Cómo implementar y fomentar una cultura de cumplimiento de la seguridad

0 84 5 minutos de lectura

Ahora más que nunca, es importante cumplir con las regulaciones gubernamentales y de la industria. Durante los últimos años, los gobiernos y los grupos industriales de ambos lados del Atlántico han aumentado el nivel de regulación de las organizaciones, obligándolas a demostrar que cuentan con los controles adecuados.

¿Qué sucede si una organización no cumple con las reglas de seguridad?

Podrían estar sujetos a costosas multas: violar los estándares de seguridad de la industria de tarjetas de pago (PCI) impuestos por las compañías de tarjetas de crédito puede resultar en multas de hasta $ 100,000 cada mes, por ejemplo. En el caso de una infracción, una organización también tendría que pagar los costos asociados con informar a los clientes y la reparación para evitar que vuelva a suceder, sin mencionar que sufra un daño severo a la reputación, lo que sería mucho más costoso que cualquier multa. El daño a la marca es imposible de calcular y extremadamente difícil de reparar.

Este no es un problema teórico. El 27% de los principales responsables de la toma de decisiones de TI destacaron el cumplimiento de los requisitos de cumplimiento de seguridad como su mayor desafío de seguridad para 2012, ubicándose por encima de las amenazas persistentes avanzadas, la seguridad en la nube y las vulnerabilidades de las aplicaciones web.

A medida que proliferan tanto las regulaciones como las nuevas tecnologías, los responsables del cumplimiento de la seguridad se enfrentan a una tarea abrumadora: mantener el cumplimiento de la organización y, al mismo tiempo, permitir a los usuarios la mayor libertad posible para aprovechar el nuevo hardware, software y servicios.

Se trata de la gente

Puede pensar que una política de seguridad de TI sólida resuelve ese problema, pero la verdad es que no es así. Los documentos son estáticos; se sientan en un estante y no hacen nada. Se necesitan personas para hacer que esas políticas funcionen.

Desafortunadamente, la gente puede ser poco confiable, errática y… bueno, tan malditamente humana. La gente crea culturas, pero esas culturas a menudo crecen de formas extrañas e impredecibles.

Afortunadamente, la tecnología está disponible para hacer cumplir su política de seguridad de TI y lograr que sus empleados ayuden a crear una cultura de seguridad en su organización y que usted realmente cumpla con las normas.

Explicando qué y por qué

A la gente le gustan las metas. Les da algo claro a seguir. las organizaciones deberían comenzar estableciendo algunos. Unos pocos estándares de seguridad (como PCI) impondrán esos objetivos de seguridad con gran detalle, indicándoles qué implementar y dónde. En la mayoría de los casos, sin embargo, las pautas son más amplias, dejando a la organización la tarea de interpretar las pautas creando sus propios objetivos.

La descripción de los roles y responsabilidades dentro de una organización es otro componente crucial para cualquier estrategia de cumplimiento de seguridad. Los empleados deben comprender claramente los límites de su función en una organización y deben comprender los peligros de cruzar esos límites. ¿A qué sistemas deberían acceder y qué información pueden ver? ¿Qué pueden compartir con los demás?

Es importante explicar el razonamiento detrás de estos objetivos, roles y responsabilidades a los empleados. Si no entienden por qué deben hacer algo, el
Es menos probable que recuerde hacerlo.

Si le dice a su recepcionista que nunca dé el nombre de nadie en un departamento en particular, él / ella puede ceder ante las personas que llaman persistentes pensando que es lo suficientemente inofensivo para pasar uno o dos nombres. Pero si tuviera que explicar que los cazatalentos intentan habitualmente encontrar los nombres de los vendedores clave para robarlos para los competidores y pedir la ayuda de la recepcionista para prevenirlo activamente, es probable que el personal de recepción cumpla ya que se han involucrado en el gobierno de esta política. Como dice el proverbio chino: ‘Dímelo y lo olvidaré; muéstrame y lo recordaré; involúcrame y lo entenderé.

Un gentil recordatorio

Explicar por qué la gente debería hacer algo es una parte de una política de seguridad eficaz y recordarle a la gente que lo haga es otra. Hagamos un poco de historia aquí: en la Segunda Guerra Mundial, cuando el esfuerzo de seguridad nacional fue particularmente crítico, las campañas utilizaron carteles y lemas, junto con un sentido de responsabilidad grupal, para ayudar a recalcar el punto.

