La ciberseguridad y sus equipos quinta parte (5 de 8)

Ya hemos establecido en publicaciones anteriores diferentes aspectos que es necesario realizar para fortalecer el desarrollo de las actividades de los empleados dentro de un marco seguro en la ciberseguridad, algunos aspectos a contemplar como resultado de la participación de los equipos azul, rojo y morado, los podrás encontrar en nuestra página www.elephantpath.work

Los empleados necesitan cubrir los programas que se orientan en incrementar o fortalecer el nivel de conciencia asociado a los aspectos de ciberseguridad que los involucra, no solamente el conocimiento de la parafernalia técnica relacionada, deben de participar en el desarrollo y  entendimiento de casos o situaciones que es posible que se presenten, así como las reacciones y acciones que es necesario ejecutar para contrarrestar las amenazas, como lo es el proceso de notificación a los equipos correspondientes para resolver la anomalía detectada, su desarrollo requiere un entrenamiento continuó, con el objetivo de permanecer actualizados y lograr mitigar una gran cantidad de riesgos.

Es necesaria la participación activa de los empleados en el desarrollo de programas anuales de simulacros, o en su caso, eventos diseñados sin previo aviso, con el objeto de probar la resiliencia de la organización. Una forma en la que se asegura el conocimiento y detección se obtiene por su colaboración, se logra al contar con programas que promuevan su involucramiento, conocimiento y práctica, los cuales necesitan incluir todos los niveles de la organización, sobre todo aquellos que pueden considerarse de mayor riesgo por las funciones que realizan.

Los programas dirigidos a empleados, no solamente se refieren al conocimiento del GRC (Gobernanza, Riesgo y Cumplimiento), que sabemos que aun cuando exista, en pocos casos los usuarios absorben los criterios mínimos indispensables para cubrir cualquier evento, es necesario promover medios formales y seguros que les permita notificar “posibles amenazas”, es decir “esas cosas raras que a veces se presentan en nuestro trabajo en términos tecnológicos”, un camino es a través de la creación de chats, correos, línea de atención telefónica donde se pueda notificar, pero esto también implica el desarrollo de “Quick tips - solo una idea” que de pauta de lo que NO se puede hacer en ningún momento, sea personal, social o laboral.

Es necesario capacitar, pero también examinar, evaluar y buscar áreas de oportunidad, con su respectivo proceso de mejora “Lo que no se mide no se puede mejorar”, el contar con un sistema de evaluación con una obligación implícita, mejora las alertas de quienes están involucrados en la operación y su prevención, esto claro, debe incluir a los proveedores y a los clientes.

Existen una gran cantidad de factores que están involucrados a los empleados, estos comprenden temas de adaptabilidad, estilos de liderazgo, motivación, toma de decisiones, resiliencia, entre otros.