Hola a todos, mi nombre es Alexander Dvoryansky, llevo más de cinco años trabajando como director comercial en Infosecurity y hoy quiero hablar con ustedes sobre los principios básicos de trabajar con información confidencial.
En un momento, el psicólogo canadiense Elliot Jacks introdujo el concepto de "cultura corporativa". Me permito usar el término higiene digital. Esta es la parte de la cultura corporativa que determina qué acciones toman los empleados y cómo influyen en la seguridad de la información de una empresa.
Me centraré un poco en nuestra industria para que comprenda por qué estoy interesado en este tema. Infosecurity proporciona servicios en el campo de la seguridad de la información, integración de sistemas y consultoría. Es importante para nosotros demostrar que podemos proteger no solo los datos en los que los clientes confían, sino también nuestros propios activos de información. Incluso un incidente menor de IS en una empresa de ciberseguridad puede afectar su reputación. Y levantarse después de tal golpe no es fácil.
Entonces, la formación de la higiene digital en una empresa se ve afectada por:
- Conciencia de seguridad de la información
- Diferenciación del acceso a la información.
- El uso de medios técnicos de control y monitoreo de la información.
Hoy me detendré en más detalles sobre la primera de estas tres ballenas: crear conciencia o, como está de moda decir, Avarnes.
¿Por qué es esto necesario?
En cualquier empresa que se respete a sí misma, existen regulaciones internas, políticas y metodologías dedicadas a las reglas para procesar información de acceso limitado. Por desgracia, la mera presencia de estos documentos no da absolutamente nada. La protección real es proporcionada por empleados que siguen estrictamente los requisitos especificados en los documentos. ¿Pero dónde encontrar empleados tan ideales?
El truco es que no necesitas buscarlos, sino, digamos, hacerlos crecer. Un conjunto de eventos y materiales de capacitación le permite crear una cultura de trabajo con información en la empresa. Si todo se selecciona correctamente, los empleados comienzan a cumplir con las reglas de IS a un nivel réflex, y ya no necesita tener cuidado de que uno de ellos no bloquee la pantalla de la computadora, pierda el token u olvide el informe trimestral en la bandeja de la impresora.
Bueno, ¿cómo elegir todo?
Primero, divida a sus empleados en grupos e identifique los temas relevantes para cada grupo. Es poco probable que los altos directivos estén interesados en estudiar las vulnerabilidades de software actuales, pero para los desarrolladores, mucho.
Cuando se definen los temas, piense en los formatos de los materiales de capacitación: también deben ser personalizados. Por ejemplo, los empleados de recepción no tienen mucho tiempo libre y, a veces, no tienen una computadora personal que funcione. Los carteles brillantes y los videos cortos que pueden colocarse y demostrarse en los pisos comerciales serán adecuados para ellos. Y los empleados administrativos pueden prestar más atención a la capacitación, por lo que es mejor abordarlos con cursos electrónicos y correos de capacitación.
Otra buena práctica es verificar que sus empleados ya lo sepan antes de realizar la capacitación de SI. La forma más fácil de hacer esto es probar y enviar correos electrónicos de phishing de capacitación. Esto lo ayudará a comprender qué temas necesitan más atención. Bueno, por supuesto, no te olvides de monitorear la efectividad en el proceso de aprendizaje y después.
¿Puedo echar un vistazo más de cerca a los formatos?
Comencemos con el buen estudio de tiempo completo. En cierto modo, es insustituible: todos saben que la información se percibe mucho mejor cuando se acompaña de una comunicación en vivo. El entrenamiento puede llevarse a cabo en una forma clásica o según un método de caso. En el segundo caso, el instructor divide a los estudiantes en grupos, describe el problema relevante para la empresa e invita a cada grupo a dar y justificar su propia versión de su solución. Se pueden combinar dos tipos de capacitación: la realización de una introducción para los empleados en su primer día de trabajo y la capacitación de casos, mensual o una vez por trimestre.
El aprendizaje a distancia es una competencia digna de tiempo completo y, en el futuro, lo más probable es que cubra completamente la frazada. Los cursos electrónicos, videos, listas de correo y juegos en línea son buenos porque los empleados pueden verlos en diferentes tipos de dispositivos en un momento conveniente para ellos. Y también dan la oportunidad de presumir ante los competidores de las palabras "gamificación" y "microaprendizaje".
La figura muestra las diapositivas de los cursos electrónicos de nuestra empresa.La gamificación se usa especialmente activamente en cursos electrónicos. Implica la adición de elementos del juego: premios y logros, la complicación gradual de las tareas, una historia fascinante, personajes. La gamificación es generalmente una historia interesante, porque puede ser completamente electrónica o puede "fluir" a la vida real. Por ejemplo, para completar con éxito los cursos de seguridad de la información, un empleado puede recibir un día adicional de vacaciones. Tales cosas, por supuesto, son consistentes con los recursos humanos. ¿Cuál de nosotros no soñó en el trabajo con los juegos de computadora?
La microeducación implica el flujo de material en pequeños bloques y la fijación de cada bloque con tareas prácticas. Por ejemplo, miré 5 diapositivas de un curso: responda una pregunta de prueba o realice un pequeño ejercicio. Si hablamos de videos, no deberían durar más de un minuto y medio. Es mejor hacer una serie de videos cortos (por cierto, se pueden combinar con una historia divertida) que obligar a un empleado a mirar un sermón de siete minutos. Pero no vale la pena dividir el aprendizaje indefinidamente: de esta manera puedes perder la lógica de la narración.
En la imagen: capturas de pantalla de nuestros videosAdemás del aprendizaje a tiempo completo y a distancia, los materiales de capacitación adicionales son muy útiles. Las notas, carteles, pegatinas y protectores de pantalla hacen un excelente trabajo al hacer que el aprendizaje sea diverso y memorable. No tenga miedo de involucrar a diseñadores e ilustradores profesionales en su diseño: los materiales solo se beneficiarán de esto.
En la imagen: capturas de pantalla del juego flash Phishing BattleEntonces, ¿se trata de diversidad?
Obligar a una persona a aprender lo que no le interesa y observar lo que no le resulta claro es imposible. Al crear programas integrales de capacitación para los empleados, establecer el material en un lenguaje simple y accesible y envolverlo en forma de juego, usted, de hecho, contribuye a la seguridad de los suyos, de su empresa y de sus clientes. Y si todo se hace "de acuerdo con la ciencia", sus inversiones ciertamente darán sus frutos.
Alexander Dvoryansky, Director Comercial, Infosecurity, una compañía de Softline