Cómo crear un programa de concientización de seguridad informática

Una de las piezas claves de cualquier estrategia de ciber seguridad empresarial es crear una cultura de seguridad informática dentro de la empresa. No importa cuánto inviertas en plataformas de seguridad informática, cuántas evaluaciones o pruebas de penetración realices; si tus empleados son los que le darán clic a ese archivo que pueda comprometer toda tu red, de nada sirve ese esfuerzo.

La cultura de seguridad informática es uno de los mecanismos más importantes para influenciar el comportamiento de los empleados. Desgraciadamente en México, y en el resto del mundo, tiende a ser un aspecto al que pocas organizaciones le ponen atención. El día de hoy te daré algunos consejos para que puedas implementar un programa de concientización de seguridad informática en tu empresa.

• Obtén el apoyo de la alta dirección: Sin lugar a dudas, el primer paso es obtener el apoyo del presidente o director general de tu empresa. Todos y cada uno de los empleados de tu organización deben participar en este programa, especialmente los puestos gerenciales o directivos, ya que son ellos quienes generalmente manejan la información más sensible de tu organización y cuentan con los privilegios más altos de acceso a la información. La alta dirección debe estar consciente de las implicaciones para la empresa si esta fuera víctima de un ciberataque.
• Crea contenido acorde a los perfiles Aunque la cultura de seguridad informática debe tocar todos los niveles de la organización, cada nivel debe entender el impacto que tiene su rol dentro de la misma. Se debe crear material o contenido tanto para ejecutivos como personal operativo, y, sobre todo, se debe hacer especial énfasis en aquellos roles que tienen un mayor contacto con el exterior; por ejemplo, atención al cliente o el departamento de compras.
• Asóciate con departamentos clave Los programas de concientización más exitosos son aquellos que logran el apoyo de otros departamentos clave dentro de la organización, por ejemplo, los departamentos de recursos humanos, el área legal e incluso, el área de comunicación y mercadotecnia. Con frecuencia, estos departamentos pueden hacer que los esfuerzos de concientización de seguridad sean obligatorios. Para obtener este apoyo, es posible que tengas que incorporar las necesidades de los departamentos que te están apoyando.
• Usa los canales adecuados: Dependiendo de la cultura de tu organización, utiliza los canales que puedan tener un mayor impacto para transmitir tu mensaje. Para algunas empresas puede ser el boletín mensual, las reuniones semanales por departamento o cualquier otro medio de comunicación adecuado para la empresa. Usa el canal que mejor impacto tenga dependiendo del nivel organizacional donde te encuentres, y ubica a un vocero que pueda ayudarte con estas tareas dentro de tu equipo de trabajo.
• Piensa en un programa a mediano o largo plazo Cambiar o influir en la cultura organizacional no es una tarea fácil y difícilmente veremos resultados a corto plazo. No se trata de hacer una única gran campaña en una fecha en particular del año, sino que debes reforzar con pequeñas campañas a lo largo de todo el año. Busca diferentes formas de presentarla, para no perder el interés del personal.
• Incentiva la participaciónCrea un programa que incentive la participación de todos los empleados. Por ejemplo, de algún modo puedes recompensar a las personas por informar posibles incidentes de seguridad, dichos incidentes pueden incluir informar sobre mensajes de phishing o simplemente dar algún reconocimiento a aquella persona que ayude a difundir el mensaje de prevención.
• Mide el impacto de la campaña: Uno de los factores claves dentro del programa es demostrar que estamos influyendo en la cultura organizacional. Sin establecer una línea base es difícil demostrar que los esfuerzos han tenido éxito. Se puede examinar la cantidad de incidentes relacionados con la seguridad informática reportados en la mesa de ayuda, la cantidad de incidentes relacionados con virus, entre muchas otras cosas.

Estas son tan solo algunas ideas para iniciar tu programa de concientización de seguridad informática. Recuerda, no hay tecnologías que compensen una cultura de seguridad deficiente. Los programas de concientización, cuando se ejecutan adecuadamente, proporcionan grandes beneficios para las empresas.