miércoles, 21 de octubre de 2015

¿Implementando un Plan de Seguridad de la Información? 8 consejos para vencer la resistencia al cambio

Posted By: Elio Bastias, DevOps - 8:51
¿Sientes la soledad del líder al intentar implementar el Plan Director de Seguridad de la Información dentro de tu organización? Es el plan definido para conseguir el nivel de seguridad que la empresa necesita. Ha llegado el día de la verdad, hay que lanzarlo, pero se nota reticencia en el ambiente.  

Aquí te indicamos algunas pautas para ponerlo en marcha con éxito.

Hasta ahora el equipo ha hecho un gran esfuerzo. Han sido varias semanas de largas reuniones para definir el Plan. El comité de dirección lo ha aprobado y hay que ponerlo en marcha.

De este plan, acorde con la estrategia de negocio, se derivan los objetivos de seguridad de la información, los roles y responsabilidades, y los compromisos de cumplimiento y mejora continua que serán de aplicación para los próximos meses.

El análisis de riesgos realizado para medir aquellos aspectos que afectan a la confidencialidad, integridad o disponibilidad de la información, sobre los principales activos, fue un gran reto. Una vez superado proporciona una visión amplia y a la vez precisa de hacia dónde dirigir las inversiones en seguridad. Con él conseguimos conocer la situación actual.

Se han revisado muchos ámbitos de seguridad: gestión de incidentes, privilegios de usuarios, trabajo desde casa y en movilidad, dispositivos de almacenamiento, portátiles y tabletas, protección antimalware, configuraciones de seguridad de redes, la página web, acceso a los sistemas y a los equipos, etc.

También se hizo una buena reflexión para acomodar todo este esfuerzo a la estrategia empresarial. Esta ha servido de guía para fijar el alcance, los objetivos y los recursos. Todos han participado para que el resultado sea adecuado a la naturaleza del negocio y a su forma de hacer las cosas.

Después se definieron las iniciativas que abordar, las acciones a tomar, los proyectos que poner en marcha. Políticas y procedimientos, todo está previsto y priorizado, asignados los responsables, valorados los costes y… ahora ha llegado el momento de la verdad.

Pero, ahora que hay que implantarlo, se respira resistencia al cambio. Es un hecho que estamos programados para seguir haciendo aquello a lo que nos hemos acostumbrado. Todos han de salir de su zona de confort e incorporar nuevas rutinas a su quehacer diario. No va a ser fácil.

Seguro que ya lo has experimentado en el pasado. Esta vez no va a ser diferente. Tienes que conocer lo que pasará para saber cómo actuar. Estas son las fases por las que pasarán los empleados cuando les enfrentemos a los cambios que implica el Plan.

Estas etapas están inspiradas en las conocidas fases del duelo:
gráfica
Cinco etapas del duelo de Kübler-Ross
  • Presentimiento y negación: ha llegado a sus oídos que van a tener que incorporar un montón de formas nuevas formas de hacer las cosas: configuraciones, contraseñas, copias de seguridad, etc. Están preocupados y no saben cómo les va a afectar, ¿van a tener que aprender? y ¿sabrán hacerlo? Intentan no pensarlo mucho pero siguen preocupados.
  • Ira: es la etapa de resistencia, cuando se oye comentar ¡no tengo tiempo para esto! La preocupación se ha convertido en miedo y este en enfado e irritación. ¡Lo que faltaba, más trabajo!
  • Negociación: intentan asimilar los efectos de los cambios y es cuando surgen más dudas.
  • Frustración y rechazo (depresión): llega la frustración — ¡No hay vuelta atrás!— y la nostalgia — ¡Antes era mejor! En este punto tendrás que reforzar las competencias y capacidades. Mantener la comunicación va a ser esencial.
  • Apertura e integración (aceptación): poco a poco se va reconociendo que la seguridad no es tan difícil, despierta su curiosidad y empiezan a implicarse e incluso se vislumbran los resultados.
Para facilitar la transición proponemos los siguientes consejos:
  1. Comunica el Plan de forma organizada, permitiendo que hagan preguntas y resolviendo sus dudas. Descúbrelo, que sea transparente. Las ventajas de un comportamiento más seguro repercutirán en muchos aspectos del negocio, tienen que conocerlas para aceptar los cambios. Todos los implicados deben hacerse partícipes, identificar cuáles serán los trabajos y los resultados que se van a conseguir. Informales de lo que se espera de ellos.
  2. Identifica a los responsables y a quienes han de resolver sus dudas. Proporciona mecanismos para canalizarlas.
  3. Localiza a los agentes proactivos que pueden favorecer el cambio, los que están más dispuestos y también a los más reticentes. Potencia a los primeros que te ayudarán a contagiar a los demás, y vigila a los segundos por si crean problemas.
  4. Haz que los cambios sean progresivos. No intentes cambiar todo en una semana. Mide y reconoce el progreso.
  5. Lanza una campaña de formación y sensibilización. Quizá tengas que formar a algunos empleados de forma más técnica, tenlo en cuenta. Adapta la formación a las necesidades de los distintos puestos.
  6. Crea equipos de trabajo o foros donde todos puedan preguntar y compartir experiencias. Reparte la responsabilidad de la comunicación del plan.
  7. Involúcrales, hazles partícipes, estimula su colaboración. Su actitud hacia la seguridad repercutirá en el negocio. Es cosa de todos cuidar de la información. Trata de descubrir qué necesitan y responde a sus preguntas con hechos.
  8. Motívales reconociendo su esfuerzo, cualquier avance y el trabajo bien hecho.
El establecimiento del Plan Director de Seguridad de la Información debe partir de la Dirección y se ha de trasladar a toda la organización este firme compromiso con la aplicación de las medidas que se establezcan.
Recuerda que para la supervivencia del plan son vitales las actividades de comunicación y concienciación a todo el personal. De esta forma la seguridad de la información no será vista como una molestia o estorbo a las actividades cotidianas. La Seguridad es cosa de todos.

Acerca de Elio Bastias, DevOps

Project Manager de Smart-IT.

0 comentarios:

Publicar un comentario

Ads

Copyright © 2015 All Rights Reserved

Designed by Templatezy