Construyendo una Cultura de Seguridad Fuerte, Intencional y Sostenible

Autor : Perry Carpenter

Aquí está la gran idea: su cultura de seguridad es, y siempre será, un subcomponente de su cultura organizacional más amplia. En otras palabras, su cultura organizacional “triunfará” sobre sus objetivos de concientización de seguridad cada vez, a menos que sea capaz de entrelazar los valores y valores basados ​​en la seguridad en la estructura de su cultura organizacional global. ¿Pero cómo logra esto para finalmente construir una cultura de seguridad fuerte, intencional y sostenible? Hay cuatro secretos para el éxito.

1. Tome nota de dónde se encuentra y hacia dónde se dirige

Sin un plan y un camino, ¡seguro que te perderás! La clave para implementar el secreto n. ° 1 es aprovechar un marco para ayudarlo a asegurarse de que está abordando las cosas de una manera estructurada, en lugar de simplemente inventarlo sobre la marcha. Especialmente en grandes organizaciones globales, recomiendo realizar una serie de entrevistas o encuestas rápidas para comprender cómo las diferentes divisiones y los líderes divisionales ven la seguridad, las políticas y las mejores prácticas, y lo que realmente consideran importante. También lo ayuda a comprender si sus ejecutivos clave están alineados y si existen obstáculos políticos o logísticos que debe superar cuando elabore su plan.

Con este conocimiento de fondo, puede comenzar a crear sus objetivos para el año. Me gusta el marco de fijación de objetivos MÁS INTELIGENTE propuesto por varios gurús de la productividad. Hay algunas versiones diferentes del marco SMARTER, una que recomiendo es la versión de Michael Hyatt . También se puede encontrar un poco más sobre el tema aquí . (MÁS INTELIGENTE = Específico, Mensurable, Accionable, Arriesgado, Temporizado, Emocionante, Relevante.)

2. Ver la conciencia de seguridad a través de la lente de la cultura organizacional

La cultura organizacional y la cultura de seguridad no son lo mismo. Sin embargo, necesitan estar estrechamente unidos.

La cultura organizacional no es la suma de roles, procesos y mediciones; es la suma de los comportamientos humanos subconscientes que las personas repiten en función de los éxitos anteriores y las creencias colectivas. Del mismo modo, la cultura de la seguridad no está (solo) relacionada con la “conciencia” y la “capacitación”; también es la suma de los comportamientos humanos subconscientes que las personas repiten en base a experiencias previas y creencias colectivas.

La cultura es compartida, aprendida y adaptable, pero puede ser influenciada. Se necesita un grupo que trabaje colectivamente y comienza con los líderes.

Para tener un impacto en el cambio y el comportamiento, debe conocer y trabajar desde dentro de la cultura existente. ¿Su organización tiene una organización de marketing que ayuda con las comunicaciones internas? De ser así, comprenda cómo aprovechan los métodos de comunicación, los formatos y la marca. Es tan importante que * sus * comunicaciones hablen con la voz / tono establecido de la compañía para que no se lo vea como no conectado y (lo peor de todo) irrelevante. También necesita tener una idea de dónde hay matices divisionales, departamentales y regionales. Trabajar dentro de los marcos culturales específicos dentro de cada uno de estos segmentos. Y siempre esté atento a los canales de comunicación existentes que puede conectar (por ejemplo, reuniones existentes, videos ejecutivos, etc.) para que su mensaje esté entrelazado con los otros mensajes centrados en la compañía.

3. Aproveche los principios de gestión del comportamiento para ayudar a formar una buena higiene de seguridad

Comencemos por reconocer que solo porque usted sabe, ¡no significa que le importe!

La conciencia de seguridad y el comportamiento de seguridad no son lo mismo. Su programa de concientización de seguridad no debe enfocarse solo en la entrega de información. Hay muchas cosas de las que las personas son conscientes, pero que pueden no importarles: debemos hacer que las personas se preocupen.

Debido a esto, si la motivación subyacente de su programa es reducir el riesgo general de incidentes de seguridad relacionados con los seres humanos en su organización, debe incorporar prácticas de gestión del comportamiento.

La idea es que necesitamos crear experiencias atractivas para que los usuarios dirijan comportamientos específicos. (Vea el trabajo de BJ Fogg para obtener más información sobre buenos ejemplos de modelos de comportamiento y creación de hábitos ).

Un ejemplo de esto serían las plataformas de phishing simuladas. Estos destilan algunos de los fundamentos de la gestión del comportamiento en una plataforma fácil de implementar que le permite enviar ataques simulados de ingeniería social a sus usuarios e iniciar inmediatamente acciones correctivas y de rehabilitación si el usuario es víctima del ataque simulado. Haga esto con frecuencia, y verá un cambio dramático en el comportamiento.

4. Sea realista sobre lo que se puede lograr a corto plazo y optimista sobre el rendimiento a largo plazo

Sea un optimista realista dentro de su organización. ¿Qué puedes impactar hoy? Conozca su lugar y su alcance de influencia y recuerde que la cultura comienza en la cima.

Comprenda la base de su cultura y luego cree una hoja de ruta personalizada para la gestión de la cultura de seguridad. Para hacerlo, debes evaluar cuatro áreas:

“Cómo tomamos decisiones” describe el estilo general de liderazgo y cómo esto afecta los resultados de la cultura organizacional.
“Cómo participamos” se centra en cómo las personas colaboran internamente y con los interesados ​​externos para cumplir sus objetivos.
“Cómo medimos” describe las métricas de rendimiento de la organización y cómo afectan los logros de la organización.
“Cómo trabajamos” define el estilo de trabajo de los equipos, cómo se crean las soluciones y se resuelven los problemas, lo que afecta los resultados de la organización.
Al comprender estos cuatro atributos de la cultura organizacional, los líderes de seguridad y los líderes corporativos pueden tomar decisiones informadas al tratar de cambiar las culturas y mejorar la defensa general de una organización.

Aquí es donde la goma se encuentra con la carretera. Ya sacó todo el plan, creó objetivos MÁS INTELIGENTES, comprende los matices de su organización y se está centrando en crear un cambio real y sostenible. Ahora es el momento de comenzar y comprometerse con la perseverancia. Muchos aspectos de su programa se espaciarán a lo largo del año, por lo que es importante comprometerse a ser coherente con sus esfuerzos. El comienzo es solo eso: el comienzo. Te estás enfocando en entrenar a toda una organización; y eso a veces significa capacitar a las personas sobre cómo entrenarse.

Sobre el autor: Perry Carpenter es el principal evangelista y oficial de estrategia para KnowBe4, el proveedor del entrenamiento de conciencia de seguridad escolar integrado más popular del mundo y una plataforma de phishing simulada.

Fuente principal: http://infosecisland.com/blogview/25075-Building-a-Strong-Intentional-and-Sustainable-Security-Culture-.html

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *