Un pilar fundamental para el Gobierno de Seguridad
La cultura organizacional es un factor crucial que influye directamente en la efectividad del gobierno de la seguridad de la información. Una cultura empresarial donde priman la transparencia y la rendición de cuentas impacta principalmente en la seguridad de la información.
La cultura se manifiesta en el comportamiento organizacional, los métodos para navegar e influir en las estructuras formales e informales de la empresa, las actitudes, los estándares, el nivel de trabajo en equipo, la presencia o ausencia de problemas territoriales y la dispersión geográfica.
También está afectada por los antecedentes, la ética laboral, los valores, las experiencias, los filtros o puntos ciegos y las percepciones individuales que cada persona aporta al lugar de trabajo. Es fundamental considerar la cultura al definir los roles y responsabilidades.
La construcción de una cultura consciente de la seguridad depende de que cada individuo, en su rol respectivo, realice su trabajo protegiendo los activos de información. Todos, sin importar su nivel o rol, deben poder expresar claramente cómo la seguridad de la información se relaciona con sus funciones.
Para lograr lo anterior, el gerente de seguridad debe planificar las comunicaciones, participar en comités y proyectos, y prestar atención individualizada a las necesidades de los usuarios finales y gerentes. Es esencial que el departamento de seguridad pueda responder a preguntas como "¿Qué gano con esto?" o "¿Por qué debería preocuparme?" para cada persona en la empresa, adaptando las comunicaciones para transmitir los mensajes adecuados.
Una política de uso aceptable contribuye a una cultura empresarial segura y consciente del riesgo al definir claramente qué comportamientos son aceptables, cuáles actividades son requeridas y cuáles acciones están explícitamente prohibidas. Esta política debe comunicarse eficazmente a todos los usuarios, asegurándose de que la hayan leído y entendido, y debe difundirse a todo el personal nuevo que tendrá acceso a los activos de información.
El gerente de seguridad de la información debería trabajar con recursos humanos y/o el departamento de cumplimiento para confirmar que el nuevo personal ha entendido y aceptado la política de uso aceptable.
El personal de seguridad de la información debe ser sensible a posibles conflictos de interés o actividades perjudiciales para la empresa. Los objetivos de comportamiento ético deberían coordinarse con los objetivos de protección de la privacidad y los datos para asegurar una visión coherente. Los gerentes de seguridad pueden dar el ejemplo al compartir y cumplir con sus propios estándares éticos.