Cómo lograr que los empleados se preocupen por la seguridad


¿Quiere un programa de concientización sobre seguridad que se adhiera? Hágalo divertido y individual, y ofrezca almuerzo free of charge.

(Imagen: mamypuk a través de Adobe Stock)

(Imagen: mamypuk a través de Adobe Inventory)

CONFERENCIA RSA 2021: si usted es un líder de seguridad que busca mejorar la postura defensiva de su organización, pídale a su jefe de recursos humanos que tome un café. Funcionó para Steve Luczynski.

Steve Luczynski, actualmente líder del Grupo de Trabajo COVID en la Agencia de Seguridad de Infraestructura y Ciberseguridad, contó la historia de cómo una charla de café llevó a una conciencia de seguridad notablemente mejorada cuando period un nuevo CISO que trabajaba para un empleador anterior, una empresa a la que se refiere. como «bien establecido» pero con una seguridad aceptable. Aún quedaba mucho trabajo por hacer.

«Lo que no se desarrolló completamente fue un programa de seguridad», dice. «La gente no entendía su papel y la importancia que desempeñaban».

Su mandato era implementar un programa de seguridad mejorado, y rápidamente. Luczynski pronto comenzó a conversar con Valerie Utsey, actualmente directora de recursos humanos de T-Rex Options, y ella sugirió formas en las que podría introducir la cultura en su programa. Si bien ya había agregado algunos cambios de conciencia de seguridad, como capacitación mensual en lugar de anual, Utsey vio margen de mejora

«Muchos empleados seguían respondiendo de la misma manera que siempre lo hacen con algo que les quita tiempo a las tareas diarias», dice. «Pensé que Steve podría aprender de mi experiencia en el desarrollo de la cultura corporativa».

En su sesión en RSA, titulada «Colaboración con RR.HH. para construir una cultura de ciberseguridad», Luczynski y Utsey explicaron cómo trabajaron juntos para hacer que la seguridad sea más personal y significativa para los empleados. El objetivo era trasladar la capacitación y la concientización sobre seguridad de un proceso a una parte integrada de la cultura corporativa diaria, una tarea que Utsey consideró que solo se podía lograr mediante la colaboración.

«Tenía una cosa pesada e inestable que estaba tratando de mover por su cuenta», dice ella. «Independientemente del tamaño de la empresa, busque personas con las que pueda asociarse para promover su causa».

Algunas de las nuevas iniciativas implementadas por los dos incluyeron hacer que los empleados comenzaran con la seguridad desde el principio de la incorporación. En lugar de un video y una prueba de entrenamiento de seguridad forzados de 60 minutos, Utsey comenzó a invitar a Luczynski para hablar con los nuevos empleados en persona durante la orientación. Los dos también comenzaron a asociarse en el almuerzo y también aprendieron eventos de seguridad. Si bien el almuerzo free of charge nunca está de más, Utsey dice que es el ambiente divertido y las competencias amistosas lo que mantiene a los empleados comprometidos, interesados ​​y motivados para aprender.

La recompensa fue mensurable. La empresa vio, por ejemplo, que las tasas de clics de suplantación de identidad iban del 30% a menos del 3%, y se mantuvo así. Luczynski también señala que descubrió que los empleados cumplían con tomar su capacitación mensualmente y que los infractores reincidentes, aquellos empleados que habían hecho clic repetidamente en enlaces incorrectos en el pasado, mejoraron y ya no cayeron en la trampa del phishing.

Los empleados son su mejor activo en seguridad
Otra sesión en la pista del Elemento Humano en la Conferencia RSA de este año se hace eco de muchas de las lecciones de Utsey y Luczynski. Es decir, la capacitación en seguridad debe ser frecuente, particular, interesante y atractiva, y se necesita tiempo para lograr todas esas cosas en un programa de concientización. Los grandes niveles de conciencia no sucederán de la noche a la mañana.

En «Aprovechamiento de los datos de riesgo humano para fortalecer la resiliencia cibernética», los oradores Masha Sedova, cofundadora de Elevate Protection, y Michelle Valdez, directora de seguridad de la información de OneMain Financial, discutieron la transformación en OMF a un estilo de conciencia de seguridad de cambio a la izquierda y una estrategia basic que Valdez describe como «defender hacia adelante».

«Si invierte en educar a sus empleados y se toma el tiempo para enseñarles sobre buenas decisiones de seguridad, comienza a ver un valor agregado», dice Valdez. «Ahora estamos empezando a dedicar más tiempo a afinar y hacer herramientas para poder defendernos hacia adelante y menos tiempo limpiando».

Valdez dice que la forma de defender hacia adelante se basa en múltiples componentes que tienen como objetivo ponerse al frente de la cadena de eventos que ocurren cuando un empleado toma una mala decisión de seguridad. Ellos son:

  • Comprenda su riesgo humano a nivel personal y organizativo. ¿Qué buenas y malas decisiones de seguridad están tomando sus empleados?
  • Para áreas de fortaleza: Refuerce y destaque el buen desempeño para crear una cultura de seguridad positiva.
  • Para áreas de mejora: proporcionó orientación personalizada sobre lo que los empleados deben hacer mejor y por qué.
  • Controles ajustados y herramientas de seguridad basadas en áreas individuales de riesgo.

«Tómese el tiempo para comprender el riesgo que los empleados están introduciendo en su entorno, tanto a nivel person como a nivel de equipo».

Valdez dice que los líderes de seguridad de la información pueden enfocar sus esfuerzos en recompensar el buen comportamiento y corregir el mal comportamiento con capacitación específica. El objetivo es ser la palabra clave, ya que la presentación también sugirió recopilar datos que desglosen el comportamiento de riesgo por departamento y ofrecer capacitación específica para cada equipo si es necesario.

Si no se trata, los empleados seguirán siendo lo que la charla denominó «arena movediza» en la defensa de la seguridad. Cuando se les proporciona una formación personal y adecuada, pueden ser el mayor activo del equipo de seguridad en defensa.

«Esta es una de las áreas más críticas para innovar en seguridad hoy», dice Sedova.

Si bien muchos líderes de seguridad pueden sentir que los empleados son el mayor riesgo para una organización, Valdez aconseja cambiar ese guión. «Si se toma el tiempo para ayudarlos a comprender cuál es su función para ayudar a proteger la empresa y cómo todo lo que hacen a diario puede marcar la diferencia, eso puede transformar una empresa para que tenga una fuerza laboral fuerte y ciberresiliente».

Joan Goodchild es una periodista, editora y escritora veterana que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On the internet. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first