Explicar la parte técnica de la seguridad es fácil para muchos de nosotros. Pero las habilidades blandas necesarias para cambiar el comportamiento a menudo están tristemente ausentes.
Ya tengo tiempo sin escribir y como dicen por allí «para que te llegue la musa, te tiene que encontrar trabajando», aunque me cuesta el tema de la escritura, el hábito que no dejo atras es el de la lectura, constantemente estoy leyendo sobre la materia de este blog y constantemente estoy encontrando contenido que creo necesario para compartir con la comunidad, entonces, les prometo que artúculo que encuentro que pudiera ser de interes para nosotros, lo compartiré, muchas veces agregaré mis comentarios, impresiones y ediciones, como siempre, espero por sus opiniones.
Más del 80% de los profesionales de la concienciación sobre seguridad tienen experiencia en seguridad de la información o en tecnología de la información, según el Informe de concienciación sobre seguridad 2016 de SANS. Menos del 15% tiene experiencia en habilidades sociales como la capacitación, el mercadeo o las comunicaciones. La parte técnica de la conciencia viene naturalmente, no tanto el lado más suave del cambio de comportamiento.
Es una de las razones por las que hay una batalla cuesta arriba cuando se trata de crear programas integrales de concientización. Debido a que los profesionales de la ciberseguridad, incluidos los líderes de concientización, están fuertemente impregnados de habilidades técnicas, entienden qué comportamientos necesitan ser cambiados, pero se quedan cortos en cómo intentan cambiar esos comportamientos.
Las habilidades sociales necesarias para cambiar el comportamiento y transmitir mensajes clave son fundamentales para el éxito de un programa de concientización, comenzando con la obtención de apoyo a nivel ejecutivo y terminando con la eliminación de las aburridas presentaciones de PowerPoint en favor de una historia personal para involucrar mejor a los empleados. Para ayudar a los funcionarios de concientización a abordar este tema, he reunido las tres C de éxito del programa de concientización sobre seguridad: comunicación, colaboración y cultura.
Comunicación
En última instancia, la concientización tiene que ver con la comunicación efectiva. En primer lugar, tenemos que implicar a las personas y explicarles por qué deberían preocuparse por la ciberseguridad. Luego, necesitamos comunicarles lo que necesitamos que hagan en términos simples y asegurarnos de que la gente pueda exhibir esos comportamientos. Demasiados profesionales de la concientización han sido plagados con la maldición del conocimiento – la condición que sucede cuando los expertos saben algo tan bien que son terribles en comunicarlo precisamente porque son expertos.
Actúa: Combate la maldición del conocimiento a cada paso y dedica un porcentaje de tu tiempo a mejorar la forma en que comunicas los mensajes clave de concientización. Un buen lugar para empezar es hablar con su departamento de comunicaciones y leer el libro Made to Stick de Chip y Dan Heath. (Ya estoy buscando estos libros para leerlos 🙂 )
Colaboración
La conciencia de seguridad afecta a todos en la organización, por lo que lo que comunicas y cómo se comunica con las diversas partes interesadas es fundamental para obtener apoyo, aceptación y cambio de comportamiento. Además, establecer un programa sólido requiere un gran número de habilidades diferentes y coordinación con diferentes departamentos. Por esa razón, necesitarás tener la capacidad de asociarte con varios individuos y departamentos a través de su organización. Los ejemplos incluyen trabajar con comunicaciones para ayudar a involucrar a los empleados, recursos humanos para entender mejor a sus grupos objetivo, departamentos legales y de auditoría para asegurar que su programa cumpla con las normas. Cuantas más personas se asocien contigo, mayores serán tus probabilidades de éxito.
Actúa: Crea una junta consultiva compuesta por personas de varios departamentos que puedan ayudarte a construir, mantener y medir su programa de concientización desde el principio. Explora la posibilidad de poner en marcha un programa de embajadores (empleados voluntarios que ayudan a promover la ciberseguridad) que no sólo pueda ampliar sus recursos, sino también crear conciencia en toda la organización.
Cultura
La cultura va más allá del comportamiento justo e incluye las percepciones, actitudes y creencias que la gente tiene hacia la ciberseguridad. La cultura, y el proceso de incorporar la emoción, puede ser un desafío para que los técnicos lo capten. Tu cultura actual juega un papel clave en la forma en que te comunicas y colaboras en tu organización y, en última instancia, en el éxito del cambio de comportamiento.
Las culturas salientes, como las que se encuentran en las empresas de tecnología, a menudo prefieren el contenido humorístico que pueden ver y consumir según su propio horario, mientras que las culturas conservadoras, como las de seguros, finanzas y gobierno, a menudo prefieren el contenido y el material más discreto o “profesional” que la gente puede leer o que se puede entregar durante las horas de oficina.
Actúa: Estudia tu cultura para entender los valores y creencias organizacionales que informarán la planificación de tu programa de concientización. Habla con las personas de tu departamento de RR.HH.; a menudo tienen la mejor comprensión de la cultura de la organización y de cómo esto puede afectar el programa de concientización.
En última instancia, su organización necesita aprovechar tanto las habilidades técnicas como las habilidades suaves y centradas en el ser humano para crear un programa de concientización maduro. La mayoría de los profesionales de la seguridad ya entienden los problemas técnicos. Pero al abordar las 3 C’s de la conciencia, ya sea desarrollando sus propias habilidades o trayendo a otros que tienen esas habilidades, avanzarás mucho hacia el cambio de comportamiento y la cultura de su organización.
Artículo completo en darkreading.com
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
