¿Cómo concienciar a los empleados en la seguridad de datos?
Laurie-Anne Bourdain nos ha explicado los 8 pasos fundamentales para crear un programa de concienciación en seguridad durante su charla en el congreso ISACA 22 en Roma.
Laurie-Anne Bourdain, Data Protection Officer en Isabel Group, en su presentación “Security awareness: planning and delivering a successful program” en el marco del congreso ISACA 22 al que Silicon ha tenido el placer de acudir en Roma, ha expuesto la realidad de que los humanos suponen el factor más débil en la seguridad de la información.
Bourdain explica que a través de la construcción de la conciencia en seguridad, los distintos equipos que forman una compañía de IT serán capaces de detectar y responder apropiadamente a las amenazas. También señala que debería ser una de la prioridades de cualquier CISO,DPO y el conjunto las empresas.
Pero la formación de los empelados en conciencia en seguridad es a menudo relegados a la última posición en la lista de tareas por parte del equipos de seguridad, ya sea por considerarlo una pérdida de tiempo, o bien por falta de habilidades, recursos y motivación.
Para afrontar estas adversidades, Bourdain identifica tres objetivos para la formación de los empleados: Identificar las vulnerabilidades humanas en la organización; Priorizar las necesidades de conciencia y formación; y asegurarse de que ambas sean realizadas de una forma eficiente.
¿Es necesaria la conciencia?
Bourdain afirma rotundamente que sí, ya que los humanos no disponemos de softwares para implantarlos al igual que hace un ordenador, la concienciación en seguridad es necesaria para el buen desarrollo de cualquier empresa, teniendo siempre presente la formación en protección de datos de los empleados..
¿Es eficiente la conciencia?
“Depende” ha contestado Bourdain a su propia pregunta. Laurie ha querido dejar claro que la eficiencia de la concienciación en seguridad depende de muchos factores, entre los que resalta la falta de apoyo y la dificultad para encontrar sponsors para los programas. Además, también nos ha querido aconsejar que “no se debe caer en los ejercicios de “marcar la casilla” pues no resultan nada efectivos”. Para que las plantillas sean eficientes en conciencia de seguridad debe formar a la gente en buenas conductas.
La formación previa de los empleados
Para realizar una formación en conciencia de seguridad es necesario, ante todo, saber quién va a recibir dicha formación. No es posible formar de la misma manera sobre seguridad de datos a un desarrollador DevOps que a un Licenciado en Marketing. Por lo que Bourdain aconseja conocer bien las necesidades de la plantilla y adaptar el lenguaje de las formaciones al nivel de sus conocimientos.
Aún que el nivel de los conocimientos de la plantilla sobre seguridad sean ínfimos, se debe realizar un listado con términos y campos tan variados como Malware, Randsomware, Phisihng o Desarrollo de código seguro, para que la formación alcance de forma transversal a la plantilla. De forma que, con la formación estás rellenando esa falta de información, que debe ser explicada en su modo de uso y mediante la repetición periódica de los mensajes que queremos transmitir. de esta forma también podremos proveer de conocimientos sobre cómo actuar en caso de alerta.
Motivación y Comunicación
La motivación siempre es un tema delicado dentro de las empresas. Saber qué le importa y qué beneficios le aporta al empleado supone una ventaja. ¿Cómo motivamos a nuestros equipos? Para ello, Bourdain señala que debemos deshacernos de distracciones y emplear imágenes grandes que porten el mensaje que queremos hacer recalar en la conciencia de seguridad. Por otro lado, Laurie también advierte que la motivación a través de incentivos y recompensas no es del todo aconsejable. Como humanos que somos, somos animales de costumbres. Es habitual encontrar casos en que los empleados se resisten al cambio.
En cuanto a la forma de dirigirnos a los empleados debemos preguntarnos ¿Qué es lo que los empleados no entienden como yo? Para ello, Bourdain recomienda realizar test de comunicación, apoyarse en expertos de comunicación y creer en el mensaje que queremos transmitir a la plantilla. “Simplificar el mensaje y conseguir un feedback de tu plantilla resulta de gran utilidad”.
Entorno de trabajo
Por último, Laurie ha querdido centrarse en el entorno de trabajo y para ello ha planteado la siguiente pregunta: “¿Que no son capaces de hacer mis empleados?”. Con esta pregunta resalta lo amenudo que serealizan procesos inadecuados o que los recursos o la tecnología no estén disponibles en un momento determinado. Como solución a esta situación propone eliminar los impedimentos y proveer de herramientas, recursos y orientación a los trabajadores.
Para concluir, Bourdain nos ha dejado una serie de consejos. Como prioridad establece evitar una comunicación incómoda, sobretodo con las distintas sensibilidades acerca de la diversidad y promover la adaptación de los empleados a la cultura de la empresa.
Todas las pautas descritas anteriormente deberán ser mezcladas para crear un buen plan de concienciación en la seguridad. Una vez que esté esté creado, solo falta tomar las decisiones.