Así es como otros han lanzado exitosos programas de campeones de seguridad cibernética para promover y fomentar culturas de seguridad positivas en toda una organización
Los programas de campeones de seguridad cibernética nutren y fomentan la conciencia de seguridad cibernética dentro de una empresa, combinando la educación con la colaboración entre pares para incorporar una cultura de comprensión de seguridad, apoyo y comportamiento positivo entre una fuerza laboral. Un programa típico consta de personas de diferentes departamentos que actúan como defensores de la seguridad para su función y ayudan a dar forma al enfoque de seguridad cibernética de una organización internamente.
Con una popularidad cada vez mayor en una amplia gama de industrias, los programas de campeones de seguridad cibernética han demostrado ser tan beneficiosos que se convirtieron en componentes integrales de las estrategias de concientización sobre seguridad cibernética de algunas organizaciones.
Un programa de campeones de ciberseguridad eficaz y productivo requiere varios elementos clave para lograr sus objetivos y evitar ser una inversión desperdiciada. Estas son las ventajas de ejecutar un programa de campeones de seguridad cibernética para CISO con cinco pasos para hacerlo, incluidos los consejos de líderes y expertos en seguridad que tienen experiencia de primera mano en esta área.
Ventajas de un programa de campeones de ciberseguridad
Lena Smart, CISO de MongoDB, quien estableció el Programa de campeones de seguridad de MongoDB, está de acuerdo. “Dado el rápido crecimiento que estamos experimentando, vemos la seguridad como un diferenciador y creemos que crear una cultura sólida en la que mi equipo sea visto como un socio y facilitador para el resto del negocio es fundamental para nuestro éxito. Nuestro programa se alimenta de eso y crea un interés personal en mantener la seguridad de la empresa”.
Un aspecto particularmente positivo que Smart ha visto en el programa es que se ha convertido en un conducto para reclutar nuevos talentos para el equipo de seguridad. “Hemos tenido varios empleados que se han transferido a puestos de seguridad de tiempo completo desde otros equipos. En mi opinión, puede ser más fácil enseñarle a alguien habilidades de seguridad que intentar contratar a alguien externo que marque todas las casillas con experiencia previa”.
La comunicación y colaboración entre departamentos también ha sido impulsada con otros equipos cada vez más comprometidos con la función de seguridad, dice Smart. “Asistiremos a las reuniones de planificación de la hoja de ruta del producto con nuestros equipos de ingeniería para que podamos estar allí para comprender mejor y proporcionar comentarios sobre las consideraciones de seguridad, por ejemplo”.
Un programa sólido ayuda a desmitificar la ciberseguridad para los empleados que no son de seguridad y la lleva al ámbito de sus propias especialidades. “La gente a menudo piensa que la seguridad cibernética es un concepto profundamente técnico e insondable, pero tener campeones de seguridad crea un diálogo abierto, y expresar los problemas y amenazas de seguridad de manera que sean relevantes para roles específicos es la mejor manera de abordar este problema”, Dr. John Blythe , psicólogo colegiado y director de psicología de la fuerza laboral cibernética en la firma de capacitación en seguridad cibernética Immersive Labs, le dice a CSO. “Los ingenieros deben comprender cómo escribir código seguro, los equipos ejecutivos deben saber cómo responder mejor en una crisis cibernética y los equipos de TI deben saber cómo proteger la infraestructura de la nube”.
Una vez capacitados, los campeones de la ciberseguridad pueden identificar y abordar las vulnerabilidades de la ciberseguridad antes de que se generalicen y sean problemáticas, agrega Dominic Grunden, CISO de UnionDigital Bank. “Al hacerlo, pueden ahorrar a las organizaciones mucho tiempo y dinero en el proceso”, dice. Grunden ha integrado y ejecutado programas de campeones de seguridad cibernética en múltiples industrias y organizaciones.
Pasos para un programa exitoso de campeones de ciberseguridad
Planifique minuciosamente su programa de campeones de seguridad
Barker dice que la planificación previa es clave para lanzar y mantener un programa exitoso de campeones de seguridad cibernética. “Hemos trabajado con muchas organizaciones que no planearon un programa de campeones. Fueron directamente al reclutamiento y lanzamiento. Después de un año más o menos, el programa no estaba funcionando y fracasó”, dice ella.
Barker y sus colegas han pasado varios años desarrollando Champion Leader Framework y convirtiéndolo en un curso en línea, y los nuevos clientes a menudo se sorprenden por la cantidad de trabajo preparatorio que deben hacer antes de comenzar a reclutar campeones, agrega. “Construir un programa que se adapte a su organización, y sentar las bases adecuadas en términos de objetivos, incentivos y roles, es crucial”.
