Introducción
A la hora de conquistar el apoyo de la alta dirección para concretar un programa de concientización, es imprescindible contar con algunas herramientas que permitan exhibir los beneficios de las acciones. En este sentido, los casos de negocio constituyen documentos que demuestran de manera clara y concisa cómo la implementación de planes de concientización se alinea con los intereses organizacionales.
Antes de comenzar
Los altos directivos de las organizaciones poseen determinados intereses, tanto personales como laborales. De manera ideal, debemos reunirnos individualmente con cada uno de ellos para conocer, mediante una charla o entrevista, cuáles son sus objetivos dentro de la organización y qué beneficios esperan obtener del área de seguridad de la información.
En algunos casos, la tarea puede resultar sencilla. En otros, tendremos que guiar las conversaciones para que los directivos puedan visualizar cómo las áreas bajo su responsabilidad podrían prosperar si los usuarios se comportaran de manera segura y sus hábitos estuvieran alineados con las políticas y los procedimientos internos de la organización.
A posteriori, debemos enumerar los beneficios y objetivos resultantes de la charla, sin tecnicismos y de manera clara, porque se convertirán en los pilares de nuestro programa de concientización.
Contenido del caso de negocio
Si bien no existe una estructura, formato o estándar para redactar un caso de negocio, podemos mencionar una serie de elementos que deben presentarse:
Objetivos
Enumerar los objetivos del programa de concientización. Establecer conexiones claras con:
- los objetivos estratégicos de la compañía
- los objetivos y beneficios personales y laborales de los altos directivos
Esto nos permitirá dar forma al programa como piedra angular de los intereses de la dirección.
Escenarios
Enumerar una serie de escenarios importantes para la organización y mencionar cómo podrían verse afectados por un incidente de seguridad. Enfatizar en la manera en que la concientización puede disminuir el riesgo de ocurrencia de cada incidente.
Métricas
Definir cómo se medirá el éxito relativo del programa.
Las métricas pueden ser específicas y directamente relacionadas con las acciones de concientización, midiendo los cambios específicos en el conocimiento y comportamiento de las personas.
Por otro lado, y de manera más general, se pueden tomar métricas centradas en cuestiones de cambio cultural. Esta medición es sutil, y se pueden utilizar ciertos indicadores de actitudes y tendencias culturales cambiantes, tales como:
- Número de empleados que han participado en actividades de concientización, en comparación con el número total de empleados
- Incidentes de seguridad reportados por empleados que han completado el programa de concientización
- Solicitudes de materiales o actividades de formación por parte de gerentes y colaboradores.
- Resultados de encuestas que demuestren actitudes positivas del personal hacia las acciones llevadas adelante por el área de IT para proteger la Información de la organización. Por ejemplo, valoraciones sobre cursos, materiales informativos, prácticas, etc. Para este punto, será fundamental confeccionar preguntas precisas que apunten a demostrar información concreta.
En el caso de iniciar un programa de concientización, esta evaluación previa servirá para establecer una línea base que se podrá utilizar más adelante para evaluar el progreso.
Recursos
Identificar la inversión inicial, es decir, qué recursos serán necesarios para llevar adelante el lanzamiento del programa de concientización.
No es necesario detallar todos los recursos que se precisarán durante el programa completo, ya que la concientización apunta a ser un proceso de mejora continua.
Responsable de concientización y comité de supervisión
Designar a un miembro de la organización como responsable del programa de concientización. Idealmente, debe ser una persona con habilidades de gestión de proyectos.
Además, proponer el ensamble de un comité de supervisión, que represente a las diversas partes interesadas de la organización, para facilitar la comunicación del responsable de concientización con el resto de la organización.
Definir, dentro del caso de negocio, los mecanismos por los cuales el responsable del programa informará al comité de supervisión, especificando el formato, contenido y la frecuencia de los informes de progreso.
Ideas finales
El modo de presentación de un caso de negocio dependerá de cada organización. En general, se recomienda utilizar lenguaje sencillo sin tecnicismos, frases claras sin ambigüedades y mantener el artefacto lo más breve posible. Para su constitución, además, deben participar la mayor cantidad posible de stakeholders clave para el programa.
Próximamente, publicaremos un nuevo artículo en nuestro blog con un caso de negocio de ejemplo, a los fines de contribuir en esta tarea indispensable de alcanzar el respaldo gerencial.
Deja un comentario