Creo que has golpeado el clavo en la cabeza cuando dices: "... no estás interactuando con nuestros usuarios muy a menudo"
Absolutamente debe trabajar con los usuarios finales para comprender su opinión. La mayoría de los usuarios finales no tienen interés en comprender lo que significa 0 días incluso, y mucho menos por qué deberían preocuparse.
Mucho de lo que hago es la interfaz entre los equipos de seguridad técnica y los clientes no técnicos, y el mejor enfoque, en mi opinión, es sentarse con el usuario y comprender lo que su trabajo les exige. ¿Cuáles son los aspectos fáciles y difíciles?
- Como ejemplo, ¿tienen computadoras portátiles viejas que tardan años en arrancar? Si es así, descubrirá que no querrán hacer un cierre completo todas las noches, sino que pueden hibernar sus máquinas. Lo que obviamente romperá la protección ofrecida por el cifrado de disco completo. Así que su característica de seguridad esencial se elimina a pesar de que todos saben que es valiosa. Entonces, la solución requiere un enlace con los niveles superiores para articular el problema, posiblemente refiriéndose a la legislación de protección de datos, y luego a TI.
¿Entiendes los drivers para tus usuarios? Si no les hablas, no lo harás, y hablando no me refiero a evangelizar sobre la seguridad. Me refiero a escucharlos, escuchar sus declaraciones sobre TI que no funciona, escuchar lo que creen que deben hacer como parte de su trabajo diario, luego irse y analizar qué impacto tienen sus conductores y aspiraciones en sus objetivos de seguridad.
Porque al final del día, en muchas organizaciones, la seguridad se ve como un bloqueador, algo que simplemente impide que las personas puedan trabajar; y luego, cuando la organización es hackeada, es culpa del equipo de seguridad no hacer que estén seguros.
Primero, tome conciencia a nivel de base - luego cree su estrategia de seguridad para respaldar la estrategia de TI y la estrategia de negocios. El soporte a nivel de usuario hará que sea mucho más sencillo tener la seguridad integrada en los proyectos de mejora y BAU.