Por: Perry Carpenter, Evangelista principal y director de estrategia, KnowBe4

Es bueno porque el mayor uso de la frase cultura de seguridad señala una mayor comprensión de que la simple conciencia de seguridad no es suficiente. Y —lo que es más importante— señala que las personas entienden que las tecnologías de seguridad no ofrecen una protección total ni suficiente contra las filtraciones de datos.  

Entonces, ¿qué pasa con el mayor uso de la frase cultura de seguridad? Es esto: la mayoría de las personas usa la frase cultura de seguridad sin saber qué significa. Eso es un problema. 

Pongámoslo en perspectiva. En El manual de la cultura de seguridad: Una guía ejecutiva para reducir el riesgo y construir tu capa humana de defensa, Kai Roer y yo describimos los resultados de un estudio realizado por Forrester Consulting en nombre de KnowBe4. En ese estudio de más de 1,000 profesionales de la seguridad con responsabilidad de nivel gerencial o superior, Forrester encontró que el 94% de los encuestados cree que una cultura de seguridad sólida es un componente crítico de un buen programa de seguridad. Eso es excelente, pero el lado negativo fue que el estudio también encontró que no había un acuerdo general sobre lo que eso significaba. El grupo de encuestados proporcionó alrededor de 750 definiciones distintas y diferentes. El rango de definiciones fue bastante amplio, pero se agrupó en 5 categorías principales, de la siguiente manera:  

• El 29% de los encuestados creía que la cultura de seguridad es cumplir con las políticas de seguridad.  

• El 24% dijo que era tener conciencia y comprensión de los problemas de seguridad.  

• El 22% dijo que era reconocer que la seguridad es una responsabilidad compartida en toda la organización.  

• El 14% indicó que tenía que ver con establecer grupos formales de personas que pudieran ayudar a influir en las decisiones de seguridad. 

• El 12% dijo que una buena cultura de seguridad significaba que la seguridad estaba integrada en la organización. 

Ahora imagina tener una conversación con una sala llena de 1,000 personas y pedirles a todos los que creen que X es importante que levanten la mano. Si el 94% de las personas levanta la mano, podrías pensar que todos están en la misma sintonía y que el único trabajo por hacer es motivar a las personas a actuar según su creencia. Luego los envías a ejecutar esa creencia y ahora todos se dispersan… no tenían una comprensión clara de hacia dónde debían ir ni de cómo llegar allí. Situaciones como esta pertenecen a sketches de comedia, no a los supuestos inconscientes que impulsan nuestros programas de seguridad y gestión de riesgos. 

Por eso las definiciones son importantes. 

Entonces, ¿qué es la cultura de seguridad? Aquí hay una definición que nosotros (Kai Roer y yo) proponemos, basada en una investigación profunda de las ciencias sociales: 

La cultura de seguridad son las ideas, costumbres y comportamientos sociales de una organización que influyen en su seguridad. 

La cultura de seguridad también puede (y debe) medirse para que tu organización pueda empezar a entender dónde estás y hacia dónde quieres ir. En otras palabras, entiendes de qué se compone la cultura de seguridad para poder medirla. Y la mides para poder empezar a mejorarla. 

Cuando se trata de medir la cultura de seguridad, recomendamos medirla en siete dimensiones distintas:  

• Actitudes: Sentimientos y creencias de los empleados sobre los protocolos y problemas de seguridad. 

• Comportamientos: Acciones de los empleados que impactan la seguridad de forma directa o indirecta. 

• Cognición: Comprensión, conocimiento y conciencia de los empleados sobre los problemas y actividades de seguridad. 

• Comunicación: Qué tan bien los canales de comunicación fomentan un sentido de pertenencia y ofrecen apoyo relacionado con los problemas de seguridad y la notificación de incidentes. 

• Cumplimiento: Conocimiento y apoyo de los empleados a las políticas de seguridad. 

• Normas: Conocimiento de los empleados y adhesión a las reglas de conducta no escritas relacionadas con la seguridad.

• Responsabilidades: Cómo perciben los empleados su papel como un factor crítico para ayudar o perjudicar la seguridad.

A estas alturas ya puedes ver claramente que la cultura de seguridad puede ser un concepto bastante profundo. Va al corazón de lo que piensa tu gente, de lo que valora, de las acciones que elige tomar, de las acciones que decide evitar, de cómo interactúan entre sí y mucho más. En otras palabras, tu cultura de seguridad es el corazón palpitante de cómo tu gente se relaciona con tu programa de seguridad, tu ecosistema de TI, tus datos y todos los demás aspectos relacionados con la seguridad de tu organización.   

Como hemos visto durante los últimos varios años, la gran mayoría de las filtraciones de datos se puede rastrear hasta la ingeniería social o alguna forma de error humano. Seamos sinceros… necesitamos hacerlo mejor. Nuestras tecnologías no son adecuadas para ofrecer formas infalibles de proteger los datos. Y la conciencia, por sí sola, no es suficiente para moldear creencias, valores, comportamientos y normas sociales. La mejor manera de avanzar es mejorar continuamente la tecnología que tenemos, al mismo tiempo que nos comprometemos a poner un enfoque intenso e intencional en fortalecer nuestra capa humana.