La sensibilización del empleado, clave para la seguridad de la compañía

Guillermo Rodríguez Suárez, Deloitte.
Guillermo Rodríguez Suárez, Deloitte.

El 90% de los ataques, según datos de diferentes estudios, que se producen en una compañía tienen su origen en fallos, descuidos, negligencias o actos deliberados de los empleados. Por ello, es obvio que las personas se deben situar en el centro de la estrategia de seguridad de las organizaciones y son una pieza clave para su salvaguarda.

A pesar de este hecho, nos encontramos con que las iniciativas de seguridad y sus sistemas, tecnologías y herramientas que utilizan omiten a las personas y miran para el lado opuesto.  

De igual forma sucede en las auditorías que se realizan en las organizaciones sobre la seguridad de la información. El esfuerzo aplicado a auditar el plan de formación y concienciación en seguridad es mínimo en comparación con el que se destina al resto de medidas de seguridad.

De igual forma sucede en las auditorías que se realizan en las organizaciones sobre la seguridad de la información

El problema no se queda ahí, sino que todavía es más pronunciado cuando analizamos los planes de concienciación de seguridad que se llevan a cabo de forma generalizada. Estos planes tienen varios problemas, pero una causa raíz: están realizados por expertos en seguridad, sin apenas conocimiento de marketing y comunicación, lo que lleva a fundamentar prácticamente todas las iniciativas de concienciación en la formación de los empleados, olvidándonos de la tan necesaria sensibilización.

En muchas iniciativas repetimos las buenas prácticas de seguridad una y otra vez, pensando que si esta repetición es continua, las buenas prácticas se acabarán cumpliendo. El problema es que no nos damos cuenta de que por mucho que insistamos, no convencemos. Si alguien no las quiere aplicar, no lo hará. Y aquí reside la problemática: ¿por qué muchos profesionales no quieren cumplir las buenas prácticas en seguridad? La respuesta es fácil: porque no les hemos motivado suficientemente para hacerlo.

La motivación debería ser el centro de nuestros planes de concienciación en seguridad. Responder a la pregunta de qué motiva a un empleado a cambiar su conducta es la pregunta clave que tendría que dirigir los esfuerzos en esta materia. Dar una respuesta no es fácil, pero disponemos de herramientas profesionales de marketing que nos permiten aproximarnos a ella.

El mapa de empatía es una de esas herramientas que proceden del campo del marketing y la publicidad. Consiste en efectuar análisis para conocer los miedos y las motivaciones que tiene una persona en su cambio de conducta. El miedo nos permite identificar las reticencias para cambiar los hábitos actuales, mientras que las motivaciones nos permiten conocer qué intereses tiene una persona para realizar este cambio.

El mapa de empatía es una de esas herramientas que proceden del campo del marketing y la publicidad

Las malas noticias son las muchas reticencias que un empleado puede tener para aplicar las medidas de seguridad, las cuales hay que minimizar mediante el plan de concienciación. Las buenas noticias son las muchas motivaciones que pueden llevar a un empleado a cambiar su conducta y a aplicar las buenas prácticas. No obstante, hay que comunicarlas, insistir en ellas y difundirlas periódica y extensamente a los empleados.

Otra acción de gran importancia es la medición del nivel de concienciación de los empleados, una iniciativa poco o nada cuidada en los planes. Sin esta información, ¿qué plan podemos hacer si no sabemos de dónde partimos y no establecemos a dónde queremos llegar? El resultado es un documento compuesto por un conjunto de iniciativas y un sentimiento subjetivo de que algo bueno harán. Mucho o poco, no lo sabemos.

Disponer de una metodología de medición objetiva es necesario si queremos realmente cuantificar el nivel actual de concienciación y, con ello, el riesgo que tiene la empresa de sufrir incidentes provocados por las personas. Esta medición, a su vez, nos permitirá establecer un objetivo y poder medir su cumplimiento. La medición nos da esa luz que nos permite conocer dónde estamos en cada momento.

La concienciación, en cualquier ámbito, y la seguridad no es una excepción, es una tarea larga, persistente y compleja. Si queremos concienciar de manera exitosa, debemos disponer de varios elementos imprescindibles: de un equipo multidisciplinar, donde los perfiles de marketing y publicidad son necesarios; de una metodología de medición inicial y periódica, que permita hacer seguimiento de la consecución de los objetivos; realizar un mapa de empatía, que permita identificar los miedos y las motivaciones de los empleados; y del diseño y ejecución de campañas profesionales que impacten a los empleados para que su cambio de conducta sea una realidad.

Tagged in:
GonzaloCN
Acerca de 
Administrador de Sistemas/Seguridad informática, adoro las nuevas tecnologías y gadgets. Blogero de pura cepa :)