Es increíble que a pesar de una enorme cantidad de fuentes de información disponible en internet para que la ciberseguridad sea una realidad en las empresas, nos hemos dado cuenta de que esto en realidad no funciona. Parecería ser que por más esfuerzos que se hagan, esto es muy poco posible de alcanzar.
Vamos a revisar algunas de las causas por las que tradicionalmente la ciberseguridad no cubre las expectativas que se esperan de ella en las empresas.
Primero. La conciencia de seguridad falla a pesar de la capacitación constante y simulaciones de phishing, lo que se debe a que los empleados priorizan otras tareas por encima de la seguridad. Los profesionales de ciberseguridad no son expertos en diseño, desarrollo o implementación de programas de capacitación, lo que puede llevarlos a un estado de incompetencia. La mayoría de las personas en ciberseguridad son expertas en computadoras, pero no en personas, y la capacitación efectiva requiere habilidades especializadas en diseño y administración.
Segundo. A pesar de los esfuerzos por alinear la seguridad con el negocio, el equipo de seguridad a menudo se mantiene aislado de la empresa debido a una tensión fundacional entre la necesidad de seguridad y la necesidad de agilidad y flexibilidad. Esta tensión genera una actitud condescendiente y paternalista hacia los empleados, lo que a su vez hace que no creamos en su capacidad de ser competentes en seguridad. Por lo tanto, no nos comprometemos a permitir que los empleados se vuelvan competentes en seguridad, y el entrenamiento no superará este tipo de alienación social. Este problema aparece en nuestro lenguaje y actitudes hacia los empleados. Necesitamos superar esta tensión fundamental para crear un entorno en el que los empleados puedan adquirir y aplicar habilidades de seguridad efectivas.
Tercero. En la industria de la seguridad cibernética, las políticas y regulaciones establecen la frecuencia de las intervenciones de capacitación, pero no se enfocan en la adquisición de habilidades medibles por parte de los empleados. Esto es un problema porque la capacitación no se valora como una solución para mejorar el comportamiento en seguridad. Debe haber un enfoque en la medición y mejora del comportamiento sin especificar cómo se logra este cambio. En lugar de establecer políticas que requieran una cierta cantidad de capacitaciones por año, se debe buscar un enfoque más efectivo y medible para mejorar el comportamiento en seguridad
Cuarto. Aunque la seguridad es crucial para las empresas, la mayoría de los gerentes no asumen la responsabilidad del comportamiento de seguridad de sus equipos, procesos de trabajo e infraestructura. En su lugar, se espera que el equipo de seguridad se encargue de estos asuntos, lo que lleva a conflictos y a que los empleados no presten atención a la capacitación de concientización sobre seguridad. Los gerentes prefieren asignar esta responsabilidad al equipo de seguridad, a pesar de que es nominalmente su responsabilidad. Los empleados están más enfocados en cumplir con sus objetivos personales de desempeño y, por lo tanto, no prestan atención a las métricas de seguridad. Si bien la capacitación en seguridad se ofrece, los empleados rara vez la internalizan, especialmente si los mensajes de la capacitación entran en conflicto con sus objetivos personales.
Es fundamental enfocarse en la creación de una cultura de seguridad en toda la empresa, además de abordar los problemas específicos que obstaculizan la conciencia de seguridad. Sin embargo, aunque la cultura de seguridad es importante, no puede solucionar por sí sola las relaciones disfuncionales entre el equipo de seguridad y la empresa. Es necesario que el equipo de seguridad cambie su actitud y comportamiento y que el equipo de gestión ejecutiva apoye y defienda este cambio para lograr un cambio cultural sostenible. Si la seguridad es realmente importante para la empresa, los gerentes y empleados deberían integrarla en sus métricas de desempeño.
Compártenos tus comentarios con la experiencia que hayas tenido en la implementación de este concepto en tu empresa porque con esto, tú y yo ayudamos a las empresas a maximizar su éxito mediante la transformación digital.
