En el articulo anterior (link) abordamos la necesidad de establecer una cultura de seguridad que genere usuarios entrenados y con sentido del ownership de la seguridad. Definimos ¿qué es?, ¿porqué? y ¿para qué? esta cultura.

Siguiendo la linea, les propongo recorrer los 4 pilares que debemos tener en cuenta a la hora de establecer una cultura de seguridad y algunos tips para que la misma genere el efecto deseado de la manera más rápida posible.

En @teetech definimos 4 pilares de la cultura o ejes de trabajo:

Liderazgo

1. TOP-DOWN: Como en todo proyecto con alcance corporativo, y sobre todo cuando implica cambios culturales, el management debe estar convencido de la importancia del mismo y debe tener un rol de sponsoreo claro y explícito.
2. Métricas organizacionales: Si el programa es impulsado desde la dirección, nada mejor que poder medir y demostrar la performance del mismo con distintas métricas que permitan medir como mínimo alcance (a quien llegó) y profundidad del programa (temáticas abordadas).
3. Evangelizadores: Parte de establecer una cultura y que la misma se funda con la pre-existente implica detectar y potenciar a esas personas que, por interés y características personales, se transforman en influencers internos para que lleven la bandera de la seguridad y conquisten a otros colaboradores algo mas impermeables al cambio.

Estrategia

1. Objetivos: Es de suma importancia que todos entiendan el fin de establecer una cultura de seguridad (Link), para ello, me permito definir que un objetivo interesante es “Entrenar a los distintos actores (según su rol) para que sepan detectar comportamientos sospechosos, saber reaccionar frente a estos y denunciar por los canales correspondientes”. Es decir “La seguridad la hacemos entre todos”
2. Continuidad: Transformar un programa de concientización en una cultura de seguridad requiere ser planificado para ser ejecutado más allá de algunas campañas puntuales o envío de novedades. Conviene establecer un calendario claro con vista a 12 meses como mínimo, en donde se defina la cantidad de campañas por mes y las temáticas a abordar, pero también debe considerarse la posibilidad de incluir noticias, comentarios y novedades en forma ad-hoc a ese calendario. Por supuesto, debemos tener un especial cuidado en no aburrir a la audiencia.
3. Claridad: Es importante a la hora de querer llegar con el mensaje a distintas audiencias que se respeten los canales y los procesos establecidos. Es decir, si se definió que las campañas van a ser posteadas en un portal interno, no debería pasar que alguien envíe un mensaje similar por otro canal (ej: mail). Incluso, si el proceso define que A diseña, B adapta y C envía, esto debe ser respetado.

Probar el entrenamiento

1. Feedback positivo: Uno de los problemas que existen por la falta de la cultura de ciberseguridad es que muchos colaboradores no se animan a denunciar actividades que les parece anómalas. En ciertos casos, esto se debe a que siempre se generó una suerte de oscurantismo alrededor de los conceptos de seguridad y, al no entender, el colaborador tiende a no preguntar por temor a parecer tonto o ser castigado. Para romper esto debemos promover las consultas (por canales oficiales: eje de claridad) y pasar de una cultura del castigo a la del coaching. Incluso debe entender que esa consulta ayuda a mejorar la concientización.
2. Pruebas periódicas: Es importante, como complemento a las primeras métricas de alcance, que probemos el entrenamiento mediante micro-tests o incluso campañas de phishing y malware simulado, pentesting con etapas de ingeniería social u otras técnicas que pongan a prueba la cultura. Aquí me permito retomar el “feedback positivo” ya que es de suma importancia que estas campañas devuelvan indicadores que le demuestren a la compañía y a las personas, la mejora del programa. ¿A quién no le gusta sacarse una buena nota?. Aquí vale toda la creatividad posible!

Comunicación continua

1. Transparencia: Esta demostrado que para que alguien adopte un cambio, necesita entenderlo. Es por esto que se propone que todo el programa mantenga la mayor transparencia. Un punto sumamente interesante es que se compartan de manera continua los indicadores del programa, de esta manera quienes participan se sienten parte del éxito o fracaso.
2. Premiar: Es interesante proponer programas de premiación a distintas actitudes o performances y sumarlos a la comunicación. Por supuesto podemos citar conceptos de gamification pero no hace falta pensar en metodologías tan elaboradas. Aquí es donde repito que la creatividad tiene un gran rol en esta cultura. Se imaginan una competencia entre los equipos de desarrollo o tecnología que valore quien tiene menos o soluciona mas vulnerabilidades?. O destacar al usuario que detectó un phishing de forma correcta y lo comunicó?

Algunos tips a la hora de pensar en el contenido o campañas:

• Reforzar tanto lo que esta mal (de forma positiva) como lo que esta bien
• Focalizar en la idea de qué activos son los importantes para la compañía y el concepto de “joyas de la corona”
• Si se dictan charlas o envían noticias, las mismas deben ser diseñadas considerando el tipo de compañía, industria, región y tamaño Los colaboradores tienen que sentirse representados en los conceptos que se quieren transmitir
• Diseñar contenido entendible e interesante. En general, si nos apoyamos en casos reales bien explicados, el que esta del otro lado suele sentirse atraído.
• Definir contenido específico para audiencias técnicas
• Adoptar el lenguaje común a la cultura pre existente
• No cansar a los receptores, se debe encontrar el balance correcto en la cantidad de campañas por mes
• Buscar el mejor canal según la compañía. El mail establece algunas limitantes a la hora de querer medir
• Buscar en el equipo de seguridad o técnico un influencer que sea la voz del programa
• En el caso de utilizar un canal tipo web o red social, interactuar con las audiencias

Gracias @Cristian Dario Servin por tus aportes en ambos post!, me tomé el atrevimiento de agregarlos!

En @Teetech (www.teetech.com.ar) aportamos valor a las compañías ayudando a implementar la cultura de seguridad. Para esto diseñamos un servicio gestionado que te permite:

• Definir una estrategia de concientización basada en la cultura organizacional de la compañía.
• Definir funciones, el proceso, audiencias y canales
• Establecer las temáticas a abordar
• Definir los tipos de campañas a ejecutar y calendarizarlas
• Crear y ejecutar las campañas
• Ejecutar campañas de simulación
• Medir los resultados y mejorar el programa de forma continua