Académique Documents
Professionnel Documents
Culture Documents
con Midori
Andrea Fernández, gerente general, región Sur de América Latina en Kaspersky.
El anuncio lo realizó Andrea Fernández, gerente general, región Sur de América Latina
en Kaspersky.
"Estamos lanzando la línea 2020, con mejoras y un nuevo producto, y a diferencia de
años anteriores estamos realizando un cambio de imagen. Estamos cambiando la marca,
estamos en una etapa de rebranding, y hemos incluido para el usuario final el concepto
de Midori, que es un osito verde”, indicó la ejecutiva.
Asimismo, las soluciones de seguridad ahora solo alertan a los usuarios sobre eventos
importantes y garantizan una experiencia sin inconvenientes. Finalmente, Kaspersky
también ha simplificado cómo se intercambian las credenciales y la información de la
cuenta entre los productos de la compañía. De esta manera, los consumidores que ya
usan algún software de Kaspersky, no tienen que volver a ingresar sus credenciales cada
vez que instalan un nuevo producto. Por el contrario, pueden manejarlos todos en una
sola cuenta de My Kaspersky.
Una cultura de culpa y temor cuando se trata de seguridad significa que los usuarios
finales no dirán si están utilizando una aplicación no autorizada, si han hecho clic en un
enlace malicioso o han visto actividad inusual, hasta que sea demasiado tarde. Los
equipos de seguridad deben empoderar a los usuarios con una cultura de
responsabilidad personal, para que traten la seguridad de los datos de la misma manera
que abordan otras políticas de la compañía como la salud y la seguridad.
Estas son las cuatro áreas clave en las que Parr y Park creen que los CISOs deberían
concentrarse para proporcionar una cultura de seguridad sólida.
1. Hacer accesible la seguridad: Desde que Parr se volvió CISO hace poco más de un
año, KPMG UK ha pasado por una travesía para cambiar su enfoque de educación y
cultura de seguridad para garantizar que los 16 mil empleados de la empresa en 27
ubicaciones se encuentren al mismo nivel en cuanto a conciencia de seguridad. "Una
buena [cultura] se logra cuando las personas se sienten seguras y cómodas con la
seguridad de la información, y no sienten que es una ciencia o un arte oscuro”, asegura
Parr.
Un aspecto clave en la creación de una cultura orientada hacia la seguridad es hacer que
sea fácil que la audiencia se relacione con ésta, por lo que el contenido de educación de
seguridad de KPMG se ha puesto en un lenguaje simple y fácil de entender con
escenarios diseñados para que sean aplicables al personal. "Quiero que la gente piense
lo mismo acerca de la seguridad de la información en el hogar como lo harían en el
trabajo; y establecer escenarios de la vida real y proporcionarles a las personas una
dirección clara ha sido clave para lograrlo”, indica Parr.
"Si una persona es parte del personal de atención al público que está ayudando a los
clientes a mudarse a una de nuestras suites de presentación de clientes, o está realizando
una auditoría, o se encuentra en el equipo técnico que está ayudando a los clientes con
un problema técnico, el idioma es el mismo, y todos pueden absorberlo de la misma
manera”.
Brindarles a las personas esa base hace que sea más fácil de entender para el usuario
final y, a su vez, significa que se toman la seguridad de la información de la empresa
más en serio, ya que pueden visualizar las consecuencias de equivocarse. "La rendición
de cuentas es una verdadera clave del éxito para mí”, señala Parr. "Si las personas
sienten que entienden por qué son responsables del manejo y la gestión de los datos,
entonces estoy en lo correcto”.
2. Proporcionar capacitación continua de concientización: Como parte de este cambio
cultural, KPMG ha pasado de las presentaciones y evaluaciones en un momento dado, a
lo que Parr describe como "un ritmo constante de concientización” a través de eventos,
capacitación, videos y podcasts. "Mirar una presentación de PowerPoint, hacer clic lo
más rápido posible y responder 20 preguntas al final esperando aprobar realmente no
demuestra nada. Solo muestra la capacidad para retener cierta información de las
diapositivas. Lo que quiero es que la gente entienda que están disponibles algunas
reglas y guías, que sepan lo que pueden y no pueden hacer, y el rol que deben
desempeñar”.
"Comienza con el lanzamiento de un documento de políticas muy simple y fácil de leer,
que se ha condensado en una página solo para llamar la atención de las personas cuando
tienen un momento para leerlo”, comenta Parr. "Luego [siguen] pequeños videos de
viñeta de tres minutos que pueden ver cuando están en el metro camino al trabajo. Se
trata de mantener en marcha el ritmo continuo de actividad, para que las personas
siempre estén conscientes”.