Cómo hacer que la seguridad cibernética funcione
Es increíble que a pesar de una enorme cantidad de fuentes de información disponible en internet para que la ciberseguridad sea una realidad en las empresas, nos hemos dado cuenta de que esto en realidad no funciona. Parecería ser que por más esfuerzos que se hagan, esto es muy poco posible de alcanzar.
Vamos a revisar algunas de las causas por las que tradicionalmente la ciberseguridad no cubre las expectativas que se esperan de ella en las empresas.
Primero. La conciencia de seguridad falla a pesar de la capacitación constante y simulaciones de phishing, lo que se debe a que los empleados priorizan otras tareas por encima de la seguridad. Los profesionales de ciberseguridad no son expertos en diseño, desarrollo o implementación de programas de capacitación, lo que puede llevarlos a un estado de incompetencia. La mayoría de las personas en ciberseguridad son expertas en computadoras, pero no en personas, y la capacitación efectiva requiere habilidades especializadas en diseño y administración.
Segundo. A pesar de los esfuerzos por alinear la seguridad con el negocio, el equipo de seguridad a menudo se mantiene aislado de la empresa debido a una tensión fundacional entre la necesidad de seguridad y la necesidad de agilidad y flexibilidad. Esta tensión genera una actitud condescendiente y paternalista hacia los empleados, lo que a su vez hace que no creamos en su capacidad de ser competentes en seguridad. Por lo tanto, no nos comprometemos a permitir que los empleados se vuelvan competentes en seguridad, y el entrenamiento no superará este tipo de alienación social. Este problema aparece en nuestro lenguaje y actitudes hacia los empleados. Necesitamos superar esta tensión fundamental para crear un entorno en el que los empleados puedan adquirir y aplicar habilidades de seguridad efectivas.
Tercero. En la industria de la seguridad cibernética, las políticas y regulaciones establecen la frecuencia de las intervenciones de capacitación, pero no se enfocan en la adquisición de habilidades medibles por parte de los empleados. Esto es un problema porque la capacitación no se valora como una solución para mejorar el comportamiento en seguridad. Debe haber un enfoque en la medición y mejora del comportamiento sin especificar cómo se logra este cambio. En lugar de establecer políticas que requieran una cierta cantidad de capacitaciones por año, se debe buscar un enfoque más efectivo y medible para mejorar el comportamiento en seguridad
Cuarto. Aunque la seguridad es crucial para las empresas, la mayoría de los gerentes no asumen la responsabilidad del comportamiento de seguridad de sus equipos, procesos de trabajo e infraestructura. En su lugar, se espera que el equipo de seguridad se encargue de estos asuntos, lo que lleva a conflictos y a que los empleados no presten atención a la capacitación de concientización sobre seguridad. Los gerentes prefieren asignar esta responsabilidad al equipo de seguridad, a pesar de que es nominalmente su responsabilidad. Los empleados están más enfocados en cumplir con sus objetivos personales de desempeño y, por lo tanto, no prestan atención a las métricas de seguridad. Si bien la capacitación en seguridad se ofrece, los empleados rara vez la internalizan, especialmente si los mensajes de la capacitación entran en conflicto con sus objetivos personales.
Es fundamental enfocarse en la creación de una cultura de seguridad en toda la empresa, además de abordar los problemas específicos que obstaculizan la conciencia de seguridad. Sin embargo, aunque la cultura de seguridad es importante, no puede solucionar por sí sola las relaciones disfuncionales entre el equipo de seguridad y la empresa. Es necesario que el equipo de seguridad cambie su actitud y comportamiento y que el equipo de gestión ejecutiva apoye y defienda este cambio para lograr un cambio cultural sostenible. Si la seguridad es realmente importante para la empresa, los gerentes y empleados deberían integrarla en sus métricas de desempeño.
Compártenos tus comentarios con la experiencia que hayas tenido en la implementación de este concepto en tu empresa porque con esto, tú y yo ayudamos a las empresas a maximizar su éxito mediante la transformación digital.
Twitter: @CareTelecom
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: info@caretelecom.com
Insagram: caretelecom
Youtube: @CareTelecom
Llámanos
Categorías Populares
Instagram Feeds
[instagram-feed]
Popular Tags
Archivos
Nuestros Servicios