Se puede resumir la cultura organizacional en seguridad digital como el conjunto de percepciones, opiniones, creencias, valores y experiencias que generen hábitos y comportamientos de seguridad aplicados en todas las áreas de la empresa o compañía (Figura 1). Cabe aclarar que la cultura organizacional, en un momento determinado del tiempo, puede encontrarse en un estado de bueno o malo para los intereses u objetivos estratégicos. La intención de hablar acerca de cultura en seguridad digital es llevarla a un punto en el cual contribuya de manera efectiva y positiva a la seguridad corporativa.
Encaminarse hacia una cultura (positiva) de seguridad digital requiere de tiempo, dedicación y compromiso por parte de cada uno de los miembros de una organización, en donde también el esfuerzo de las personas esté alineado con sus necesidades propias y particulares.
¿Está alineada la empresa para un cambio de cultura, incluyendo la seguridad digital? De no ser así, un primer paso consiste en alinear, por lo menos, un objetivo estratégico para que los esfuerzos en materia de seguridad digital no estén huérfanos o, peor aún, muertos antes de nacer.
Las culturas positivas no se generan espontáneamente, se debe direccionar su consecución a través de una planeación estructurada que contenga los elementos necesarios para propiciar su nacimiento y evolución. Pensando en ello, es importante proponer algunos elementos necesarios, como alineación con al menos uno de los objetivos estratégicos corporativos, definición de los objetivos de aprendizaje, definición de comportamientos deseables y metas retadoras pero alcanzables, apropiación presupuestal, estrategia para permear a las áreas del ADN de seguridad, mecanismos que permitan generar emoción y compromiso por parte de las personas, incentivos emocionales y materiales, medios de difusión, lenguaje de comunicación (verbal, visual y emocional) , compromiso de los interesados, mecanismos de medición de la efectividad y progreso del programa que se ejecuta.
Un esfuerzo aislado no genera cultura, el solo cumplimiento no genera cultura, un día, una semana o un mes de la seguridad no genera cultura; solo la planeación consciente con inversión de tiempo, dinero, personal comprometido y emocionado tiene grandes probabilidades de generar una cultura positiva en materia de seguridad digital en una organización.
“Tenga presente que si su cultura en materia de seguridad digital no es positiva, con seguridad la estrategia o bien, no existe, o no es la adecuada, esto implica que se debe pensar (estrategía) y actuar (mecanismos o herramientas) de una manera diferente”
“Si quieres proteger a tu empresa primero piensa en las personas”
La cultura son las personas, sin personas no hay cultura, si no las emociona no hay cultura, si no las involucra no hay cultura, si no les entrega con constancia elementos de aprendizaje no hay cultura, si no las aprecia de manera genuina no hay cultura, si no elogia su esfuerzo no hay cultura, si no recompensa su desempeño no hay cultura (Figura 2).
Todo lo que haga para mejorar los componentes tecnológicos de la seguridad está muy bien, pero no es suficiente, el componente humano juega un papel protagónico o antagónico (Figura 3), es decisión de la organización como directora de la película de seguridad digital cuál de los dos roles quiere que su personal desempeñe.
“Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.” William Thomson Kelvin. Medir constantemente (Figura 4) el desempeño de su programa de cultura le dará la retroalimentación necesaria para tomar decisiones de avanzar con lo que funciona, de reencaminar lo que tienen potencial pero aún no ha sido suficiente y de no seguir con algo que no da resultados dentro de su ambiente y dinámica corporativa.
Tenga en cuenta que al interior de una organización se cuenta con diferentes actores que poseen roles y preocupaciones particulares, y que requieren información y herramientas diferentes para contribuir de manera eficiente y eficaz a la cultura de seguridad digital, estos actores pueden pensarse en grupos de directivos, equipos de seguridad y TI, embajadores y colaboradores en general. Acá, tal vez el grupo menos conocido sea el de los embajadores, son ellos un grupo que debería crearse como parte de la estrategia de generación de cultura y prepararlos como influenciadores y replicadores de las mejores prácticas y comportamientos de seguridad al interior de cada una de las áreas de la organización.
Preparar la conciencia de las personas es necesario pero no se puede detener ahí, que las personas individualmente ejecuten comportamientos seguros es un paso enorme pero no se puede detener ahí, que las personas posean un imaginario colectivo de seguridad digital y que actúen en consecuencia día a día es lo deseable, a eso se le puede llamar cultura (Figura 5).
Lanzarse a un proceso de cambio de cultura de seguridad digital al interior de una organización nunca ha sido fácil pero también es cierto que nadie sin intentarlo de manera consciente lo ha logrado.
Autor:
Gustavo Garzón, CISM, CRISC, PMP, Ing., MBA, M.Inn. Más de quince años de experiencia en áreas de tecnología y seguridad digital como consultor y líder de equipos de implementación de proyectos de seguridad y tecnologías de la información en América Latina, es fundador y CEO de Hackergame.