«Hablar descuidadamente cuesta vidas» puede ser un poco fuerte para el mundo de la seguridad corporativa, pero exhibir carteles en la oficina con lemas sobre no compartir contraseñas, pensar dos veces antes de dar información y no dejar documentos confidenciales en el escritorio son buenas maneras de recordarle a la gente, así como un sistema que avise a los empleados cuando existe una posible infracción de la política para que tengan tiempo de repensar sus acciones y evitar cualquier fuga de datos.

También vale la pena recordar a los empleados que hay otras personas en otras organizaciones que están cuidando su información; por lo que deben tratar los datos que se les confían de la misma manera que esperan que otras organizaciones traten los suyos.

Vigilancia

Nada de esto será útil a menos que lo controle. El cumplimiento requiere pruebas, lo que significa verificar que alguien haya hecho algo y tomar medidas en función de los resultados. La vigilancia policial eficaz implica el uso de la zanahoria y el palo: recompensar a las personas por hacerlo bien; hazlos responsables si lo hacen mal.

La vigilancia es un problema para muchas organizaciones. Dos tercios de ellos no aplican las políticas de seguridad correctamente. Eso tiene que cambiar.

Una forma de hacer esto es nombrar a alguien para que las personas rindan cuentas. Un ‘zar’ de seguridad en su organización puede ayudar a vigilar el cumplimiento de la seguridad al verificar el comportamiento. Esto se puede replicar de manera más local haciendo responsables también a los gerentes de equipo y de nivel medio.

Un movimiento aún más inteligente es ‘gamificar’ la seguridad, recompensando a las personas que siguen constantemente medidas de seguridad efectivas (como cerrar sesión en los sistemas cuando dejan sus escritorios, por ejemplo).

Aunque las políticas se refieren a las personas, la tecnología también puede ser útil para una actuación policial eficaz. En algunos casos, las organizaciones pueden necesitar un componente tecnológico para hacer cumplir estas pautas. Decirle a la gente que use contraseñas seguras y que las cambie todos los meses es algo que puede ser aplicado por software, por ejemplo. Los filtros de correo electrónico y redes sociales pueden ayudar a evitar que la información inapropiada salga de la organización.

Escuchando

El cumplimiento exitoso de la seguridad también se trata de aprender y comprender, además de dictar. Estas auditorías no solo son buenas herramientas de informes para ayudar a marcar casillas reglamentarias; también son formas de identificar áreas problemáticas en la organización. Si una auditoría encuentra que las personas comparten constantemente contraseñas en un departamento en particular, puede crear una oportunidad para conversar con el personal. Quizás los procesos de inicio de sesión sean demasiado largos o no reflejen los patrones de funcionamiento, y el problema se puede solucionar reconfigurando el sistema.

El resultado ideal aquí es crear un ciclo de retroalimentación positiva. Una política es algo vivo que respira y debe cambiar con la organización. Si audita de manera efectiva, no solo comprenderá cómo se desempeña el personal, sino que también tendrá una idea de lo que está funcionando y lo que no. El personal le dirá cómo pueden desempeñarse mejor, si los escucha. Y estas sugerencias se pueden utilizar para crear una política que se adapte más a los procesos de su organización. ¿El resultado? Todos ganan.

Su personal está más feliz, su organización es más segura, y ha saltado la barrera invisible entre tener una política por el cumplimiento y tener una que realmente proteja a su organización. Esa es una gestión eficaz en el trabajo.

Descargue nuestra guía electrónica gratuita Monitoreo de la información: ¿Hasta dónde debería llegar?

Cómo implementar y fomentar una cultura de cumplimiento de la seguridad

Deja una respuesta Cancelar la respuesta

3R Creative Minds gana el primer evento ‘Hacking Medicine’ del Massachusetts Institute of Technology (MIT) en Irlanda

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Cinco consejos principales para las pequeñas empresas que adoptan el cifrado.

Hackers se hacen pasar por bancos canadienses en un ataque de phishing de dos años

TaskRabbit ha vuelto a la vida: opinión de la industria de la seguridad

Anatomía de una amenaza persistente avanzada

Deja una respuesta Cancelar la respuesta

3R Creative Minds gana el primer evento ‘Hacking Medicine’ del Massachusetts Institute of Technology (MIT) en Irlanda