Cómo estimular los programas de capacitación en concientización sobre seguridad de las organizaciones

Cómo estimular los programas de capacitación en concientización sobre seguridad de las organizaciones

Todos sabemos lo importante que es la formación en conciencia de seguridad para una organización. Además, tratamos de mejorar nuestros esfuerzos integrando la seguridad en la “cultura” de la organización. Sin embargo, desde la perspectiva del empleado, todo se vuelve muy obsoleto. Parece que siempre es el mismo mensaje, pero si ese es el caso, ¿por qué no se ha adoptado este conocimiento en la conciencia corporativa? Tal vez sea nuestro enfoque. Le pedimos a un panel de expertos algunas ideas sobre cómo estimular y fortalecer la capacitación en concientización sobre seguridad en una organización. Aquí están sus pensamientos:

Gary Hibberd

En términos de rejuvenecer un programa de concientización sobre seguridad, tomo varios enfoques. En primer lugar, le pido que recuerde que está tratando con personas, ya las personas no les gusta que les hablen mal. ¡Tampoco generalmente les gusta aburrirse! No importa si está hablando con el jefe global del negocio o con el nuevo pasante que recién comienza. Ellos son personas. Personas con esperanzas y sueños, miedos e incertidumbres. Cuando esté armando su programa de seguridad, primero debe tratar de entender a las personas así como a la organización. Después de todo, no puedes proteger lo que no entiendes.

Comprenda dónde están los datos y cuáles son los puntos de contacto para ese flujo de datos: técnicos, físicos y humanos. Hable con el jefe de TI, Recursos Humanos, Operaciones, Marketing, Ventas y Finanzas para comprender cómo se sienten acerca de la seguridad de la información. Pregúnteles qué es lo que más les preocupa de la seguridad de la información. Pregúnteles qué ha funcionado anteriormente para crear conciencia sobre otros temas (como H&S).

Pregúnteles qué les resultaría más útil en términos de seguridad de la información. En ese momento, puede comenzar a ver dónde están algunos de los problemas y también si pueden existir posibles puntos únicos de falla o ‘bloqueadores’. Desde aquí puede comenzar a construir su programa de seguridad de la información desde un lugar de conocimiento y comprensión. Primero, busca comprender, luego ser comprendido.

Pero para ser entendido, debe hacer que su mensaje sea memorable, así que sea creativo y piense en su tema desde el punto de vista del consumidor (es decir, su organización). Quiere que compren su mensaje, así que sea claro sobre cuál es ese mensaje. Además, esté dispuesto a ser audaz y hacer algo diferente. Acérquese a la seguridad de la información como un narrador y cree algo emocionante en lo que participar. Es posible. Lo sé porque lo he visto y lo he hecho.

Jessica Barker

Conozco a muchas personas que han experimentado el desafío de actualizar un programa de concientización sobre seguridad. Lo importante es saber dónde estás. Si desea avanzar en el lado humano de la seguridad en su organización, debe saber a qué se enfrenta. Para mí, se trata de entender realmente la cultura existente de la organización. ¿Qué tipo de cultura tienes en general? ¿Qué tipo de cultura de seguridad desea promover y desarrollar? Para lograr eso, estás buscando valores y comportamientos. Está viendo el liderazgo sénior y todos estos factores diferentes. Solo cuando sepa a lo que se enfrenta podrá hacer un plan para seguir adelante.

A menudo, cuando planea avanzar, busca un punto específico que desea alcanzar con la cultura de seguridad. ¿Asi que que hacemos? ¿Qué comportamientos reflejarían realmente esa cultura? Si queremos llegar a esos comportamientos, ¿qué concienciación tenemos que hacer para influir positivamente en esos comportamientos? Para eso, está buscando una combinación de adónde quiere llegar, dónde se encuentra ahora y qué tipo de amenazas enfrenta que son más importantes. No puede abordarlos todos a la vez, pero el mejor enfoque es elegir los que son más relevantes para su organización, aquellos en los que desea ver el mayor progreso, y comenzar con ese enfoque.

