Seguro que últimamente se utiliza mucho la expresión "cultura de la seguridad". Se ha convertido en la frase de seguridad de jour. Eso es bueno y malo a la vez.
Por: Perry Carpenter, Director de Evangelización y Estrategia, KnowBe4
Es bueno en el sentido de que el mayor uso de la frase cultura de la seguridad indica una mayor comprensión de que la simple concienciación sobre seguridad no es suficiente. Y, lo que es más importante, indica que la gente entiende que las tecnologías de seguridad tecnologías de seguridad no ofrecen una protección total o suficiente contra las violaciones de datos.
Entonces, ¿cuál es la parte sobre el aumento del uso de la frase cultura de la seguridad? Es esto: la mayoría de la gente utiliza la frase cultura de seguridad sin saber lo que significa. Y eso es un problema.
Permítanme ponerlo en perspectiva. En The Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense LayerKai Roer y yo exponemos los resultados de un estudio realizado por Forrester Consulting en nombre de KnowBe4. En ese estudio, realizado a más de 1.000 profesionales de la seguridad con responsabilidades de nivel directivo o superior, Forrester descubrió que el 94% de los encuestados cree que una cultura de seguridad sólida es un componente fundamental de un buen programa de seguridad. Eso está muy bien, pero lo malo es que el estudio también reveló que no había un acuerdo general sobre lo que eso significaba. Los encuestados dieron unas 750 definiciones distintas. El abanico de definiciones era bastante amplio, pero se dividía en cinco categorías principales:
- El 29% de los encuestados cree que la cultura de seguridad es el cumplimiento de las políticas de seguridad.
- El 24% dijo que era tener conciencia y comprensión de los problemas de seguridad.
- El 22% dijo que era un reconocimiento de que la seguridad es una responsabilidad compartida por toda la organización.
- El 14% indicó que tenía algo que ver con el establecimiento de grupos formales de personas que pudieran ayudar a influir en las decisiones de seguridad.
- El 12% afirma que una buena cultura de seguridad significa que la seguridad está integrada en la organización.
Imaginemos ahora un debate en una sala llena de 1.000 personas en el que se pide a todos los que creen que X es importante que levanten la mano. Si el 94% de las personas levantan la mano, se podría pensar que todo el mundo está de acuerdo y que el único trabajo que queda por hacer es motivar a la gente para que actúe de acuerdo con su creencia. Entonces los envías a poner en práctica su creencia y todo el mundo se dispersa... no tenían una idea clara de adónde debían ir o cómo llegar hasta allí. Este tipo de situaciones son propias de las comedias, no de los supuestos inconscientes que rigen nuestros programas de seguridad y gestión de riesgos.
Por eso son importantes las definiciones.
Entonces, ¿qué es cultura de seguridad? He aquí una definición que nosotros (Kai Roer y yo) proponemos basada en una profunda investigación en ciencias sociales:
La Cultura de Seguridad son las ideas, costumbres y comportamientos sociales de una organización que influyen en su seguridad.
La cultura de seguridad también puede (y debe) medirse para que su organización pueda empezar a entender dónde está y adónde quiere ir. En otras palabras, se entiende en qué consiste la cultura de seguridad para poder medirla. Y se mide para poder empezar a mejorarla.
A la hora de medir la cultura de seguridad, recomendamos hacerlo en siete dimensiones distintas:
- Actitudes: Sentimientos y creencias de los empleados sobre los protocolos y problemas de seguridad.
- Comportamientos: Acciones de los empleados que repercuten directa o indirectamente en la seguridad.
- Cognición: Comprensión, conocimiento y concienciación de los empleados sobre cuestiones y actividades de seguridad.
- Comunicación: En qué medida los canales de comunicación fomentan el sentimiento de pertenencia y ofrecen apoyo en relación con los problemas de seguridad y la notificación de incidentes.
- Conformidad: Conocimiento y apoyo de las políticas de seguridad por parte de los empleados.
- Normas: Conocimiento y cumplimiento por parte de los empleados de las normas de conducta no escritas relacionadas con la seguridad.
- Responsabilidades: Cómo perciben los empleados su papel como factor crítico para ayudar o perjudicar a la seguridad.
A estas alturas ya puedes ver claramente que la cultura de seguridad puede ser un concepto bastante profundo. Llega al corazón de lo que piensa su gente, lo que valoran, las acciones que deciden tomar, las acciones que deciden evitar tomar, cómo interactúan entre ellos, y mucho más. En otras palabras, su cultura de seguridad es el corazón palpitante de cómo su gente se compromete con su programa de seguridad, su ecosistema de TI, sus datos y todos los demás aspectos de su organización relacionados con la seguridad.
Como hemos visto en los últimos años, la gran mayoría de las filtraciones de datos se deben a la ingeniería social o a algún tipo de error humano. Reconozcámoslo: tenemos que mejorar. Nuestras tecnologías no son adecuadas para proteger los datos a prueba de fallos. Y la concienciación, por sí sola, no basta para cambiar las creencias, los valores, los comportamientos y las normas sociales. La mejor manera de avanzar es mejorar continuamente la tecnología de que disponemos y, al mismo tiempo, comprometernos a centrarnos intensa e intencionadamente en mejorar nuestra capa humana.