Editorial

Cuatro formas de construir una cultura de seguridad

Cuando entrenar y probar no son prácticas suficientes, mire a fondo y cambie la cultura.


Por David Billeter, Director de Seguridad de la Información de CA Technologies.

Ninguna empresa quiere aparecer como la próxima víctima de violación de datos en la primera página del The New York Times. Pero cuando se detectó una suplantación de identidad en el 90% de los incidentes y violaciones examinados en el Informe de Investigaciones de Violación de Datos de Verizon 2017, algunos CISOs irguieron las manos en señal de desesperación por la derrota. ¿Cómo usted puede detener un error humano? ¿Cuál es el entrenamiento necesario? Tal vez el planteo a largo plazo debería ser: “¿Tenemos una cultura de seguridad?”

Una seguridad exitosa no sólo debe incorporarse en el software y en los sistemas y procesos, sino también ser parte de una organización y de cómo su gente piensa, crea y se conecta. Y, aunque suene crítico, ya no basta simplemente con entrenar a los nuevos empleados. En CA, llevamos esta creencia en el corazón.

4 formas de incluir una cultura centrada en la seguridad:

1. Construya su cambio de cultura en una base sólida
El paso más importante que las empresas deben tomar es construir su cambio cultural sobre bases sólidas de buenas políticas. Estas deben ser políticas de seguridad personalizadas para que usted realmente quiera que la gente las ponga en práctica y no queden sólo en el papel.

Las políticas necesitan ser escritas y entregadas de una forma realista para que las personas lean y entiendan, y también como una referencia rápida en cualquier situación. Estas políticas son críticas no sólo para garantizar que su empresa esté protegida, sino también en la construcción de la confianza entre sus clientes y aliados.

En CA, hemos creado cinco documentos de políticas cortos y enfocados sobre diferentes aspectos de la seguridad de la información. Nos hemos basado en el NIST Cybersecurity Framework y hemos utilizado las funciones de seguridad de la información enumeradas en el cuadro como base para cada documento.

2. Asegúrese de que todas las personas están en la misma página
Después de tener esas políticas en vigor, usted necesita compartirlas con toda la empresa. Descubra que su equipo de marketing y comunicación puede ser de gran ayuda para encontrar maneras creativas de difundir las nuevas políticas de seguridad. Desgraciadamente, muchas empresas tienen una sola persona en el departamento que lidera esos esfuerzos — eso tiene que cambiar.

Muchos de los entrenamientos de hoy se centran en la memorización temporal de un pequeño conjunto de actividades. Vamos a hacer que sea divertido.

En CA, utilizamos juegos de entrenamiento, involucrando a ponentes invitados y boletines periódicos repletos de las mejores prácticas a fin de contribuir a que el aprendizaje sobre seguridad de la información más interesante, y reducir el potencial de complacencia entre los empleados. También hacemos pruebas extensivas. Y si hay repetidas fallas en las pruebas, exigimos un entrenamiento adicional. Finalmente, para ayudar a combatir los ataques de suplantación de identidad, hemos comenzado a incluir una notificación de que los correos electrónicos proceden de fuentes fuera de la empresa.

3. Llévelo a casa
Una de las mejores cosas que un equipo de seguridad corporativa puede hacer para mejorar la cultura de la seguridad, es proporcionar herramientas para que la gente las utilice no sólo en la oficina, sino también en el hogar. Con nuestra fuerza de trabajo móvil, proporcionar herramientas de seguridad mientras están en movimiento o incluir consejos para proteger las actividades domésticas en el boletín de seguridad, amplía el mensaje y puede ayudar a hacer algunos de los mayores progresos en la construcción de buenos hábitos de seguridad.

4. Prestación de Cuentas de punta a punta
El liderazgo de una empresa necesita estar listo para hacer backup del equipo de seguridad cuando hay violaciones de políticas. En el entorno sofisticado de las amenazas de hoy, usted puede esperar que alguien viole el cumplimiento de las políticas de seguridad de la empresa, intencionalmente o no.

Los líderes deben formar parte de la cultura de seguridad, y necesitan ser especialmente cuidadosos en las políticas de la empresa. Sus acciones en esta área serán observadas de cerca y, si los ejecutivos demuestran que no consideran las políticas de seguridad de la empresa importantes, pocos de sus empleados lo considerarán.

Una cultura de seguridad debe ser no sólo sobre política, sino también sobre acción. En CA, estamos empeñados en crear seguridad en todo lo que hacemos, desde el desarrollo de un software y soluciones hasta la contratación y promoción de nuestros empleados. Esperamos que usted se una a nosotros en esta jornada.

About the author

Katherine Garzón

Add Comment

Click here to post a comment