Si bien medir la cultura puede ser difícil, Parr ha trabajado con el equipo de aprendizaje
y desarrollo de la compañía para crear métricas de compromiso sobre la cantidad de
personal de la empresa que escucha podcasts, ve los videos e interactúa con el
contenido de seguridad que el equipo está produciendo. Esto puede ayudar a
proporcionar un indicador de si el material está cumpliendo su propósito entre el
personal.
"También tengo que seguir pensando en nuevas formas de interactuar con nuestro
personal”, agrega, "no solo tratar de golpearlos en la cabeza con seguridad, sino
realmente involucrarlos en lo que estoy tratando de lograr”.
Para ayudar a impulsar el compromiso, los mensajes regulares por parte de los líderes
de la organización alientan a las personas a mirar, leer y escuchar los materiales de
seguridad. Los "oficiales de seguridad de la información empresarial” se encuentran en
áreas operativas de la empresa como expertos en la materia de seguridad de la
información. Ellos animan al personal de manera más directa a participar.
3. Asociarse con empleados en Shadow IT: Reprobar a los empleados por usar
aplicaciones no autorizadas, conocidas como Shadow IT, es igualmente desaconsejable
como despedirlos por fallas de seguridad. "Shadow IT viene siendo un problema desde
hace mucho tiempo”, comenta Park. "Los drivers detrás de esto representan la
omnipresencia de los sistemas de TI; ya sea software o hardware, en el hogar y en
cualquier otro lugar”.
"La gente no es mala; no están tratando de usar Shadow IT para eludir deliberadamente
la política o la seguridad de la compañía. Por lo general, solo quieren hacer su trabajo
mejor, más rápido, de manera más fácil”, señala Park. "Es una falla de TI y seguridad;
podemos pasar de ser un bloqueador a ser un facilitador para asegurarnos de que las
personas tengan las herramientas que necesitan para hacer su trabajo”.
Park dice que Shadow IT puede abarcar desde servicios SaaS o aplicaciones de
escritorio no autorizadas, hasta lo que él describe como "sombras más pequeñas, pero
igual de impactantes” como integraciones en Slack o JIRA, extensiones de navegador, o
incluso dispositivos similares a Amazon Alexa en redes corporativas. Cualquiera sea la
forma, TI y seguridad deben estar más abiertos a aceptarla, porque el temor a represalias
por eludir la política de la empresa resultará en que los usuarios nunca le dirán a TI lo
que están haciendo.
"Necesitamos ser más inteligentes al respecto. Va a suceder de todos modos. Si existe
un riesgo limitado al usar algunas de estas herramientas externas -digamos, una
herramienta de diseño que alguien quiere usar para branding y gráficos que no está
particularmente clasificada- hay un riesgo potencialmente limitado en un escenario
como ese. Debe poder otorgarles a las personas un cierto grado de flexibilidad”, asegura
Park.
4. Demostrar cómo se ve lo correcto: Cambiar la cultura de seguridad dentro de una
empresa también significa un cambio de mentalidad del equipo de seguridad. De la
misma manera que el personal quiere que un CSO sea un buen comunicador y líder, el
equipo de seguridad debe hacer lo mismo y ser visible y accesible.
"La seguridad no ha hecho un buen trabajo en los últimos diez años para ser un
concepto accesible y comprensible”, comenta Park. "Luchamos por hablar en términos
claros, luchamos por articular el riesgo sin articular problemas técnicos fundamentales”.
En cambio, él asegura que la seguridad necesita transmitir sus mensajes de una manera
más similar a las advertencias de salud y seguridad. "Es muy fácil explicarle a alguien
por qué no debe subir una escalera sin equipo de protección personal (PPE), pues el
impacto es muy visible y obvio. Explicarle a alguien por qué no puede usar Dropbox
cuando debería usar SharePoint, es un poco más difícil de entender porque no parece
que tenga el mismo impacto”.
"Realmente necesitamos involucrarnos, educarnos y asegurarnos de que las personas
entiendan lo que están haciendo, entiendan lo que sucede si pierden ciertos documentos
o propiedad intelectual, y al mismo tiempo empoderarlos”, señala Park. "Existe un valor
enorme en plantear el problema a través de un contexto personal”.
Parr ha estado trabajando con los equipos de seguridad para cambiar su mentalidad y
convertirse en embajadores y campeones del tipo de cultura de seguridad que está
tratando de inculcar en el resto de la empresa. "Están demostrando cómo se ve lo
correcto”, asegura. "Durante mucho, mucho tiempo, la seguridad de la información era
vista como la parte del negocio que apagaba la maravillosa y brillante idea que alguien
tenía. No es así. Estoy ahí para ayudar a la empresa a comprender de manera integral
cómo podemos operar y avanzar, pero de manera segura”.
Dan Swinhoe, CSO (EE.UU.)