Security Awareness Program Eficiente y Completo
Parte 3/3 

Construye un ejército 

Security Awareness Program Eficiente y Completo –  Los programas especiales son una excelente manera de tener defensores repartidos por toda la organización en cada departamento, región y país, que pueden traducir e integrar el mensaje de seguridad en tu organización. Al crear un grupo de defensores, se garantiza que habrá un flujo constante y refuerzo de los mensajes de seguridad en toda la organización. Considere que estos defensores sean extensiones locales, portadores de la cultura, de su programa general que actúan como propagadores. 

Los defensores no tienen por qué ser expertos en seguridad, pero deben ser influyentes en sus áreas, teniendo la capacidad de involucrar a sus compañeros de forma relevante y significativa. Esencialmente, estás proporcionando a los defensores el contenido de los mensajes y dándoles la libertad de traducir y comunicar ese contenido de la forma más eficaz para su público. Al ubicar este mensaje a través de los defensores, ahora podrá tener un enorme alcance dentro de la organización que no hubiera tenido de otra manera. 

La recomendación es que los defensores no pasen más de dos años en el cargo para que puedan hacer circular continuamente nuevas ideas y dar a otros la oportunidad de hacerlo. Considera la posibilidad de tener un proceso de solicitud acompañado de una entrevista y una recomendación del director. Se buscan personas que sepan ser escuchadas e impulsar el cambio.  

Los defensores son una parte integral de la conducción de la cultura y de compartir las opiniones sobre lo que funciona y lo que no. Además, considera la posibilidad de incorporar su participación en una revisión formal del rendimiento o en algún otro tipo de reconocimiento. El papel de defensor se convertirá en algo codiciado y te ayudará a adoctrinar un flujo continuo de nuevos defensores.  

Recompensa y Consecuencias 

Premiar el comportamiento seguro y mantener las consecuencias del comportamiento inseguro es una idea relativamente nueva en el ámbito de la concienciación sobre la seguridad. Las empresas están evaluando si el uso de recompensas, como certificados, menciones en las llamadas del equipo, incrementos de tiempo libre, tarjetas de regalo o botín, puede ayudar a reforzar el comportamiento seguro en aquellos que lo demuestran, a la vez que atrae a otros a subirse al carro.  

La naturaleza humana dicta que a las personas les gusta ser reconocidas delante de sus compañeros, y que los diferentes tipos de reconocimiento atraen a diferentes personas. Tener una forma de llamar la atención sobre los comportamientos favorables puede poner en marcha este deseo humano de ser apreciado y motivar a los empleados a actuar de una manera más segura. 

Por otro lado, las empresas también están estudiando el uso de las consecuencias para imponer comportamientos más seguros. Las empresas están evaluando reducir el acceso a los sistemas de la empresa o a las plataformas sociales. Si se decide probar estos enfoques, deben ser comunicados e iguales. En otras palabras, debes comunicar a toda la organización cuáles son las recompensas y las consecuencias y cómo se reconocerán y reforzarán. Además, si un ejecutivo que recibe tres faltas debe recibir las mismas consecuencias que cualquier otro miembro de la organización. Su enfoque también debe ser equilibrado, tener tanto recompensas como consecuencias en la ecuación. 

¿Cómo va todo? 

Cuantificar el éxito de tu programa de concienciación sobre la seguridad es primordial. Debes basarte en métricas que refuercen los comportamientos seguros necesarios para proteger los datos, los sistemas, las finanzas y las personas de la empresa. A la hora de determinar en qué métricas centrarse, no hiervas el océano. Selecciona unas pocas significativas que puedan cuantificarse con frecuencia para mostrar el progreso a lo largo de períodos de tiempo. Es importante entender las principales preocupaciones de seguridad de la organización y luego anclar las mediciones a esas preocupaciones. 

Aunque las tasas de finalización de la formación y las tasas de clics de phishing en curso son mediciones importantes que hay que seguir, considera la posibilidad de evaluar las instancias de vulnerabilidad y las evaluaciones o los restablecimientos de contraseña como opciones adicionales. También es importante poder mostrar el coste/riesgo de no hacer nada. La organización podría sufrir daños de marca, pérdida de ingresos o consecuencias para la reputación de las que no se puede recuperar. Además, los ejecutivos se responsabilizan profesionalmente de las infracciones, perdiendo sus puestos de trabajo y la capacidad de encontrar un empleo en el futuro. 

Al informar de los resultados, no hay que hacer un volcado de datos para que los ejecutivos lo interpreten. Cuenta la historia con un mínimo de números y gráficos. La parte convincente de la narración es que la organización se está volviendo más segura como resultado de los esfuerzos. Muéstralo con imágenes sencillas utilizando palabras poderosas, que conecten y sean memorables. El espectador debe ser capaz de entender y comprender y volver a comunicar los factores críticos de los resultados. Resiste el impulso de complicar demasiado. 

KnowBe4 ayuda a tu organización a gestionar los problemas actuales que enfrenta la ingeniería social. BG2 Services solucionamos tus retos de ciberseguridad. ¡Contáctanos para conocer más! 

📩 mktadmin@bg2.com.mx 

📞 (81) 8123 3730    

Fuente 

• Huisman, J. (2022). Building an Effective and Comprehensive Security Awareness Program. [pdf]. KnowBe4. https://www.knowbe4.com/typ-building-an-effective-and-comprehensive-security-awareness-program?submissionGuid=1902ee8e-85d9-4ea8-a6b8-8eb06cb4f3e4