Cómo la organización necesita capacitar a sus colaboradores en ciberseguridad

Las encuestas seguramente mostrarán que los trabajadores siguen violando las políticas de seguridad para seguir siendo productivos.

Las amenazas de información modernas vienen en muchas formas: de los hackers que buscan robar propiedad intelectual a los empleados inconscientes que no saben que están poniendo los datos en riesgo.

Cierto, los seres humanos somos el eslabón más débil –hasta que los hacemos un activo fuerte.

[Sin duda] la empresa capacita a sus colaboradores de acuerdo con su política de seguridad para inculcarles el papel crítico que desempeñan en mantener su lugar de trabajo seguro mediante una vigilancia más estrecha para proteger contraseñas personales y datos confidenciales, y en reconocer las amenazas (¿ransomware por ejemplo?).

Toquemos el punto de la capacitación y preguntémonos:

  • ¿cómo realizamos estas capacitaciones? Por ejemplo, en línea o presencial, otras formas
  • ¿en dónde realizamos estas capacitaciones? Por ejemplo, en un local especialmente acondicionado (interno o interno a la organización), en la oficina del jefe inmediato, en el módulo de trabajo del colaborador al cual reemplazará o con el cual trabajará, otros
  • ¿en qué oportunidades realizamos esta capacitación? Por ejemplo, el primer día/semana/mes de labores, tan pronto o luego que el colaborador ha ingresado, o antes que el colaborador se integre formalmente a la empresa, agrupamos los colaboradores ingresantes en un periodo determinado, una vez al año, por pedido expreso, por necesidad evidente [una re-capacitación por ‘afianzamiento’ tal vez], otras opciones
  • ¿cuál es el propósito de la capacitación? Por ejemplo, una inducción, la que esperamos no sea sólo de seguridad ocupacional, difundir la política institucional, difundir la política de seguridad, aclarar el acuerdo de confidencialidad que el colaborador firmará al ingresar a laborar y que le será recordado por el área competente al retirarse de la empresa, otros
  • ¿mantenemos un registro de las capacitaciones realizadas? Por ejemplo, en archivo texto, hoja de cálculo, archivos personales, base de datos, otros, y consideramos también las evaluaciones de entrada y de salida, tanto de colaboradores como de capacitadores
  • ¿cómo aseguramos la asistencia? Por ejemplo, por disposición normativa, coordinación con el jefe inmediato, obligación contractual, amenaza a la continuidad laboral por incumplimiento, otros
  • ¿cómo controlamos la asistencia y entrega/accedo al material correspondiente? Por ejemplo, identificación de la computadora desde donde realizamos la capacitación [dirección IP, nombre de máquina], identificación del usuario que ingresa al módulo en línea de capacitación, presencial con un supervisor, listado actualizado de participantes, otros
  • ¿mantenemos un historial de estas capacitaciones por cada colaborador? Por ejemplo, para emplearlas como insumo de la evaluación semestral o anual
  • ¿de qué manera aseguramos el resultado esperado –y continuo- de esta capacitación? Por ejemplo, evaluaciones inopinadas periódicas con registro de resultados en el archivo personal, resultados tangibles [objetivos] de labores realizadas registrados en el archivo personal, otros
  • ¿por qué realizamos estas capacitaciones? Por ejemplo, por mero cumplimiento normativo, porque así lo pidió el jefe [actual], o porque la empresa realmente ha interiorizado la necesidad, entre otros
  • Seguramente tenemos algunas otras inquietudes. Compártanlas por favor, en beneficio de todos.

Démonos cuenta [si aún no lo hemos hecho] de que la seguridad es un facilitador.

Crear una cultura de seguridad en una empresa puede ser complicado. En la organización la cultura implica una balanceada intersección entre personas y organización –es lo que hace únicas a las empresas, afecta la forma en que implementamos las cosas y lo que tiene sentido en el ecosistema de la organización.

En este ecosistema, los profesionales de la seguridad de la información debemos darnos cuenta que hemos evolucionado de siempre ser vistos como meramente tecnólogos, a gente de proceso, a ser verdaderamente un socio comercial y profesional de negocios -me incluyo ¿te incluyes?

En aras de afianzar esta cultura de ciberseguridad, por ejemplo, nada como ser transparente en qué estamos haciendo y cómo lo estamos haciendo los profesionales de la seguridad de la información, y explicarlo en el lenguaje del negocio -¿de qué manera lo haces tú?

Pero, también es obvio que la organización debe evolucionar, debe buscar un equilibrio entre proteger los datos y capacitar a los colaboradores para que sean productivos (no olvidemos la triada procesos-personas-tecnología), incorporando los altos ejecutivos del negocio en este esfuerzo de capacitación para que entiendan a cabalidad [y con esfuerzo y tiempo, también interioricen que no es sólo responsabilidad del departamento de TI] los requerimientos y necesidades de ciberseguridad [algo que ya no se puede ignorar].

La organización busca protegerse contra el mal comportamiento del usuario final, amenazas de día cero, sitios Web comprometidos y hacks entre equipos de escritorio y entre equipos de escritorio y servidores, seguramente empleará para esto alguna herramienta especializada (¿secure desktop as a serviceSDaaS?).

Bastante se ha hablado también que no es una cuestión de si vamos a ser atacados [o que vaya a violar nuestra seguridad], es una cuestión de cuándo esto ocurrirá, y que debemos estar preparados.

El problema seguramente es cómo lograr que tanto la organización como los colaboradores interioricen esta necesidad y objetivo –de manera continua porque, recordemos que la seguridad es un proceso, no un producto.

¿Cómo pueden las compañías asegurarse de que sus políticas y procesos de seguridad estén al día con las amenazas modernas? Una política de seguridad clara y bien entendida sería un inicio. Una sensibilización y formación [en contraposición (o complemento tal vez) a una capacitación] apropiadas, seguidas de las auditorias correspondientes, serian también aconsejables. El tipo de sensibilización [compromiso e interiorización posterior] que logremos en estos programas de formación es la clave. Enfrentamos entonces el cómo, cuándo, con qué, quién, para qué, formamos y hay un desafío en el contenido y orientación de la formación.

Como estado, es evidente que hay bastante más que hacer. Los esfuerzos de PCM-ONGEI podrían no ser suficientes y están lejos de ser completos.

En el ámbito educativo, algunas universidades contemplan carreras de ingeniería que incluyen cursos de ciberseguridad en su currículo, y otras ofrecen carreras especificas relacionadas con la seguridad informática; sin embargo, este interés en la seguridad de la información se centra aún –erróneamente- en carreras de ingeniería relacionadas con las tecnologías de la información.

Las certificaciones ayudan, pero, a pesar que hay un gran número de ellas, podrían no ser suficientes [en el tiempo] o apropiadas [orientación, alcance] para todo tipo de organización [deberemos tener en cuenta sus prioridades, objetivos y metas estratégicas, sus impulsores de valor].

One comment on “Cómo la organización necesita capacitar a sus colaboradores en ciberseguridad

  1. Pingback: 22 maneras de lograr reuniones más productivas -y seguras | El techblog de JAGI S.A.C.

¿Me comentas?