Por décadas, las organizaciones o empresas han gastado millones intentando educar a los empleados concientizándolos sobre la seguridad. Los resultados siempre han sido marginales, según el Information Security Forum (ISF), una organización sin fines de lucro que investiga y analiza los problemas de seguridad y administración de riesgos.
“Un muy pequeño porcentaje de organizaciones son realmente capaces de decir que han alcanzado el nivel más alto de concientización sobre la seguridad o los comportamientos positivos que realmente están buscandoâ€, señala Steve Durbin, vicepresidente global de ISF. “Si lo que actualmente estamos haciendo -desde el punto de vista de la concientización- no está funcionando, ¿qué es lo que tenemos que hacer para ser más efectivos?â€
La respuesta, señala, es implantar comportamientos de seguridad positivos en su proceso de negocio. Aquà le damos 10 principios que podrÃan ayudar.
Deje que el riesgo impulse las soluciones
Todo se resume a un enfoque basado en el riesgo. Usted necesita realizar una evaluación de riesgos en sus datos y su gente. ¿Qué datos le dolerÃa más perder si es que pasa algo? ¿Qué empleados -del CEO para abajo- representan el riesgo más grande? Construya una base fuerte y criterios de medición basándose en el riesgo como punto de partida, asegurándose que cada solución de seguridad tenga un enlace directo con los requerimientos del negocio y que aborde uno o más riesgos.
“Va a tener un tipo diferente de solución de riesgos dependiendo del perfil de gente a la que le esté llevando el mensajeâ€, indica Durbin. “Identifique dónde yacen las verdaderas joyas de la corona, y aborde o ataque eso primero antes de tratar de extenderlas a través de toda la organizaciónâ€.
Continúe buscando procesos alternativos
Implantar comportamientos positivos es un proceso en marcha. Solo porque lo hizo de alguna manera en el pasado, no significa que es el mejor enfoque. ISF le recomienda desafiar los sistemas complejos y procesos incómodos, en lugar de forzar que el comportamiento cambie y se acomode a éstos. Luche y esfuércese para asegurar que los nuevos sistemas y procesos son tan simples y amigables al usuario como sea posible.
“Entre y hágalo con mente abiertaâ€, afirma Durbin. “El proceso en sà mismo puede ser el problema. Puede ser que tenga un sistema particularmente complejo o un proceso incómodo y no tiene que ser necesariamente de esa manera. Pregúntese: ‘Si comenzáramos relajados, ¿cómo construirÃamos o implantarÃamos seguridad en o dentro de este proceso en particular que harÃa que sea más fácil que la gente se conforme?’â€
Implante comportamientos de seguridad positivos
Busque promover y valorar comportamientos que faciliten que la gente tenga un rol esencial en el fortalecimiento de la resiliencia organizacional. No es suficiente comunicar lo que deberÃan hacer, sino que necesita ayudarlos a entender por qué el comportamiento es importante y ayudarlos a sentir que son importantes, para que asà puedan reconocer los momentos clave y tomar las decisiones correctas. Esto puede requerir adaptar el mensaje al departamento particular o incluso al rol especÃfico que tiene como objetivo.
Permita que la gente que tome decisiones sobre la seguridad de la información
Enfoque la solución de seguridad como una batalla por los corazones y las mentes. En el mundo de negocios hoy en dÃa no hay manera de evitarlo: Los empleados tendrán datos de valor en la punta de sus dedos. Para lograr una posición positiva de seguridad, necesita mejorar la confianza de los empleados y motivarlos a proteger el negocio autorizándolos a tomar las decisiones necesarias para hacerlo.
“Si puede ganar corazones y mentes, también puede cambiar actitudes y comportamientosâ€, señala Durbin. “Necesita tener conversaciones de adulto. No podrá hacerlo en todos los niveles de la organización, pero sà deberÃa intentar ser confiable y motivador en toda la empresaâ€.
Establezca un plazo determinado para cambiar los comportamientos
Implantar comportamientos de seguridad de la información positivos en su empresa no sucede de la noche a la mañana. Muchas de las organizaciones que ISF dice que han adoptado este enfoque o aproximación con éxito, han tardado años en obtener su actual postura sobre la seguridad. Puede tomar entre tres y cinco años percibir algún cambio. Tiene que aceptar que no existe una ‘bala de plata’.
