Nueve sugerencias para campañas de seguridad

No voy a definir lo que es una campaña de concientización de seguridad (en inglés "security awareness"). Asumo que lo saben, o lo pueden "googlear". Tampoco hablaré de las ventajas de lanzar una campaña en una empresa y de las desventajas de no hacerlo. Parto del supuesto: entendemos que son necesarias e importantes. Y producen resultados si las hacemos bien, y como complemento a otros controles tecnológicos y administrativos.

A continuación, comparto algunos consejos concretos para tomar en cuenta y que pueden mejorar la calidad de la campaña.

1. Apoyémonos en Marketing. Quiero pensar que los encargados de seguridad informática de una empresa saben del tema, tienen un perfil adecuado y no llegaron al puesto "para aprender". Partiendo de ese supuesto, no son expertos en hacer marketing, difundir mensajes, crear textos claros sin tecnicismos, desarrollar y editar videos, y varias otras actividades más que sabe hace la gente de mercadotecnia. Dejemos que los expertos estén a cargo.

2. Desarrollemos el contenido. Dicho lo anterior respecto a la relevancia de apoyarnos en los "mercadólogos", también es importante darnos nuestro lugar. Porque nosotros seremos quienes seleccionaremos los mensajes a transmitir y propondremos los guiones de, por ejemplo, videos, carteles, correos. El mensaje debe ser técnicamente correcto y las sugerencias adecuadas y efectivas. Nosotros ponemos los tecnicismos, y ellos los embellecen.

3. Escojamos temas con sentido. No nada más es crear contenidos. Los mensajes a transmitir los debemos basar en algo lógico y no escoger temas de moda, o porque "suenan bonitos". Por ejemplo, podemos seleccionarlos con base en los principales riesgos informáticos que enfrenta la organización, las amenazas cibernéticas concretadas en los últimos meses, el top 10 de las llamadas de usuarios pidiendo asesoría en seguridad, etc.

4. Apoyémonos en quien sepa, dependiendo del tema. Supongamos que deseamos tocar el tema de la nueva ley de transparencia en nuestra campaña. Perfecto. ¿Sabemos del tema desde el punto de vista legal y de cumplimiento? ¿O es mejor ir con los abogados para validar el mensaje a transmitir? Varios profesionales de seguridad son expertos en cuestiones informáticas, pero no significa que son expertos en temas legales o de otros ámbitos. Bajémosle dos rayitas a nuestro orgullo, y pidamos sugerencias y apoyo de otras áreas si es relevante.

5. Midamos la eficiencia antes y después de enviar la campaña. ¿Cómo saber que la campaña para evitar caer en phishing fue efectiva? ¿Que las personas entendieron el mensaje y aplican las sugerencias? Es un tema complejo, al menos para los ingenieros: no estamos midiendo un control tecnológico que es posible medir de manera objetiva. Una sugerencia podría ser apoyarnos de cuestionarios o encuestas para medir el conocimiento del empleado antes y después de lanzar la campaña. Si queremos medir mejor, podemos nosotros mismos enviar correos tipo phishing antes y después de la campaña, y ver cuántos caen en nuestra trampa. Es obvio que el phishing no estaría ligado a una actividad maliciosa porque lo crearía el mismo personal de seguridad informática. Su objetivo solo sería determinar cuántos fueron pescados por el correo y abrieron un adjunto, o cuántos visitaron un sitio "malicioso". Pero de esta manera, y a modo de ejemplo, estaríamos midiendo qué tan efectiva es nuestra campaña. En este tema relacionado con "medir", no hay nada escrito; seguro encontrarán más y mejores maneras.

6. Toquemos base con la alta dirección y obtengamos su aprobación. Sobra decir que los mensajes de la campaña serán difundidos en toda la empresa; de hecho, ese es un objetivo principal. Esos mensajes deberían ser aprobados por la alta dirección, y recabar los comentarios sobre los mensajes a difundir. No cuesta nada ir con las personas apropiadas, mostrarles el contenido de la campaña y obtener sus opiniones. Es mejor si lo hacemos durante todo el proceso para crear el contenido, y no solo al final.

7. Hagamos mensajes claros y con recomendaciones a seguir. No pongamos tecnicismos. Recordemos que la campaña es para todo el personal, no solo para expertos en seguridad informática. El mensaje debe ser claro y lo debe entender cualquiera. No olvidemos: el mensaje debe contener las recomendaciones a seguir, ese es un objetivo principal de todo esto, ¿no?

8. Transmitamos el mensaje al nuevo personal. La campaña la verán los actuales empleados, pero, ¿qué va a pasar con los nuevos que vayan llegando después de publicarla y concluirla? Parte del proceso de nuevo ingreso debe ser que reciban estos mensajes de alguna manera, para no tener empleados concientizados y otros que no.

9. Concienticemos, no capacitemos. Una campaña de concientización no es una capacitación; por lo tanto, no confundamos los objetivos de cada una y démosles su lugar.

Ojalá algunos de estos consejos le sean útiles para su próxima campaña de seguridad, que seguro está haciendo periódicamente.