En mi trabajo con temas de gestión de la seguridad de la información el reto más grande ha sido siempre el llegar a las personas y que hagan la seguridad parte de su día a día, sin embargo, es bien sabido que la seguridad suele ser vista desde la perspectiva de quienes no están inmersa en ella como algo restrictivo, que obstaculiza, que hace complicadas sus labores, que cohíbe y muchos otros ejemplos.
También el tiempo ha enseñado que no existe una receta de como vender la seguridad a las personas, al fin y al cabo cada entorno, organización, empresa, etc es diferente, cada cultura organizacional implica un análisis y esto a su vez es una de las claves para identificar si la pedagogía, si la educación virtual, si las n-mil posibles actividades que se pueden realizar van a ser bien recibidas y mejor aún, van a tener algún efecto diferente a que los colaboradores de estas organizaciones citen como loros mojados las políticas, sepan que es la confidencialidad y cosas de este estilo.
En los últimos 2 años que he estado trabajando como Oficial de Seguridad de un grupo empresarial he enfrentado este reto a diario y ha sido un motivante para iniciar la búsqueda de componentes que permitan articular el trabajo ejecutivo de crear reglas de comportamiento frente a la seguridad pero que también permitan que este tema trascienda y sea interiorizado por la mayor parte del personal. Esto me ha llevado a investigar temas tales como gestión de la cultura del cambio, didáctica, pedagogía, psicología e incluso análisis de como a través de componentes técnicos tales como la ingeniería social y técnicas de hacking pueden servir.
Estoy trabajando en un artículo sobre el tema y de momento deseo compartir varios recursos que me han sido de aporte para el trabajo de investigación:
– Cultura del cambio:
Making Sense of Change Management: A Complete Guide to the Models, Tools and Techniques of Organizational Change… by Esther Cameron and Mike Green
Switch: How to Change Things When Change Is Hard by Chip Heath and Dan Heath
– Ingeniería social:
It’s not all about «me» – Robin Dreeke
– Conciencia en seguridad:
Paper Five Dimensions of Information Security Awareness – Mikko T. Siponen
Finalmente, en este tema hay mucha tela por cortar, mucho por revisar, les estaré comentando cuando termine la investigación y les cuento. Si alguien puede aportarme ideas o cosas que sean de utilidad en el proceso, son bienvenidas.