Ciberseguridad: no culpe a los empleados, haga que se sientan parte de la solución


Los científicos encuentran que culpar a los empleados es contraproducente y sugieren crear un entorno seguro para que las personas admitan sus errores y aprendan de ellos. Una empresa ya lo pone en práctica.

Un cerebro protegido por las manos

Imagen: SvetaZi / Shutterstock

El mistake humano no desaparecerá pronto, por lo que debemos superar el juego de la culpa y descubrir cómo detener a los ciberdelincuentes. Afortunadamente, varios científicos del comportamiento están trabajando arduamente para lograr esto, incluida Amy C. Edmondson, profesora de Novartis de liderazgo y administración en la Escuela de Negocios de Harvard.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Edmondson, quien estudia liderazgo, trabajo en equipo y aprendizaje organizacional, dijo en el artículo Seguridad psicológica y seguridad de la información por Tom Geraghty, que cree que la falta de seguridad psicológica da como resultado una «cultura de la culpa». Edmondson acuñó la seguridad psicológica y la outline como: «Cuando la culpa no se reparte, sino que cada error se trata como una oportunidad de aprendizaje, los errores en última instancia mejoran el desempeño al brindar oportunidades para encontrar las causas sistémicas del fracaso e implementar medidas de mejora».

Edmondson explicó cómo llegó a esa conclusión en su artículo. Seguridad psicológica y comportamiento de aprendizaje en equipos de trabajo. Durante su investigación para el informe, Edmondson notó que aunque algunos equipos cometieron más errores, al remaining, estaban en un mejor lugar mentalmente. Edmondson concluyó que la razón era la voluntad de esos equipos de reconocer sus errores, donde otros equipos no lo estaban.

Esa notion llevó a Edmondson a comprender la importancia de hacer del lugar de trabajo un refugio seguro psicológica y físicamente. Los empleados no deben ser menospreciados ni castigados por ningún motivo.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

«La cultura organizacional y la seguridad psicológica son fundamentales no solo para prevenir brechas en la seguridad de la información, sino para garantizar que nos ocupamos de las fallas de tal manera que podamos aprender de ellas», explicó Geraghty. «Si queremos aprender de los errores, y si queremos que la gente exprese sus errores o preocupaciones, debemos facilitar una cultura psicológicamente segura en la que las personas se sientan empoderadas y seguras para plantear preocupaciones, preguntas y errores».

Geraghty sugirió que se deben fomentar los siguientes comportamientos básicos:

  • Trate todo como una oportunidad de aprendizaje: cada incidente, cada tarea, debe generar aprendizaje
  • Admita su falibilidad: si admite que no sabe algo o comete un mistake, también facilita que los demás lo admitan.
  • Modele la curiosidad y haga preguntas: al hacer preguntas a los demás, crea el espacio para que las personas hablen

Una empresa está utilizando este concepto en el mundo authentic.

No es frecuente que encontremos conceptos presentados en un artículo académico en el mundo actual. Mimecast, una empresa que proporciona servicios de ciberseguridad en la nube para correo electrónico, datos y world wide web, parece haber incorporado el concepto de seguridad psicológica de Edmondson en su mensaje a los clientes, en unique, cómo la conciencia de seguridad puede reducir el error humano y la necesidad de culpar a cualquiera.

Antes de llegar a los pasos que emplea Mimecast, podría ser beneficioso para todos, y divertido, ver la video corto que crearon sobre el error humano.

Mimecast ofreció sugerencias para que las organizaciones hicieran que sus empleados invirtieran en conciencia de seguridad en un comunicado de prensa.

Céntrese en áreas específicas de riesgo: La formación nunca debe ser genérica, sino adaptada a las necesidades de cada cliente con un enfoque en preocupaciones particulares relacionadas con la industria del cliente. «La principal preocupación de ciberseguridad de algunas industrias puede ser el cumplimiento lawful o de HIPAA para otra empresa, es posible que se hayan ocupado de ataques de malware dirigidos. Mantenga la capacitación conectada con las inquietudes más relevantes con las que se enfrentan los empleados».

Da ejemplos del mundo genuine: Los expertos de Mimecast descubrieron que muchos usuarios piensan que la capacitación en concientización sobre seguridad no es relevante no trabajan en TI ni manejan materiales legalmente sensibles. «Dar ejemplos prácticos y fáciles de identificar de cómo los ciberataques comunes, como las estafas de suplantación de identidad (phishing), pueden afectar a las personas en cualquier nivel de una organización, ayudará a mantener a los empleados conscientes de que su función marca la diferencia. Puede ser útil dar ejemplos de situaciones en las que un ciberataque puede tienen un impacto a nivel individual, como defraudar directamente a un empleado con el dinero «.

Manténlo corto y straightforward: El humor y la condescendencia están fuera, un guiño a la seguridad psicológica. Es probable que los empleados comprendan la importancia de la ciberseguridad asegúrese de que también se entienda el respeto por lo que hacen. «Brinde a los empleados la información más importante sobre cada tema en un formato fácilmente digerible que se sienta relevante para su trabajo. Al mantener la información lo más breve y easy posible, será mucho más fácil para los empleados prestarle toda su atención».

Sea transparente: Este paso también tiene que ver con la seguridad psicológica. Los empleados responderán si hay algún indicio de rastreo o espionaje de Gran Hermano. «Puede ayudar a comunicarse abiertamente sobre el propósito de cualquier nuevo program o herramienta de seguridad, y explicar que el computer software se utiliza para mantener segura la información de la empresa y del cliente y no para monitorear la productividad».

Permita que los empleados prueben fuera de la capacitación: Una vez más, la seguridad psicológica está en juego. «Las mejores herramientas de formación de concienciación sobre la seguridad darán a los empleados la capacidad de realizar pruebas fuera de (o en) formación». Al rastrear qué empleados fallan y cuáles responden adecuadamente, se hace evidente quién necesita más capacitación y quién no tiene que perder el tiempo aprendiendo lo que ya saben.

Si está cuestionando la importancia de la seguridad psicológica, no busque más allá de Google. La empresa hizo un estudio de dos años y llegó a la misma conclusión que Edmondson, incluso clasificando la seguridad psicológica como más crítica que la confiabilidad.

Ver también



Enlace a la noticia original