Laurie-Anne Bourdain nos ha explicado los 8 pasos fundamentales para crear un programa de concienciación en seguridad
Laurie-Anne Bourdain, Data Protection Officer en Isabel Group, en su presentación “Security awareness: planning and delivering a successful program” en el marco del congreso ISACA 22 al que Silicon ha tenido el placer de acudir en Roma, ha expuesto la realidad de que los humanos suponen el factor más débil en la seguridad de la información.
Bourdain explica que a través de la construcción de la conciencia en seguridad, los distintos equipos que forman una compañía de IT serán capaces de detectar y responder apropiadamente a las amenazas. También señala que debería ser una de la prioridades de cualquier CISO,DPO y el conjunto las empresas.
Pero la formación de los empelados en conciencia en seguridad es a menudo relegados a la última posición en la lista de tareas por parte del equipos de seguridad, ya sea por considerarlo una pérdida de tiempo, o bien por falta de habilidades, recursos y motivación.
Para afrontar estas adversidades, Bourdain identifica tres objetivos para la formación de los empleados: Identificar las vulnerabilidades humanas en la organización; Priorizar las necesidades de conciencia y formación; y asegurarse de que ambas sean realizadas de una forma eficiente.
Bourdain afirma rotundamente que sí, ya que los humanos no disponemos de softwares para implantarlos al igual que hace un ordenador, la concienciación en seguridad es necesaria para el buen desarrollo de cualquier empresa, teniendo siempre presente la formación en protección de datos de los empleados..
“Depende” ha contestado Bourdain a su propia pregunta. Laurie ha querido dejar claro que la eficiencia de la concienciación en seguridad depende de muchos factores, entre los que resalta la falta de apoyo y la dificultad para encontrar sponsors para los programas. Además, también nos ha querido aconsejar que “no se debe caer en los ejercicios de “marcar la casilla” pues no resultan nada efectivos”. Para que las plantillas sean eficientes en conciencia de seguridad debe formar a la gente en buenas conductas.
Para realizar una formación en conciencia de seguridad es necesario, ante todo, saber quién va a recibir dicha formación. No es posible formar de la misma manera sobre seguridad de datos a un desarrollador DevOps que a un Licenciado en Marketing. Por lo que Bourdain aconseja conocer bien las necesidades de la plantilla y adaptar el lenguaje de las formaciones al nivel de sus conocimientos.
Aún que el nivel de los conocimientos de la plantilla sobre seguridad sean ínfimos, se debe realizar un listado con términos y campos tan variados como Malware, Randsomware, Phisihng o Desarrollo de código seguro, para que la formación alcance de forma transversal a la plantilla. De forma que, con la formación estás rellenando esa falta de información, que debe ser explicada en su modo de uso y mediante la repetición periódica de los mensajes que queremos transmitir. de esta forma también podremos proveer de conocimientos sobre cómo actuar en caso de alerta.
La motivación siempre es un tema delicado dentro de las empresas. Saber qué le importa y qué beneficios le aporta al empleado supone una ventaja. ¿Cómo motivamos a nuestros equipos? Para ello, Bourdain señala que debemos deshacernos de distracciones y emplear imágenes grandes que porten el mensaje que queremos hacer recalar en la conciencia de seguridad. Por otro lado, Laurie también advierte que la motivación a través de incentivos y recompensas no es del todo aconsejable. Como humanos que somos, somos animales de costumbres. Es habitual encontrar casos en que los empleados se resisten al cambio.
En cuanto a la forma de dirigirnos a los empleados debemos preguntarnos ¿Qué es lo que los empleados no entienden como yo? Para ello, Bourdain recomienda realizar test de comunicación, apoyarse en expertos de comunicación y creer en el mensaje que queremos transmitir a la plantilla. “Simplificar el mensaje y conseguir un feedback de tu plantilla resulta de gran utilidad”.
Por último, Laurie ha querdido centrarse en el entorno de trabajo y para ello ha planteado la siguiente pregunta: “¿Que no son capaces de hacer mis empleados?”. Con esta pregunta resalta lo amenudo que serealizan procesos inadecuados o que los recursos o la tecnología no estén disponibles en un momento determinado. Como solución a esta situación propone eliminar los impedimentos y proveer de herramientas, recursos y orientación a los trabajadores.
Para concluir, Bourdain nos ha dejado una serie de consejos. Como prioridad establece evitar una comunicación incómoda, sobretodo con las distintas sensibilidades acerca de la diversidad y promover la adaptación de los empleados a la cultura de la empresa.
Todas las pautas descritas anteriormente deberán ser mezcladas para crear un buen plan de concienciación en la seguridad. Una vez que esté esté creado, solo falta tomar las decisiones.
El acuerdo entre HCLTech y CrowdStrike amplía a nuevos mercados el alcance de la plataforma…
La industria manufacturera prevé incrementos de hasta el 52 % en términos de productividad gracias…
Refuerza así su presencia de Kirey Group en el mercado español, donde ya se había…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Deloitte creará Centros de Excelencia de AWS en distintas partes del mundo, incluyendo el África…
Introduce mejoras en Cortex XSIAM y ofrece capacidades de detección y respuesta de forma nativa…