Asegure la aceptación del liderazgo para respaldar su programa
El apoyo de liderazgo tiene un impacto significativo en el éxito de un programa de campeones de seguridad, dice Smart. Por lo tanto, es fundamental que los CISO se aseguren de que los líderes sénior de una organización comprendan el valor de los programas de promoción y participen activamente en ellos. “En una reunión general reciente, nuestro CEO respaldó el programa y alentó a los empleados a unirse, lo que se suma a la cultura de seguridad accesible y proactiva que estamos cultivando”, dice Smart.
Alexander Antukh, director de seguridad de Glovo y autor de Security Champions Playbook , se hace eco de sentimientos similares. “Si el liderazgo y la gestión del equipo no ven el valor del programa, es difícil priorizar las actividades de seguridad, incluso para aquellos que realmente quisieran contribuir. Hay diferentes formas de obtener apoyo, pero se trata principalmente de educar a la gerencia sobre los problemas y mostrar los beneficios de este enfoque”, le dice a CSO.
Priorizar las habilidades de comunicación y la diversidad al contratar campeones de seguridad
Los campeones de ciberseguridad son porristas de seguridad en lugar de expertos: amplifican los mensajes de seguridad a nivel de equipo y actúan como la conciencia de seguridad de su departamento, manteniendo los ojos y los oídos abiertos a posibles problemas. Como tales, deben ser buenos comunicadores capacitados para comprender mejor la ciberseguridad, y no al revés.
“Un campeón exitoso suele ser alguien que tiene buenas habilidades interpersonales y de comunicación que puede desarrollar con orientación en seguridad”, dice Barker. Es ideal reclutar campeones que sean personas influyentes en toda su organización, y esto no solo significa personas de alto nivel, agrega. “Encontrará personas influyentes en todo tipo de roles y posiciones en su organización y (sobre la base de los principios de la prueba social) serán más efectivos para ganarse los corazones, las mentes y los comportamientos de quienes los rodean”.
Un buen punto de partida para los reclutas campeones es considerar a las personas que hacen muchas preguntas al equipo de seguridad, que participan activamente en la capacitación y la concientización, y aquellas que han estado involucradas en incidentes en el pasado.
Equilibrar los requisitos de compromiso, hacer que la formación sea pertinente y adecuada
Ser un campeón de la seguridad es voluntario, pero significa asumir responsabilidades fuera del trabajo diario de alguien. Los líderes de seguridad deben lograr el equilibrio adecuado entre compromiso y rendimiento para proteger la longevidad del programa y el compromiso de los empleados, al tiempo que garantizan que la capacitación sea adecuada para objetivos específicos y alcanzables. “Determine el nivel de compromiso que necesitan los participantes antes de comenzar el programa, en función de la frecuencia con la que se reúnen los campeones y otras tareas que realizan”, dice Grunden. conciencia, lo que anula el propósito del programa”.
Smart, por ejemplo, pide a los campeones que asistan a reuniones mensuales relacionadas con la seguridad y dediquen aproximadamente dos horas por semana a aprender sobre seguridad, centrándose en temas relevantes, noticias y actualizaciones, incluidos ataques de inyección, seguridad en la nube y protección de un perfil de LinkedIn.
Incentive su programa de campeones de seguridad, hágalo divertido y mutuamente beneficioso
Los programas de campeones de seguridad deben ser tan atractivos y divertidos como informativos, dice Grunden. “Todos quieren creer y sentir que son parte de algo significativo, positivo y con un propósito en el que las opiniones importan y se valoran. Sobre todo, esta cultura debe ser divertida al tener eventos especiales, eventos de formación de equipos y otras actividades alegres para mantener a los campeones comprometidos y motivados”.
Esto es algo que Smart garantiza en su programa, brindando a los campeones acceso a recompensas y beneficios exclusivos. “Tenemos actividades que incluyen nuestra discusión sobre películas/club de lectura y una competencia de capturar la bandera”, agrega.
Del mismo modo, Grunden recomienda tener una ceremonia de premiación de héroes anónimos para reconocer a los campeones y promover sus logros, además de permitir que los empleados muestren una insignia de campeón de seguridad cibernética en su perfil de directorio corporativo para que todos la vean.
Blythe está de acuerdo en la importancia de incentivar a los empleados para que inviertan su tiempo y esfuerzo. “Busque incentivos que se alineen con su cultura organizacional”, dice. “Los incentivos pueden ser materiales (como dinero, cupones o regalos) y no materiales (como reconocimiento social y elogios). También debe existir la voluntad de escuchar a los campeones y adaptar las políticas y campañas en función de sus comentarios, porque cuando se sienten valorados y escuchados, su programa de seguridad será más efectivo”.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Gracias ☺️
Fecha actualizacion el 2022-02-05. Fecha publicacion el 2022-02-05. Categoria: computadoras Autor: Oscar olg Mapa del sitio Fuente: csoonline