“Estamos hablando de añosâ€, señala Durbin. “Este es un viaje y en el transcurso del viaje, las cosas van cambiandoâ€.
Aspire a un enfoque tipo ‘Pare y Piense’ de la seguridad
El verdadero objetivo aquà es autorizar y alentar a su gente a tomar las decisiones correctas, o saber cuándo es que necesitan consultar con un experto. Si logra hacer que los empleados paren y piensen en los momentos clave, va a asegurar, proteger y salvar el elemento humano. Sin embargo, no tendrá éxito entrenando a su gente para todas las ocasiones, eso es imposible en el ambiente de negocios hoy en dÃa; pero puede hacer que reconozcan cuándo algo puede tener implicancias sobre la seguridad.
“Hay que darle a los individuos la habilidad de sopesar el riesgoâ€, señala Durbin. “¿Me estoy comportando como deberÃa? ¿Estoy haciendo lo correcto desde el punto de vista de la seguridad? Tenemos que llegar hasta ese punto, no podemos simplemente seguir bloqueando las cosasâ€.
Cuando comunicar los comportamientos de seguridad se convierten de ‘Decir’ a ‘Convencer’
Parte del problema con los programas antiguos de concientización sobre seguridad es que toman un enfoque tipo ‘la misma talla para todos’ que no consigue comprometer a todos en un nivel personal. Es por esto que necesita diseñar soluciones persuasivas adaptadas al perfil del riesgo de audiencias segmentadas. También ayuda a educar en el punto de falla. Si ejecuta una simulación de phishing para probar su programa antiphishing y alguien le da clic a un enlace de phishing, esto le va a proporcionar información correcta sobre lo que es un phishing y cómo evitarlo.
Aproveche los conocimientos y habilidades adecuadas para definir e implementar soluciones de seguridad
Este enfoque de la seguridad probablemente requiera habilidades que sus profesionales de la seguridad de la información no tengan. La concientización de la seguridad es, a menudo, agrupada con las actividades de aprendizaje y desarrollo, pero este enfoque es más afÃn a la gestión del cambio. Para implantar con éxito comportamientos positivos de seguridad puede que necesite aprovechar los conocimientos del departamento de marketing, recursos humanos y hasta de psicólogos. Necesita construir una marca e identidad fuerte alrededor de su programa también.
“Todo se trata de alcanzar y darle atención a otras partes de la empresa tambiénâ€, señala Durbin. “Y la mejor parte es que la seguridad de la información está siendo implantada en departamentos a los que ahora llegaâ€.
Identifique e integre ‘campeones’ de seguridad a sus esfuerzos
Asà como con otros esfuerzos de cambio en la gestión; para tener éxito, necesita identificar una red de campeones del lado del negocio que le ayuden a introducir y sostener los comportamientos positivos. Entrénelos y prepárelos para cumplir su rol con confianza. Los lÃderes de negocio son una buena opción para realizar esto, pero Durbin señala que puede llevarlo incluso más lejos. Como ejemplo habla de un banco que dispersó a sus equipos de seguridad de la información entre sus unidades de negocio.
“El lado positivo de esto es que la gente de negocios habla más con ellosâ€, indica. “Desde la perspectiva de la seguridad de la información, están viendo cómo los usuarios avanzan con las realización de sus trabajos de forma permanente, para que asà puedan proporcionar un conocimiento sobre la seguridad de la información que se relaciona y es directamente relevante con lo que la gente está haciendo en esos momentosâ€.
Mantenga a las personas como responsables de las conductas de seguridad
Finalmente, necesita mantener a las personas como responsables de sus propias conductas de seguridad. Eso significa premiar los buenos comportamientos y abordar constructivamente los malos e inaceptables -de la misma manera en que lo harÃa con cualquier otro desempeño deficiente.
“Todo se trata de tener coherenciaâ€, afirma Durbin. “Debe tratar de acabar de una vez por todas con la ignorancia en torno a todo esto. Todo esto se trata, básicamente, de entender cómo es que se ve el buen comportamiento de seguridad de la información. Si va a, deliberadamente, romper las reglas en lugar de cometer un error, hay graves consecuencias y éstas están establecidas en nuestras polÃticas de Recursos Humanos. Pero si alguien comete un error, querrá que salga adelante y siga trabajando. Es de vital importancia que cree un ambiente positivo donde la gente entienda que a veces eso pasa o suele pasarâ€.
Thor Olavsrud, CIO (EE.UU.)
