Concientizar o Concienciar según la Real Academia Española es hacer que alguien sea consciente de algo o adquirir conciencia de algo.
El objetivo de implementar un programa de concientización en seguridad de la información es justamente que la compañía genere ‘conciencia’ sobre la relevancia que toma cada empleado en el correcto tratamiento de la información. Una empresa puede tener el mejor equipo humano de Seguridad, los mejores dispositivos, invertir gran cantidad de dinero, pero si el resto de la compañía no es consciente de la importancia de la seguridad, nada de esto es suficiente.
Los ya conocidos estudios indican que hasta un 90% de los incidentes de seguridad de una empresa son originados internamente y de éstos, el 70% corresponden a ocurrencias propias de la ‘ignorancia’ en el tema o ‘descuidos’.
Ante este escenario precisamos generar campañas de concientización constantes. No basta con realizar una campaña, sino que es necesario repetir los conceptos permanentemente.
El gran problema con el que nos encontramos los profesionales de Seguridad es que para el resto de la organización es un tema sin relevancia y aburrido. Aquí es donde entra en juego la habilidad de cada uno de nosotros para implementar una campaña que atraiga la atención de los empleados. Como consejo, les puedo decir que se alineen con sus áreas de RRHH o Marketing ya que tienen mayor experiencia en ‘comunicar’ eficientemente.
Como ejemplo, en Banco Itaú hemos realizado campañas en conjunto con RRHH orientándonos hacia el humor utilizando caricaturas que fueron difundidas en carteleras y vía correo electrónico a todos los funcionarios, de esta forma descontracturamos un tema bastante difícil de difundir.
En otra oportunidad, en equipo con nuestra casa matriz, atacamos todos los canales fuertemente realizando charlas informativas con especialistas en el tema, también apostando al humor y a un lenguaje sin tecnicismos, en las que no sólo se tocaron temas específicos de la organización sino también se habló sobre la seguridad en el ámbito personal.
Complementando esta actividad presencial, entregamos folletos, cartillas con consejos de seguridad, enviamos correos electrónicos y colocamos afiches en toda la organización.
Por último, no debemos olvidar las métricas ya que es sumamente importante generar mediciones previas y posteriores a las campañas para evaluar la evolución y el éxito del programa. Encuestas y/o auditorias presenciales podrían ser instrumentos muy útiles para esta tarea.
Comprendan y hagan comprender a los directivos de sus empresas que la concientización es una inversión altamente valiosa en Seguridad ya que todos los empleados utilizan el segundo activo más importante de la empresa: “la información”.
Ing. Pedro Adamovic
Jefe de Gestión de Políticas de Seguridad de la Información
Banco Itaú Argentina
