¿Cómo puedo concentrarme en el lado positivo de la seguridad de la información para crear conciencia?

2

Me gustaría saber cómo puedo crear un entorno saludable y positivo para la seguridad de la información. Debido a algunos errores, este no es el caso en este momento en la empresa en la que estoy. Soy pasante en la empresa. Soy un estudiante holandés de Administración de Ingeniería Industrial de 19 años que realiza una pasantía de InfoSec en una empresa búlgara de TI. Mi trabajo es crear conciencia. Tengo tres meses más. Antes de llegar allí, ya existía un sistema, pero ese sistema estaba en un lado negativo / castigador. Intenté ponerlo en un nivel superior, pero no funcionó.

Tenga en cuenta que: no tenía ningún conocimiento previo de InfoSEc antes de comenzar este "desafío" y no entiendo los detalles de las cosas relacionadas con TI. Sólo entrada- > Caja negra - > Salida

Tengo algunos conocimientos básicos de gestión de cambios y algunos conocimientos de control de gestión (indicadores clave de rendimiento, etc.)

Me gustaría saber cómo puedo cambiar el enfoque negativo, como buscar el fracaso a lo positivo, como buscar el éxito sin hacer el ridículo completo / hacerme odiar.

Estoy buscando algo en el que la gente esté feliz y orgullosa de hacer algo bueno, pero no quiero hacer cumplidos todo el tiempo porque eso molesta a la gente.

    
pregunta johan vd Pluijm 24.11.2017 - 18:30
fuente

3 respuestas

2

Lo que estás buscando es un cambio en la cultura, en lugar de la positividad como un objetivo. Desearía volver a establecer su objetivo, que es "Lograr una mejor cultura de ciberseguridad". Recomiendo ver el programa SANS Securing the Human. Los recursos disponibles son efectivos, y también miran el aspecto psicológico.

Punto de inicio sugerido: enlace

Eche un vistazo al modelo de comportamiento de Fogg y a los diversos modelos que puede usar (modelo de visión de Kotter, Heath (intención del comandante, etc.)). No se trata solo de positividad, se trata de impacto y transformación. La positividad juega un papel, pero no se centre solo en eso, de lo contrario es difícil tener éxito en 3 meses.

¡Buena suerte con tu pasantía!

    
respondido por el Milen 25.11.2017 - 14:57
fuente
1

Este es un enfoque mucho mejor que intentar hacer que las personas denuncien violaciones .

En primer lugar, las personas harán cosas que les afectan o tienen un significado para ellas. Por lo tanto, sugiero que se trate de "así es como lo protegemos" en lugar de cómo proteger los datos corporativos. Enseñe a las personas a mantener la seguridad de la computadora de su hogar; lo tomarán en serio. Hable sobre cómo los malos quieren tener acceso a las computadoras de su hogar y cómo lo hacen. Luego, use ese conocimiento para ayudar a que sus compañeros de trabajo se interesen en la seguridad de TI corporativa.

Enviar un "boletín de seguridad" puede ser algo positivo. Hable sobre los efectos positivos que tiene la buena seguridad de TI: proteger los datos corporativos y la confidencialidad del cliente. Hable sobre cómo funcionan las Organizaciones de prestación de servicios de atención médica para mantener en privado su registro médico. No intente asustar a la gente para que se convierta en seguridad, eso solo funcionará un poco. Si tiene números de las veces que los malos han intentado acceder a su red, sería útil.

También he visto con un boletín de seguridad donde hay un pequeño cuestionario y todos los que contestan el cuestionario ingresan en un sorteo por un pequeño premio.

Lo mejor que puedes hacer es asegurarte de no afectar la facilidad de uso al hacer seguridad. Eso solo enfurece a los usuarios y hace que intenten evitar los controles que se han implementado. Algunas veces tenemos que hacerlo, pero también he visto equipos de seguridad fuera de control en los que "sí, estamos seguros" es el mantra, pero todos en la empresa están frustrados porque tienen que saltar por los lazos excesivos para hacer su trabajo. .

    
respondido por el baldPrussian 24.11.2017 - 20:15
fuente
0

Querrá intentar enfatizar los beneficios de una buena higiene y una buena práctica de seguridad. Deberá poner esto en un idioma que la empresa entienda, en lugar de hacerlo en un lenguaje de tipo técnico o de seguridad.

Es difícil dar sugerencias más específicas sin poder comprender los tipos de iniciativas de seguridad que tiene, pero como es una empresa de TI, el primer tema podría ser la confianza del cliente. Tener buenas prácticas de seguridad que estén bien documentadas, contar con procesos y herramientas certificados, tener estándares claros y amp; procesos Todas estas cosas pueden funcionar para que sus clientes puedan confiar más en usted; es muy probable que esto tenga un efecto positivo en las ventas.

Tal vez vea cómo Microsoft enfatiza su seguridad para Azure y Office 365 para ver ejemplos de cómo puede funcionar esto. No es en vano que muchas organizaciones gubernamentales de la UE ahora prefieren Azure en lugar de otras soluciones globales de nube.

    
respondido por el Julian Knight 24.11.2017 - 20:03
fuente

Lea otras preguntas en las etiquetas