La cultura es un catalizador para el éxito en materia de seguridad. Puede reducir significativamente los riesgos de ciberseguridad y aumentar resiliencia cibernética de cualquier organización. La cultura también puede mejorar en gran medida el valor percibido, la relevancia y la reputación de la función de ciberseguridad.
¿Cómo pueden los líderes de seguridad desarrollar una marca y una cultura positivas en materia de ciberseguridad? A continuación, se enumeran algunas recomendaciones y prácticas recomendadas:
1. Comprender la cultura y el contexto predominantes
Para entender por qué la fuerza laboral se comporta de una determinada manera en relación con la tecnología y la seguridad, es importante comprender el contexto cultural predominante. Por ejemplo, las diferencias culturales regionales, el sector industrial en particular, la estructura subyacente de la empresa, la falta de conciencia y conocimiento de las normas de seguridad y las prioridades comerciales conflictivas pueden influir en cualquier cambio planificado en la cultura y la seguridad del equipo. comportamientos de seguridad.
2. Establecer el tono adecuado para que se desarrolle la cultura
Tradicionalmente, la función de seguridad se ha percibido como el departamento del “no”. Por lo tanto, el objetivo principal del equipo de seguridad debe ser reemplazar esta percepción autocrática, inflexible y sujeta a reglas de la función de seguridad por una que sea abierta, transparente, positiva, creativa y colaborativa. Pase de decir “No” a decir “Sí, permítame explicarle cómo hacer esto de una manera más segura”. Haga promesas, no amenazas.
3. Establecer metas y aspiraciones claras
Como parte del plan de diseño para el cambio de cultura de seguridad, el líder de seguridad debe establecer aspiraciones claras sobre lo que el equipo está tratando de lograr, respaldadas por conversaciones sobre cómo la cultura subraya la eficacia del equipo y la importancia de hacer el cambio. Se debe dar al equipo un sentido claro de propósito; claridad sobre por qué están allí, qué deben hacer y cómo deben comportarse y ser percibidos.
4. Explorar nuevas ideas y enfoques innovadores
Los líderes en materia de ciberseguridad deben alentar a sus equipos a explorar nuevos enfoques e ideas, a no limitarse tanto a las convenciones, los protocolos y los precedentes históricos, y a poner las necesidades de la organización por encima de sus propias agendas personales en aras de construir relaciones eficaces que generen valor para el negocio. Piensen y actúen de forma positiva y estratégica, demostrando formas en las que la seguridad puede respaldar la estrategia, aumentar los ingresos y mantener la rentabilidad.
5. Concéntrese en su esfera de influencia
Si bien la capacidad del líder de seguridad para cambiar la cultura organizacional puede ser limitada (ciertamente en el corto plazo), hay mucho que ganar cambiando la cultura del propio equipo y demostrando los beneficios de dicho cambio. Comience por concentrar los esfuerzos en las áreas donde la influencia personal es mayor. Si el cambio es efectivo, esos efectos se notarán y otros pueden comenzar a replicarlo y seguir el ejemplo.
6. Aprovechar los principios de marca para el cambio cultural
Una cultura positiva se comunica mejor en toda la empresa mediante la aplicación de una marca sólida, y esto debería ser un punto central para cualquier estrategia de cambio cultural. En otras palabras, piense y actúe como un especialista en marketing: realice un análisis de la audiencia; comunique los conceptos de seguridad en un lenguaje que su audiencia comprenda; haga que la ciberseguridad sea más accesible; involucre a los usuarios y promueva programas de seguridad mediante mensajes de marketing, campañas y personas influyentes, tal como promocionaría un producto o un servicio.
7. Aprende a ponerte en el lugar del empresario
Sea curioso sobre los negocios y haga preguntas inquisitivas sobre lo que la empresa o el empleado están tratando de lograr. Tenga una mentalidad de crecimiento, que incluya apoyar y alinear activamente estrategias de ciberseguridad Con la causa empresarial. Planificar e implementar estrategias de seguridad en conjunto con los empleados y las partes interesadas, ya que esto se manifiesta como un comportamiento consultivo que abre las puertas a conversaciones potencialmente más constructivas y valiosas.
8. Perfeccione sus habilidades blandas
Cambiar el estilo y el enfoque personal (por ejemplo, ser un oyente activo, aumentar la inteligencia emocional, ser más transparente) puede modificar las percepciones de los empleados y generar relaciones más confiables, productivas y cooperativas. Practicar el arte de contar historias, simplificar el lenguaje y crear narrativas que resuenen en la audiencia puede ayudar a los equipos de seguridad a conectarse con los empleados a un nivel más emocional y humano.
9. Justificar eficazmente los cambios de seguridad
Es importante recordar que la seguridad genera fricción por diseño. Si no fuera necesario utilizar tarjetas de acceso para entrar en una oficina o credenciales para iniciar sesión en una estación de trabajo, los empleados podrían acceder a los datos con mayor rapidez, pero también lo harían los demás. Aunque parezca un argumento sencillo, es fácil olvidar la importancia de la comunicación y la explicación. Los responsables de seguridad deben asegurarse de que exista una explicación clara y concisa de por qué se propone un cambio y de que los empleados tengan la oportunidad de hacer preguntas y recibir respuestas satisfactorias. Esto fomenta una cultura de confianza y transparencia.
10. Adoptar un lenguaje de riesgo en lugar de seguridad
El lenguaje del riesgo puede ser más fácil de entender que el lenguaje de la seguridad, porque el riesgo tiene que ver con el negocio y, por lo general, se entiende como un concepto. La conversación puede pasar a ser más un lenguaje de seguridad cuando la parte interesada esté preparada, en lugar de ser una conversación forzada.
El factor humano La cultura es el factor que más contribuye al riesgo cibernético y probablemente también sea el más difícil de controlar, mitigar o “domar”. Las tecnologías y los controles de seguridad son definitivamente importantes, pero, sobre todo, la cultura es esa pieza faltante o subrepresentada en la que los líderes de seguridad deben comenzar a centrarse activamente. Trate a los empleados como si tuvieran influencia y la tendrán.