Mauricio Uenuma

Si bien esta no es una idea nueva, sigue siendo muy importante centrarse en la cultura de seguridad porque las personas siguen siendo la mayor superficie de ataque y la superficie de ataque más vulnerable en cualquier organización. Entonces, la capacitación, la educación, la concientización y la cultura van a ser importantes. Ser capaz de proteger los entornos virtualizados y en contenedores en el futuro, la integridad de los sistemas críticos y comprender el estado y los cambios que ocurren en esos sistemas críticos también son muy importantes. Finalmente, también se debe abordar la ciberseguridad del sistema de control.

Tanya Janca

Siempre me concentro en la seguridad de las aplicaciones y la seguridad del software porque ese es mi enfoque. Toda empresa que fabrica software personalizado necesita un programa de seguridad de aplicaciones. Eso es lo que enseño en el Academia WeHackPurple. Simplemente hablar con los desarrolladores y descubrir cómo es el ciclo de vida de desarrollo de su sistema también es vital. Preguntas como «¿Estás haciendo ágil?» «¿Estás haciendo DevOps?» Y luego descubrir dónde puede entretejer la seguridad con la menor cantidad de fricción. Siempre hay lugares donde puedes dejar pequeñas cosas y ayudar a mejorar la seguridad. Instruya a sus desarrolladores mostrándoles ejemplos como lo que sucedió con el evento SolarWinds y luego mostrándoles cómo podrían evitarlo en este entorno.

Creo firmemente en apoyar a los desarrolladores y crear software seguro en lugar de entrar y golpearlos con palos. Le diría a cualquier empresa: «Si tiene un montón de desarrolladores de software a su cargo, entonces también debe tener un programa para respaldarlos y asegurarse de que creen un software más seguro». A veces, no tiene por qué ser caro. Depende del nivel en el que estés.

Fareedah Shaheed

En términos de lo que hago con la conciencia de seguridad, recomendaría comprometerse con las personas a las que está tratando de educar. A menudo, tenemos esta opinión de que los humanos son el eslabón más débil, por lo que ponemos un programa de concientización sobre seguridad en una computadora para enseñar capacitación sobre concientización sobre seguridad, pero en realidad no estamos interactuando con el público objetivo. Tienes al consumidor que va a consumir el producto, pero si no sabes qué o cómo se comunica el consumidor, cuáles son sus luchas o qué implica su comprensión sobre la seguridad y la protección, lo pierdes.

La mejor manera es realizar algunas sesiones de preguntas y respuestas, así como realizar una encuesta. Además, visite diferentes departamentos para ver con qué están luchando y cuál es su lenguaje de comunicación. Tenga diferentes maneras de hacerlo. La capacitación en seguridad podría ser un proceso anual, pero podría tener diferentes eventos, diferentes juegos y diferentes formas de comunicarles la seguridad de una manera que los involucre.

A veces, siento que creamos cosas, pero en realidad no nos damos cuenta de la audiencia con la que estamos hablando, lo que resuena con ellos. Concéntrese menos en lo que se supone que debe hacer y concéntrese en el objetivo final. Y luego, examine cómo puede llegar a ese ángulo, incluso si es algo poco convencional, para recalcar un punto. Vemos que algunas plataformas de seguridad y capacitaciones de concientización sobre seguridad hacen eso, pero es posible perfeccionarlo realmente, darse cuenta de que está bien «soltar» y permitir que la seguridad sea algo que combine educación y entretenimiento.

Un toque personal en materia de formación de conciencia de seguridad

Muchas veces, la falla de los programas de concientización sobre seguridad no es el mensaje sino el medio. La mayoría de nuestros expertos expresan que una conexión interpersonal puede marcar la diferencia, elevando los mensajes de seguridad a menudo estereotipados a niveles nuevos y más efectivos. Incluso si su empresa es una empresa global, hay una manera de hacer que todos y cada uno de los empleados sientan que son parte del proceso hacia un enfoque de seguridad unificado.

Publicaciones Similares