6 consejos para mejorar la imagen del área de Seguridad de la Información

6 consejos para mejorar la imagen del área de Seguridad de la Información

Hace unos meses lanzamos una serie de encuestas en Twitter bajo el hashtag #MejoraTuImagenCISO, con el objetivo de conocer qué piensan los usuarios sobre el área de seguridad de la información de sus organizaciones.

A partir del análisis de las respuestas, concluimos que es momento de encarar acciones adecuadas que apunten a mejorar la imagen del área de forma efectiva, las cuales listamos a continuación:

1. Envía comunicaciones regulares

Las comunicaciones periódicas mantienen alertas a los usuarios y generan un sentimiento de pertenencia con la organización. Las áreas de Marketing y Comunicaciones Internas son pilares fundamentales para cumplir esta tarea: solicita soporte para redactar los mensajes, adecuar el diseño y hacer el envío a los usuarios en el mejor momento.

Ten en cuenta que los mensajes deben ser sencillos y atractivos, porque las personas que los reciben están realizando sus tareas laborales y quizás solo disponen de minutos. Incluir videos cortos o contenidos interactivos favorecen la atención.

2. Brinda herramientas y conocimientos

Cada vez que envíes comunicaciones a los usuarios, entrégales valor. Bríndales herramientas y conocimientos para mejorar su seguridad tanto en su vida laboral como en su vida privada y en familia. Así, te asegurarás su interés.

Apunta a cambiar los comportamientos frente a situaciones sospechosas y generar hábitos seguros. Los usuarios deben reconocer el peligro y evitarlo.

Explica cómo se presentan los ciberataques, aconseja qué medidas de seguridad se pueden tomar en la oficina y en el hogar, informa acerca de qué temas hablar con los menores y los peligros a los que se exponen, etc.

3. Recuerda las políticas

Es aconsejable recordar y explicar a los usuarios todos los acuerdos que alguna vez firmaron, como políticas de seguridad, contratos de confidencialidad, tratamiento de datos personales, acciones de monitoreo laboral. Cada cierto tiempo, envía emails evocando citas de los documentos, postea recomendaciones en la intranet, crea inforgrafías y cuélgalas en la cartelera, etc.

Los contenidos deben ser cortos y simples, en pequeñas píldoras, para facilitar la asimilación de las ideas de forma rápida.

4. Explica los motivos

Entender los motivos de los controles técnicos que se implementan en la organización es fundamental para que los usuarios estén dispuestos a aceptarlos y tengan una buena imagen de ellos.

Para generar el compromiso de las personas con la seguridad de la información, brinda ejemplos de cómo las medidas técnicas ayudan en su labor diaria y cómo les permiten realizar su trabajo con mayor tranquilidad. Envía newsletters explicando cómo una pequeña acción inoportuna puede favorecer un delito informático y de qué manera puede perjudicarlo: fuga de datos, pérdida de dinero, exposición de la intimidad, etc.

5. Incentiva a tus usuarios

Está comprobado que las técnicas de enseñanza-aprendizaje basadas en las mecánicas de los juegos consiguen mejores resultados en la transmisión de conocimientos y generación de hábitos. Los premios, las compensaciones, las puntuaciones, los desafíos y las misiones son algunos de las métodos que motivan a los usuarios.

Crea tus propias reglas, promueve la competencia sana y ofrece premios para las personas que se destaquen durante las campañas.

6. Implementa un plan de concienciación

Un plan de concienciación y capacitación, implementado correctamente, permitiría cumplir todos los puntos anteriormente mencionados en forma integral. Con la herramienta adecuada, esta tarea podría desarrollarse de manera simple y con poco esfuerzo. (Visita el sitio web de SMARTFENSE para conocer sus beneficios).

Conclusiones

Como responsables de seguridad, es muy común que nos sintamos poco comprendidos dentro de nuestra organización. Incluso, podemos pensar que las personas no valoran nuestro trabajo.

Posiblemente el problema sea que no estamos incluyendo a las mismas en nuestra estrategia de seguridad. Seguramente realizamos nuestro trabajo de forma impecable, desarrollando políticas, aplicando controles, elaborando procesos, etc.

Sin embargo, olvidamos que la seguridad de la información no es nuestra responsabilidad exclusiva sino que es una cuestión de educación y una responsabilidad de todos, en la organización y fuera de ella.

Para conseguir la atención de los usuarios, ganar su confianza y generar hábitos seguros en el manejo de la información es fundamental transmitir ideas claras, concisas y concretas, y generar un vínculo diario y comprometido con ellos. Las comunicaciones son entonces, uno de los recursos más valiosos para el área de Seguridad.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario