Cómo instituir una 'cultura justa' mejora la seguridad

A medida que las organizaciones intentan navegar por los marcos de ciberseguridad actuales, surge una verdad incómoda: en algún momento, incluso el mejor sistema fallará. El caos resultante puede poner en riesgo a una organización y también provocar rupturas culturales.

“La gente comienza a culparse unos a otros”, dice Richard Mogull, fundador, director ejecutivo y analista de la firma de asesoría de seguridad Securosis.

No es sorprendente que cuando comiencen las acusaciones, la situación se vuelva fea muy rápido. Por lo menos, los ánimos pueden estallar. En el peor de los casos, las personas pueden sentirse como si estuvieran siendo chivos expiatorios y terminen ignorando los riesgos, o incluso huyendo de la empresa. En medio de una abrumadora escasez de mano de obra en ciberseguridad, eso puede significar un desastre.

Como resultado, un marco denominado “solo cultura” está ganando terreno. Si bien no es una panacea, puede ayudar a guiar a las organizaciones a través de problemas inevitables y ayudar a apagar los incendios cuando algo sale mal.

“Intenta solucionar el problema fundamental en lugar de culpar a un individuo o grupo”, explica Mogull.

Simplemente la cultura no se trata de eliminar la responsabilidad. Tampoco intenta endulzar fallas y averías. Enfatiza la responsabilidad al preguntar, “¿Qué salió mal?" en vez de, “¿Quién causó el problema?” Como dice Bruce McCully, director de seguridad de la consultora Galactic Advisors, “reconoce que la cultura está en el centro de una ciberseguridad exitosa”.

Ir más allá de la culpa
La confianza, la responsabilidad y la mejora continua sirven como base para una cultura justa. El concepto tiene su origen en el industria de aviación, aunque se ha puesto de moda la salud y muchos otros campos.

“La comprensión es que muchos errores y errores ocurren porque un sistema tiene una falla inherente”, dice Mogull. “Una persona que comete un error es simplemente el síntoma del problema subyacente”.

La ciberseguridad encaja perfectamente con la cultura justa, argumentan los defensores. La maraña actual de aplicaciones, dispositivos, nubes y usuarios no solo hace que la seguridad sea increíblemente compleja, sino que también garantiza que se produzcan errores y problemas. En lugar de centrarse en la negligencia humana, la cultura justa tiene como objetivo identificar la causa raíz de la falla y luego tomar medidas para solucionarlo.

“Es poco probable que una cultura centrada en la culpa y el castigo logre los mejores resultados posibles”, dice Robert Boles, presidente de la firma de seguridad cibernética Blokworx.

Por otro lado, descubrir la causa raíz de los problemas puede resultar transformador. Mogull compara la situación con un paramédico que podría administrar el medicamento equivocado si dos botellas se parecen o un piloto de línea aérea que podría tomar una decisión equivocada si dos indicadores se confunden fácilmente.

“El objetivo es reducir el margen de error humano y eliminar los factores que conducen a un problema antes de que ocurra”, dice.

Dentro de la seguridad cibernética, por ejemplo, la cultura justa podría traducirse en repensar el software y los flujos de trabajo para evitar la TI en la sombra, implementar protocolos como la gestión sólida de identidad y acceso (IAM) y la autenticación multifactor (MFA) para evitar fallas de autenticación y adoptar protocolos como 802.1x para controlar y administrar mejor el acceso a la red, incluidos los dispositivos inalámbricos.

Sin duda, el conjunto correcto de herramientas, tecnologías y reglas reduce y, en algunos casos, elimina, el margen de error para los humanos. Cuando se combinan con estándares claros de lo que constituye un comportamiento aceptable e inaceptable, un cultura de responsabilidad toma forma

En ese punto, el enfoque cambia de la culpa a la responsabilidad. “Si nota que las personas no están siguiendo una política, entonces debe observar de cerca cómo y por qué no la están cumpliendo”, dice McCully. "Puede haber múltiples problemas para examinar en el camino para solucionar el problema".

fuera de control
Si bien es tentador y notablemente fácil encontrar un objetivo humano cuando las cosas se desvían, a veces la gente se equivoca. Cuando una organización identifica una clara violación de la política, negligencia grave o intención maliciosa, el resultado debe ser una acción disciplinaria o legal, dice McCully.

Sólo la cultura reconoce este hecho. Las violaciones intencionales y la negligencia no se ocultan debajo de la alfombra. Las personas que cometen menos errores reciben comentarios y sugerencias sobre cómo pueden mejorar su comportamiento, como evitar hacer clic en los enlaces de los correos electrónicos o iniciar sesión en Wi-Fi usando un punto de acceso público.

El éxito de una iniciativa de cultura justa también depende de las palabras y acciones de la suite ejecutiva, dice Mogull. “Los líderes empresariales deben aceptar la responsabilidad de su cultura y establecer el tono correcto”, dice. “Esto significa abolir el juego de la culpa y promover la idea de que es vital solucionar los problemas fundamentales”.

Por ejemplo, existe la necesidad de establecer mecanismos formales de denuncia, incluida la posibilidad de que las personas permanezcan en el anonimato. También es fundamental establecer un proceso para investigar minuciosamente los incidentes y garantizar que conduzcan a las acciones adecuadas. En el camino, es esencial mantener informados a los grupos clave de TI, seguridad y el negocio en general. Finalmente, es importante compartir datos, celebrar las mejoras y abordar activamente las áreas que requieren cambios.

Lo que hace que la cultura justa sea tan poderosa es que las personas se sienten libres de señalar errores y problemas, y de ninguna manera son penalizados por hacerlo, dice Mogull. En lugar de que las personas sean castigadas o asignadas para solucionar el problema que descubrieron, o por los errores que cometieron sin darse cuenta, la organización los recompensa.

“El objetivo final es establecer una cultura que vaya más allá de los egos y los chivos expiatorios y, en cambio, se centre en reducir los riesgos sistémicos”, concluye Mogull.

Inteligencia de datos generativa

Cómo Instituir una 'Cultura Justa' Mejora la Seguridad

Volando en el Air Koryo de Corea del Norte

Títulos especiales austriacos “Sí a Europa” 2024

Información más reciente

Tesla lanza una tasa de préstamo APR del 0.99% por tiempo limitado para pedidos del Model Y de EE. UU.

Ford reduce los pedidos de baterías ya que pierde más de 100,000 dólares por vehículo eléctrico vendido

Lista de observación de prospectos del draft de la NFL 2025: seguridades

El Boeing 777 de KLM realiza un aterrizaje de emergencia en Ankara tras una indicación de incendio en la carga

BlockDAG presenta la versión número 26 de desarrollo para reforzar la red y lograr una escalabilidad mejorada con $100 millones en liquidez

BlockDAG lidera la carga criptográfica respaldada por personas influyentes de Youtube con una preventa de 24.9 millones de dólares, eclipsando a TON e IMX