar los comportamientos
Implantar comportamientos de seguridad de la información positivos en su empresa no sucede de la noche a la mañana. Muchas de las organizaciones que ISF dice que han adoptado este enfoque o aproximación con éxito, han tardado años en obtener su actual postura sobre la seguridad. Puede tomar entre tres y cinco años percibir algún cambio. Tiene que aceptar que no existe una ‘bala de plata’.
“Estamos hablando de años”, señala Durbin. “Este es un viaje y en el transcurso del viaje, las cosas van cambiando”.
Aspire a un enfoque tipo ‘Pare y Piense’ de la seguridad
El verdadero objetivo aquí es autorizar y alentar a su gente a tomar las decisiones correctas, o saber cuándo es que necesitan consultar con un experto. Si logra hacer que los empleados paren y piensen en los momentos clave, va a asegurar, proteger y salvar el elemento humano. Sin embargo, no tendrá éxito entrenando a su gente para todas las ocasiones, eso es imposible en el ambiente de negocios hoy en día; pero puede hacer que reconozcan cuándo algo puede tener implicancias sobre la seguridad.
“Hay que darle a los individuos la habilidad de sopesar el riesgo”, señala Durbin. “¿Me estoy comportando como debería? ¿Estoy haciendo lo correcto desde el punto de vista de la seguridad? Tenemos que llegar hasta ese punto, no podemos simplemente seguir bloqueando las cosas”.
Cuando comunicar los comportamientos de seguridad se convierten de ‘Decir’ a ‘Convencer’
Parte del problema con los programas antiguos de concientización sobre seguridad es que toman un enfoque tipo ‘la misma talla para todos’ que no consigue comprometer a todos en un nivel personal. Es por esto que necesita diseñar soluciones persuasivas adaptadas al perfil del riesgo de audiencias segmentadas. También ayuda a educar en el punto de falla. Si ejecuta una simulación de phishing para probar su programa antiphishing y alguien le da clic a un enlace de phishing, esto le va a proporcionar información correcta sobre lo que es un phishing y cómo evitarlo.
Aproveche los conocimientos y habilidades adecuadas para definir e implementar soluciones de seguridad
Este enfoque de la seguridad probablemente requiera habilidades que sus profesionales de la seguridad de la información no tengan. La concientización de la seguridad es, a menudo, agrupada con las actividades de aprendizaje y desarrollo, pero este enfoque es más afín a la gestión del cambio. Para implantar con éxito comportamientos positivos de seguridad puede que necesite aprovechar los conocimientos del departamento de marketing, recursos humanos y hasta de psicólogos. Necesita construir una marca e identidad fuerte alrededor de su programa también.
“Todo se trata de alcanzar y darle atención a otras partes de la empresa también”, señala Durbin. “Y la mejor parte es que la seguridad de la información está siendo implantada en departamentos a los que ahora llega”.
Identifique e integre ‘campeones’ de seguridad a sus esfuerzos
Así como con otros esfuerzos de cambio en la gestión; para tener éxito, necesita identificar una red de campeones del lado del negocio que le ayuden a introducir y sostener los comportamientos positivos. Entrénelos y prepárelos para cumplir su rol con confianza. Los líderes de negocio son una buena opción para realizar esto, pero Durbin señala que puede llevarlo incluso más lejos. Como ejemplo habla de un banco que dispersó a sus equipos de seguridad de la información entre sus unidades de negocio.
“El lado positivo de esto es que la gente de negocios habla más con ellos”, indica. “Desde la perspectiva de la seguridad de la información, están viendo cómo los usuarios avanzan con las realización de sus trabajos de forma permanente, para que así puedan proporcionar un conocimiento sobre la seguridad de la información que se relaciona y es directamente relevante con lo que la gente está haciendo en esos momentos”.
Mantenga a las personas como responsables de las conductas de seguridad
Finalmente, necesita mantener a las personas como responsables de sus propias conductas de seguridad. Eso significa premiar los buenos comportamientos y abordar constructivamente los malos e inaceptables -de la misma manera en que lo haría con cualquier otro desempeño deficiente.
“Todo se trata de tener coherencia”, afirma Durbin. “Debe tratar de acabar de una vez por todas con la ignorancia en torno a todo esto. Todo esto se trata, básicamente, de entender cómo es que se ve el buen comportamiento de seguridad de la información. Si va a, deliberadamente, romper las reglas en lugar de cometer un error, hay graves consecuencias y éstas están establecidas en nuestras políticas de Recursos Humanos. Pero si alguien comete un error, querrá que salga adelante y siga trabajando. Es de vital importancia que cree un ambiente positivo donde la gente entienda que a veces eso pasa o suele pasar”.
Thor Olavsrud, CIO (EE.UU.)
