Desarrollar e implementar una cultura de seguridad al interior de nuestra organización es una de las metas más difíciles de cumplir. La aplicación y asimilación requiere de plazos largos de tiempo y una serie de acciones continuas. Además, no se trata de instalar aplicaciones o infraestructura, sino de informar y crear nuevos hábitos en el personal, lo que requiere reiterados y variados esfuerzos.
Muchos de los empleados de una empresa perciben las medidas y procesos de seguridad como obstáculos o complicaciones para cumplir con sus tareas diarias. Por esta razón, incumplen con los reglamentos y realizan prácticas riesgosas para la organización.
Es necesario cambiar la visión que existe sobre los protocolos de seguridad mediante acciones que nos permitan crear una cultura de la seguridad dentro de nuestra organización.
Aun cuando los delitos cibernéticos se han multiplicado en los últimos años, muchas empresas no toman en serio estas amenazas y sus acciones se limitan a implementar y sostener medidas insuficientes. No se preocupan por prevenir y eliminar vulnerabilidades.
Este problema se debe en gran parte a que las acciones de ciberseguridad no otorgan un retorno de la inversión de forma directa. Sin embargo, las pérdidas multimillonarias que han sufrido organizaciones de todo el mundo a causa de ciberataques, ponen en evidencia la necesidad y conveniencia financiera de establecer medidas de seguridad informática.
Uno de los eslabones más débiles en la cadena de seguridad es el personal de todas las áreas. Muchos de los colaboradores de una empresa desconocen que realizan prácticas riesgosas e ignoran los problemas que puede ocasionar incumplir con los reglamentos de seguridad. La falta de conciencia y cultura de la seguridad genera problemas como:
El esquema de ciberseguridad no está completo si todo el personal de la empresa no está consciente y convencido de realizar prácticas seguras. Este objetivo no se alcanza solo con brindar cursos a las áreas de TI o crear un reglamento sin difusión.
Las acciones aisladas tienen poco efecto y, si están más enfocadas en imponer una normatividad más que en convencer y crear hábitos de trabajo seguro, generan rechazo entre los colaboradores de la organización.
Existen muchos métodos para concientizar y educar al personal.
Puedes implementar cursos de capacitación, carteles, contenido multimedia para informar sobre el manejo seguro de la información. Es importante formar al personal en esta materia. Esto incluye toda la información: datos de facturación, tarifas, cartera de clientes, procesos, proveedores, contratos, etc.
No todo el personal necesita el mismo tipo de formación. Es prioritario dar atención a las áreas que gestionan los servidores y redes de comunicación de la empresa. Por el nivel de sus operaciones, necesitan conocimientos más amplios y detallados. Diferente es el caso de usuarios que solo tienen acceso a una pequeña parte de la información corporativa, por ejemplo, proveedores externos.
Esto no significa que solo el personal técnico sea parte de un programa de capacitación. Aunque aún existen empresas que solo toman en cuenta al personal de TI, es necesario involucrar a todas aquellas personas que intervienen en los procesos de la organización. La finalidad es crear una cultura de seguridad que fortalezca y haga crecer a la empresa.
Imponer políticas de seguridad como acción única de concientización no dará buenos resultados. Como ya lo mencionamos, esto solo genera una visión negativa de las medidas de manejo seguro de la información entre el personal.
Definir políticas de seguridad y crear reglamentos es necesario para promover las buenas prácticas, pero deben estar acompañadas de un programa integral de concientización. Debes explicar la importancia de cambiar los hábitos laborales y convencer al personal de que las normativas benefician y protegen a toda la organización.
El reglamento debe ser minucioso y considerar las condiciones de todas las áreas de la organización. Incluye prácticas seguras para gestionar información, uso de dispositivos en la empresa, lista de prohibiciones, mecanismos de contingencia, uso de dispositivos personales, resguardo de contraseñas, etc.
Crear hábitos más seguros requiere de mucho tiempo. Es natural que algunos colaboradores se resisten al cambio o no cumplan con todas las normas. Por ello es necesario realizar monitoreo constante tanto para supervisar que el programa vaya por buen camino, como que el personal de la empresa muestre una mejoría en la asimilación de los nuevos hábitos.
También podrás identificar conflictos en el programa de concientización y mejorar los métodos de enseñanza.
La mayoría de las organizaciones no cuentan con recursos suficientes para diseñar e implementar un programa de concientización en ciberseguridad.
La ayuda de un experto es vital para crear una cultura de hábitos seguros en el personal.
Data Warden brinda herramientas de consultoría para elaborar una campaña permanente enfocada en las necesidades específicas de tu negocio.
