Consejos para crear un programa de concientización de seguridad informática para tu empresa.

0
293

Una de las piezas claves de cualquier estrategia de ciber seguridad empresarial es crear una cultura de seguridad informática dentro de la empresa.   No importa cuanto inviertas en plataformas de seguridad informática, cuantas evaluaciones o pruebas de penetración realices, si tus empleados son los que le darán clic a ese archivo que pueda comprometer toda tu red, de nada sirve todo ese esfuerzo. La cultura de seguridad informática es uno de los mecanismos más importantes para influenciar el comportamiento de los empleados. Desgraciadamente en México y en el resto del mundo tiende a ser un aspecto al cual pocas organizaciones le ponen atención.  El día de hoy te daremos algunos consejos para que puedas implementar un programa de concientización de seguridad informática en tu empresa.

  • Obtén el apoyo de la alta dirección: Sin lugar a duda, el primer paso es obtener el apoyo del presidente o director general de tu empresa.  Todos y cada uno de los empleados de tu organización deben participar en este programa, especialmente los puestos gerenciales o directivos ya que son ellos quienes generalmente manejan la información más sensible de tu organización.   La alta dirección debe estar consciente de las implicaciones para la empresa si esta fuera victima de un ciberataque.
  • Crea contenido acorde a los perfiles:  Aunque la cultura de seguridad informática debe tocar todos los niveles de la organización, cada nivel debe entender el impacto que tiene su rol dentro de la organización.   Se debe crear material o contenido tanto para ejecutivos como personal operativo y sobre todo se debe hacer especial énfasis en aquellos roles que tienen un mayor contacto con el exterior ( por ejemplo atención a cliente o el departamento de compras).
  • Asóciate con departamentos clave: Los programas de concientización más exitosos son aquellos que logran el apoyo de otros departamentos clave dentro de la organización, por ejemplo los departamentos de recursos humanos, el área legal e incluso el área de comunicación y mercadotecnia. Con frecuencia, estos departamentos pueden hacer que los esfuerzos de concientización de seguridad sean obligatorios. Para obtener este apoyo, es posible que tengas que incorporar las necesidades de los departamentos que te están apoyando.
  • Usa los canales adecuados: Dependiendo de la cultura de tu organización, utiliza los canales que puedan tener un mayor impacto para transmitir tu mensaje. Para algunas empresas puede ser el boletín mensual, las reuniones semanales por departamento o cualquier otro medio de comunicación adecuado para la empresa. Usa el canal que mejor impacto tenga dependiendo del nivel organizacional donde te encuentres.  Ubica dentro de tu equipo de trabajo a un vocero que pueda ayudarte con estas tareas.
  • Piensa en un programa a mediano o largo plazo: Cambiar o influir en la cultura organizacional no es una tarea fácil  y difícilmente veremos resultados a corto plazo. No se trata de hacer una única campaña en una semana en particular del año sino más bien debes realizar pequeñas campañas a lo largo de todo el año.  Busca diferentes formas de presentar
  • Incentiva la participación: Crea un programa que incentive la participación de todos los empleados en este programa. Por ejemplo, de algún modo puedes recompensar a las personas por informar posibles incidentes de seguridad, dichos incidentes pueden incluir informar sobre mensajes de phishing o simplemente dar algún reconocimiento a aquella persona que ayude a difundir nuestro mensaje.
  • Mide el impacto de la campaña: Uno de los factores claves dentro del programa es demostrar que estamos influyendo en la cultura organizacional.  Sin establecer una línea base es difícil demostrar que los esfuerzos han tenido éxito. Se puede examinar la cantidad de incidentes relacionados con la seguridad informática reportados en la mesa de ayuda, la cantidad de incidentes relacionados con virus entre muchas otras cosas.

Estas son tan solo algunas ideas para iniciar tu programa de concientización de seguridad informática. Recuerda, no hay tecnologías que compensen una cultura de seguridad deficiente.  Los programas de concientización, cuando se ejecutan adecuadamente, proporcionan grandes beneficios para las empresas.