La capacitación en conciencia de seguridad es una pesadilla para la mayoría de los empleados.
Una de mis anécdotas favoritas es un grupo de empleados que descubren cómo completar rápidamente su entrenamiento de concienciación sobre seguridad en línea después de descubrir todas las respuestas en el código HTML en bruto.
¿Cuáles son las buenas políticas de motivación para alentar a los empleados a que ayuden a jugar una buena defensa?
Paradójicamente, la primera responsabilidad de la capacitación en seguridad es mostrar por qué la capacitación en seguridad es importante, es interesante para usted (el empleado) y relevante (para su trabajo).
Cualquier entrenamiento (al menos los entrenamientos de concienciación por primera vez) debe comenzar con esto, o al menos conducirlo muy rápidamente, de lo contrario no tiene sentido.
Aunque en su ejemplo de WTF parece que se estaba refiriendo a testing en la capacitación, que es muy diferente ... La capacitación necesita ENSEÑAR la información en primer lugar.
Si el primer trabajo (que muestra por qué es importante) se realizó bien, no necesita probar el resto. Si no fue así, bueno, entonces no hay realmente ningún punto, ¿verdad? Las personas siempre encontrarán una forma de hacer trampa si creen que no es importante.
Además, tener un entrenador interesante ayuda mucho ... ¡Pero no tanto como dar el entrenamiento en un almuerzo gratis!
He hecho esto en algunos de los bancos más grandes, con mucho éxito: los empleados están interesados en ir a por la comida (pero no solo en los sándwiches simples, claro); tienen razones para quedarse y no quedarse sin la primera oportunidad que tienen, así que se sientan y escuchan; se están divirtiendo (los estudios han demostrado que las personas se divierten cuando hay comida, imagínense); y tienen sus guardias mentales abajo, debido a la comida.
(Bueno, eso es más una estrategia que una política, pero aún así ... la política hace que los empleados quieran la capacitación y la disfruten .)
Una pequeña adición, de nuevo no es tanto una política per se, pero parte de la actitud hacia la conciencia debe ser ofrecer soluciones y < fuerte> practicidad de esas soluciones.
Por supuesto, esto incluye herramientas adecuadas, recursos suficientes para "hacer" seguridad, etc.
Sería peor que inútil si la administración hiciera que todos estuvieran al tanto de la seguridad, pero luego les negó la capacidad de hacer algo al respecto.
descubriendo todas las respuestas en el código HTML en bruto
¿No es un poco difícil tomar en serio la capacitación en seguridad, cuando la capacitación es tan fácil de subvertir?
Para la revisión del código de seguridad relacionada con el trabajo o la revisión por pares con comentarios positivos es probablemente la mejor manera.
Cuando te pones al día, contratar a los empleados es la política más importante seguida por dejar ir a los que no les importa. Nada hace que la gente no se preocupe, más rápido que ver a sus compañeros de trabajo escaparse de las malas prácticas de seguridad a pesar de que su gerente lo sepa.
Asegúrese de que cualquier política de seguridad no sea tan draconiana que impida que las personas realicen realmente su trabajo. Esto es especialmente cierto si está en una lista negra / lista gris de sitios.
Por ejemplo, una empresa para la que trabajé tenía Google en su lista gris. Esto significaba que los empleados solo tenían una cantidad limitada de tiempo para buscar en Google antes de que se agotara su "tiempo de cuota". Esto podría haber estado bien cuando la compañía estaba trabajando con un lenguaje propietario, pero escribir .Net sin poder usar Google es un verdadero dolor (y no, MSDN no es un reemplazo adecuado). Esto, combinado con la opacidad del proceso por el cual los sitios se agregaron a la lista blanca generó mucho resentimiento y subversión de la política.
Aplicar rígidamente la política de seguridad. Si tiene una política de seguridad clara y bien definida y disciplina severamente a los empleados que eluden / ignoran la política, pronto se caerán sobre ellos mismos para estar más conscientes de ello.
Suena un poco duro, pero una política de seguridad sin dientes es peor que ninguna política de seguridad.
La gente odia el entrenamiento de seguridad porque no cree que sea relevante. Para mucha gente, los riesgos son muy abstractos. Si coloca los riesgos para las personas en un nivel que puedan entender, y les brinde educación e información sobre la mejor manera de mantener su trabajo de acuerdo con la política corporativa, todo será más efectivo.
Lea otras preguntas en las etiquetas user-education corporate-policy