Cultura de Seguridad Informática

Puede ser difícil hacer de la seguridad un comportamiento permanente y predeterminado dentro de una empresa. La gestión para Crear una Cultura de Seguridad Informática organizacional es un tema poco común en la industria de la seguridad. A través de los cambios tecnológicos y la reingeniería, los efectos sobre las personas -y los efectos de las acciones de la gente- aún no están en la cabeza.

Muchas empresas han realizado campañas de comunicación con cierto éxito. La comunidad de usuarios de la generación milenaria es posiblemente más tecnológicamente astuta y consciente de la seguridad que nunca. Sin embargo, la adopción sigue siendo baja y el comportamiento de los usuarios sigue estando entre las principales causas de vulnerabilidades de seguridad.

Desafíos de la gestión del cambio organizacional

En la gestión típica del cambio organizacional -como con reestructuración, desinversiones o implementaciones en temas que afectan las seguridad- se espera resistencia. A menudo hay un apego emocional a la vieja manera de hacer las cosas y una cautela de cambio en general. Los empleados suelen experimentar desafíos como confusión, evitación, adopción lenta y frustración.

Dado que la seguridad suele afectar a la tecnología y los procesos, los usuarios necesitan recordatorios y repetición, especialmente para tareas y responsabilidades poco frecuentes. Los líderes de seguridad deben reforzar las mejores prácticas con frecuencia para alentar a los usuarios a crear nuevos comportamientos.

Enfoque holístico de la gestión del cambio

En lugar de tecnología y procesos, debemos centrarnos en nuestra gente comunicándonos y adoptando un enfoque holístico de la seguridad. Un modelo bien utilizado de este enfoque holístico muestra cómo la visión, las habilidades, los incentivos, los recursos y los planes de acción afectan el cambio organizacional.

Este modelo personalizado para la administración del cambio incluye los siguientes componentes:

La mentalidad es la comprensión de lo que es la seguridad, lo que hace para la organización y cómo afecta a los individuos, además de una dosis saludable de miedo, incertidumbre y duda. Sin esta claridad, los usuarios se quedan confundidos acerca de por qué la seguridad es tan importante y lo que el éxito parece.

Es necesario tener conocimiento a través del entrenamiento o la práctica para adoptar el cambio. Ausente las habilidades adecuadas, los empleados pueden estar ansiosos acerca de cómo hacer su trabajo y cómo adoptar el cambio.

Los recursos son los elementos de apoyo que proporcionan información y asistencia para que los usuarios no tengan que depender exclusivamente de la memoria.
Los planes de acción consisten en actividades definidas, calendario, dependencias y partes responsables para afectar el cambio. Un equipo que carece de un plan de acción puede experimentar arranques en falso y repetidos fracasos.

El liderazgo es lo que une estos conceptos con una voz coherente y una visión unificada. Eso no significa total control, más bien, como dice Jocko Willink “no hay malos equipos, sólo malos líderes”.

Definir el enfoque antes de los detalles

Es común que los comunicólogos planifiquen campañas de correo electrónico para anunciar los cambios. Sin embargo, no es el primer paso ni el mejor canal de comunicación. En su lugar, hay que comenzar por un enfoque estratégico.

Por ejemplo, las presentaciones verbales de alto contacto en pequeñas audiencias suelen ser efectivas para los ejecutivos en una cultura centrada en las ventas, pero no para los centros de llamadas con cientos de empleados. Del mismo modo, es difícil que sus empleados se sienten para ver un video de 30 minutos acerca de su nueva política de contraseñas.

Elaboración de un plan de gestión del cambio

Después de definir el enfoque estratégico, necesitamos una forma de planificar, monitorear y colaborar sistemáticamente entre el equipo. Esto requiere un plan concreto de gestión del cambio. Lo primero que debemos construir es una lista de partes interesadas – individuos o grupos de personas – y sus necesidades de comunicación.

Una vez que sepa quién es afectado y cómo prefiere recibir información, identifique la acción, el momento y las dependencias, los mensajes clave y los recursos.

Estas comunicaciones deberían ser recurrentes y continuamente mejoradas para apoyar el crecimiento de los empleados.

Poner el plan en acción

El liderazgo requerido para conducir actividades de gestión del cambio, debe manifestarse en todos los niveles del equipo de seguridad. Los cambios en la tecnología y el proceso que afectan a una comunidad de usuarios tan grande, requieren habilidades únicas para liderar.

Un programa de seguridad necesita una estructura, y este líder de comunicaciones debe ser incluido, por ello selecciona y asigna a esta persona cuidadosamente, porque mucha responsabilidad caerá sobre sus hombros.

Los profesionales de la seguridad pueden hacer cambios duraderos y aumentar la adopción y la conciencia en toda la empresa. Este tipo de inversión en empatía y comprensión va a fortalecer la cultura organizacional y reducir los riesgos generales de seguridad.

Academia códigoverde
Fuente: https://securityintelligence.com/creating-a-culture-of-security-through-change-management/


Share

Share This