Para construir una cultura de ciberseguridad positiva, los líderes de seguridad necesitarán ejecutar ciertas estrategias clave y mejores prácticas, dice el director ejecutivo de la ISF. Steve Durbin
La cultura es un catalizador para el éxito en materia de seguridad. Puede reducir significativamente los riesgos de ciberseguridad y aumentar la resiliencia de la ciberseguridad de cualquier organización. La cultura también puede mejorar en gran medida el valor percibido, la relevancia y la reputación de la función de ciberseguridad. Entonces, ¿cómo pueden los líderes de seguridad desarrollar una marca y una cultura positivas para la ciberseguridad? A lo largo de este artículo, expongo algunas estrategias y recomendaciones que ayudarán a garantizar que exista una cultura de ciberseguridad.
Comprender la cultura y el contexto predominantes.
Para comprender por qué la fuerza laboral se comporta de cierta manera con respecto a la tecnología y la seguridad, es importante comprender el contexto cultural predominante. Por ejemplo, cualquier diferencia cultural regional, el sector industrial particular, la estructura subyacente de la empresa, la falta de conciencia y conocimiento de las normas de seguridad y las prioridades comerciales en conflicto pueden influir en cualquier cambio planificado en la cultura del equipo y los comportamientos de seguridad.
Establecer el tono adecuado para que la cultura se desarrolle
Tradicionalmente, la función de seguridad ha sido percibida como el departamento del “no”. Por lo tanto, el objetivo principal del equipo de seguridad debe ser reemplazar esta percepción autocrática, inflexible y sujeta a reglas de la función de seguridad por una que sea abierta, transparente, positiva, creativa y colaborativa. Haga un cambio de decir “No” a “Sí, permítame explicarle cómo hacer esto de una manera más segura”. Haga promesas, no amenazas.
Establecer metas y aspiraciones claras
Como parte del plan de diseño para el cambio de la cultura de seguridad, el líder de seguridad debe establecer aspiraciones claras sobre lo que el equipo está tratando de lograr, respaldadas por conversaciones sobre cómo la cultura subraya la eficacia del equipo y la importancia de realizar el cambio. Se debe dar al equipo un sentido claro de propósito; claridad sobre por qué están aquí, qué deben hacer y cómo deben comportarse y ser percibidos.
Explora nuevas ideas y enfoques innovadores
Los líderes de ciberseguridad deben alentar a sus equipos a explorar nuevos enfoques e ideas; estar menos obligados por convenciones, protocolos y precedentes históricos, poniendo la necesidad organizacional por encima de sus propias agendas personales en aras de construir relaciones efectivas que impulsen el valor comercial. Piense y actúe de manera positiva y estratégica, demostrando formas en que la seguridad puede respaldar la estrategia, aumentar los ingresos y mantener la rentabilidad.
Concéntrate en tu esfera de influencia
Si bien la capacidad del líder de seguridad para cambiar la cultura organizacional puede ser limitada (ciertamente en el corto plazo), hay mucho que ganar cambiando la propia cultura del equipo y demostrando los beneficios de dicho cambio. Empiece por centrar los esfuerzos donde la influencia personal sea mayor. Si el cambio es efectivo, esos efectos se notarán y otros podrán comenzar a replicar y seguir el ejemplo.
Aprovechar los principios de la marca para el cambio cultural
Una cultura positiva se comunica mejor en toda la empresa mediante la aplicación de una marca sólida, y esto debería ser un punto focal para cualquier estrategia de cambio cultural. En otras palabras, piense y actúe como un especialista en marketing: haga algunos análisis de audiencia, comunique conceptos de seguridad en un lenguaje que su audiencia entienda; haga que la ciberseguridad sea más identificable, involucre a los usuarios y promueva programas de seguridad utilizando mensajes de marketing, campañas y personas influyentes, tal como lo haría con un producto o servicio.
Aprenda a caminar en los zapatos de la empresa
Tenga curiosidad por los negocios y haga preguntas indagatorias sobre lo que la empresa o el empleado está tratando de lograr. Tener una mentalidad de crecimiento, incluido el apoyo activo y la alineación de las estrategias de ciberseguridad con la causa empresarial. Planifique e implemente estrategias de seguridad en conjunto con los empleados y las partes interesadas, ya que esto se manifiesta como un comportamiento consultivo, abriendo puertas a conversaciones potencialmente más constructivas y valiosas.
Perfeccionar las habilidades sociales
Cambiar el estilo y el enfoque personal (como ser un oyente activo, aumentar la inteligencia emocional y ser más transparente) puede alterar las percepciones de los empleados y construir relaciones más confiables, productivas y cooperativas. Practicar el arte de contar historias, simplificar el lenguaje y crear narrativas que resuenen en la audiencia puede ayudar a los equipos de seguridad a conectarse con los empleados a un nivel más emocional y humano.
Justificar los cambios de seguridad de manera efectiva
Es importante recordar que la seguridad añade fricción por diseño. Si no fuera necesario utilizar tarjetas de acceso para ingresar a una oficina o credenciales para iniciar sesión en una estación de trabajo, los empleados podrían acceder a los datos más rápidamente, pero también podrían hacerlo todos los demás. Si bien esto parece un argumento sencillo, es fácil olvidar la importancia de la comunicación y la explicación. Los líderes de seguridad deben garantizar que haya una explicación clara y concisa de por qué se propone cualquier cambio y que los empleados tengan la oportunidad de hacer preguntas y recibir respuestas satisfactorias. Esto fomenta una cultura de confianza y transparencia.
Adoptar un lenguaje de riesgo en lugar de seguridad
El lenguaje del riesgo puede ser más identificable que el lenguaje de la seguridad. Esto se debe a que el riesgo tiene que ver con el negocio y generalmente se entiende como un concepto. La conversación puede girar más hacia un lenguaje de seguridad cuando la parte interesada esté preparada, en lugar de ser una conversación forzada.
El factor humano es el mayor contribuyente al riesgo cibernético y probablemente también el más difícil de controlar, mitigar o domesticar. Las tecnologías y los controles de seguridad son definitivamente importantes pero, sobre todo, la cultura es esa pieza faltante o subrepresentada en la que los líderes de seguridad deben comenzar a centrarse activamente. Trate a los empleados como si tuvieran influencia y la tendrán.
Sobre el autor
Steve Durbin es director ejecutivo del Information Security Forum (ISF), una asociación independiente dedicada a investigar, aclarar y resolver cuestiones clave en seguridad de la información y gestión de riesgos mediante el desarrollo de metodologías, procesos y soluciones de mejores prácticas que satisfagan las necesidades comerciales de sus miembros. La membresía de la ISF comprende Fortune 500 y Forbes 2000.
Más información
www.forodeseguridad.org
[email protected]
www.linkedin.com/in/stevedurbin