Por: Perry Carpenter, Evangelista Jefe y Director de Estrategia, KnowBe4

Es bueno en el sentido de que el uso creciente de la frase cultura de seguridad indica un mayor entendimiento de que la simple conciencia sobre seguridad no es suficiente. Y, más importante aún, indica que las personas entienden que las tecnologías de seguridad no ofrecen una protección total o suficiente contra las violaciones de datos.  

Entonces, ¿cuál es la parte sobre el uso creciente de la frase cultura de seguridad? Es esto: la mayoría de las personas usan la frase cultura de seguridad sin saber qué significa. Eso es un problema. 

Pongámoslo en perspectiva. En The Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense Layer, Kai Roer y yo presentamos los resultados de un estudio realizado por Forrester Consulting en nombre de KnowBe4. En ese estudio de más de 1,000 profesionales de la seguridad con responsabilidades a nivel de gerente o superior, Forrester encontró que el 94% de los encuestados creen que una fuerte cultura de seguridad es un componente crítico de un buen programa de seguridad. Eso es genial, pero el inconveniente fue que el estudio también encontró que no había un acuerdo general sobre lo que eso significaba. Aproximadamente 750 definiciones distintas y divergentes fueron dadas por el grupo de encuestados. El rango de definiciones era bastante amplio pero se dividió en 5 grupos principales, de la siguiente manera:  

• El 29% de los encuestados creían que la cultura de seguridad es el cumplimiento de las políticas de seguridad.  

• El 24% dijo que era tener conciencia y entendimiento de los problemas de seguridad.  

• El 22% dijo que era un reconocimiento de que la seguridad es una responsabilidad compartida en toda la organización.  

• El 14% indicó que tenía algo que ver con establecer grupos formales de personas que pudieran ayudar a influir en las decisiones de seguridad. 

• El 12% dijo que una buena cultura de seguridad significaba que la seguridad estaba integrada en la organización. 

Ahora imagina tener una discusión con una sala llena de 1,000 personas y preguntar a todos los que creen que X es importante que levanten la mano. Si el 94% de las personas levantan la mano, podrías pensar que todos están en la misma sintonía y el único trabajo por hacer es motivar a la gente a actuar según su creencia. Luego los envías a ejecutar su creencia y ahora todos se dispersan... no tenían un entendimiento claro de a dónde debían ir o cómo llegar allí. Situaciones como esta pertenecen a sketches de comedia, no como parte de los supuestos inconscientes que impulsan nuestros programas de gestión de seguridad y riesgo. 

Es por eso que las definiciones son importantes. 

Entonces, ¿qué es cultura de seguridad? Aquí hay una definición que proponemos (Kai Roer y yo) basada en una profunda investigación en las ciencias sociales: 

La Cultura de Seguridad son las ideas, costumbres y comportamientos sociales de una organización que influyen en su seguridad. 

La cultura de seguridad puede (y debería) también ser medida para que tu organización pueda comenzar a entender dónde está y hacia dónde quiere ir. En otras palabras, entiendes de qué consta la cultura de seguridad para poder medirla. Y la mides para comenzar a mejorarla. 

Cuando se trata de medir la cultura de seguridad, recomendamos medir a través de siete dimensiones distintas:  

• Actitudes: Sentimientos y creencias de los empleados sobre protocolos y problemas de seguridad. 

• Comportamientos: Acciones de los empleados que impactan la seguridad directa o indirectamente. 

• Cognición: Comprensión, conocimiento y conciencia de los empleados sobre problemas y actividades de seguridad. 

• Comunicación: Qué tan bien los canales de comunicación promueven un sentido de pertenencia y ofrecen apoyo relacionado con problemas de seguridad e informes de incidentes. 

• Cumplimiento: Conocimiento y apoyo de los empleados sobre las políticas de seguridad. 

• Normas: Conocimiento y adherencia de los empleados a las reglas no escritas de conducta relacionadas con la seguridad.

• Responsabilidades: Cómo los empleados perciben su rol como un factor crítico para ayudar o perjudicar la seguridad.

Para ahora puedes ver claramente que la cultura de seguridad puede ser un concepto bastante profundo. Va al corazón de lo que piensa tu gente, lo que valoran, las acciones que eligen tomar, las acciones que eligen evitar tomar, cómo interactúan entre ellos y mucho más. En otras palabras, tu cultura de seguridad es el corazón latente de cómo tu gente se involucra con tu programa de seguridad, tu ecosistema de TI, tus datos y todos los demás aspectos relacionados con la seguridad de tu organización.   

Como hemos visto en los últimos años, la gran mayoría de las violaciones de datos pueden remontarse a la ingeniería social o algún tipo de error humano. Seamos realistas... necesitamos hacerlo mejor. Nuestras tecnologías no son adecuadas para proporcionar maneras infalibles de proteger los datos. Y la conciencia, por sí sola, no es suficiente para dar forma a creencias, valores, comportamientos y normas sociales. La mejor manera de avanzar es mejorar continuamente la tecnología que tenemos mientras también nos comprometemos a enfocar de manera intensa e intencional en desarrollar nuestra capa humana.