Costruire una cultura della sicurezza con il “sì”

L’editorialista di oggi, Ryan Davis di NS1, afferma che il mantra della TSA, “Vedi qualcosa, dì qualcosa”, dovrebbe diventare un mantra per tutte le organizzazioni di sicurezza nell’ambiente odierno sempre più minacciato. (Foto di Scott Olson/Getty Images)

Di fronte alle continue minacce, i professionisti della sicurezza informatica di solito evitano i rischi quando esaminano le richieste dei dipendenti e sono noti per implementare pratiche rigorose che possono limitare il flusso di lavoro e l’efficienza. Di fronte a carichi di lavoro pesanti e scadenze brevi, la maggior parte dei lavoratori vuole naturalmente intraprendere la strada di minor resistenza. Se il check-in con la sicurezza diventa complicato o richiede troppo tempo, i dipendenti troveranno un modo per aggirare i protocolli di sicurezza, mettendo inevitabilmente a rischio l’organizzazione.

Affrontare questa sfida richiede un cambiamento nella comunicazione e nel coinvolgimento. I team di sicurezza dovrebbero lavorare per rimuovere le comunicazioni e segnalare i blocchi stradali, migliorare positivamente i risultati di sicurezza desiderati e iniziare con un “sì” durante la valutazione di nuove applicazioni e progetti. Implementando le seguenti raccomandazioni, i leader della sicurezza possono cambiare la percezione della sicurezza da parte dell’azienda e creare una cultura più collaborativa con la forza lavoro dell’azienda.

  • Comunicare strategicamente per migliorare la collaborazione.

Incoraggiare una partnership proattiva per la sicurezza a livello aziendale dovrebbe diventare una priorità assoluta per i leader della sicurezza. Ciò potrebbe richiedere una riformulazione della comunicazione perché “la sicurezza ha bisogno dell’aiuto di tutti per avere successo” piuttosto che “la sicurezza mira a evitare che i lavoratori commettano errori”. È necessario sottolineare che la sicurezza non vuole rallentare o complicare il lavoro di nessuno. La sicurezza ha lo scopo di proteggere l’azienda e i suoi dipendenti, perché tutti vogliono che l’azienda abbia successo.

Il tema della collaborazione dovrebbe estendersi organicamente alla formazione obbligatoria sulla sicurezza. Invece di lunghe sessioni di formazione annuali che interrompono la giornata lavorativa, prendi in considerazione l’idea di offrire sessioni brevi a intervalli frequenti che siano divertenti o addirittura intelligenti, in modo che le persone siano coinvolte.

  • Rimuovere le barriere di comunicazione e segnalazione.

Incoraggia i dipendenti a segnalare qualsiasi cosa che possa rappresentare una minaccia alla sicurezza informatica. “See Something, Say Something” è diventato più di uno slogan di successo della campagna TSA: è un mantra che tutti dovrebbero ora abbracciare mentre lavorano. Questo può funzionare solo se l’azienda crea processi di reporting rapidi e indolori. Rimuovi gli ostacoli alla comunicazione e al reporting creando percorsi all’interno degli strumenti esistenti, come Slack, e struttura questi canali come facoltativi in ​​modo che i dipendenti che si uniscono sentano di contribuire attivamente agli sforzi di sicurezza dell’azienda. Rendi la segnalazione dei tentativi di phishing facile come fare clic su un pulsante all’interno del loro sistema di posta elettronica. Sfrutta gli strumenti DevSecOps che si collegano al flusso di lavoro CI/CD per consentire ai team software di trovare e correggere rapidamente le vulnerabilità prima di inserire il codice in produzione.

Questo approccio di reporting crea una situazione vantaggiosa per tutti. Coloro che segnalano punti deboli sentono di aver fatto la differenza senza essere disturbati. I report offrono ai team di sicurezza molte cose su cui indagare, ma i dipendenti possono spesso fornire un contesto critico che aiuta a identificare le minacce reali. Questi dettagli possono fare la differenza durante l’analisi e l’organizzazione di potenziali problemi.

  • Rafforzare positivamente il buon comportamento.

L’obiettivo di sicurezza di prevenire e mitigare i risultati negativi spesso porta a un rafforzamento negativo. Gli esempi vanno da quelli piuttosto blandi, come i banner di avviso rossi che vietano le e-mail, all’estremo, come le valutazioni dipartimentali o le “liste di vergogna”. Ma troppo spesso, coloro che esemplificano le migliori pratiche di sicurezza tendono a sfuggire al radar.

I leader della sicurezza vedranno un cambiamento significativo nell’impegno e nell’impegno enfatizzando il rinforzo positivo e il riconoscimento pubblico. Spesso è molto semplice: metti una stella d’oro sulla sicurezza accanto ai nomi dei dipendenti che hanno segnalato problemi di sicurezza su Slack. Se i dipendenti vedono i loro colleghi interagire attivamente con la sicurezza, anche loro vorranno contribuire.

  • Adotta un approccio “sì e…”.

Una volta che la sicurezza ha creato una base collaborativa, modifica il modo in cui il dipartimento gestisce le richieste di tecnologia e i nuovi progetti. Ciò richiede di dire “sì e…” quando possibile invece di “no”.

Chiunque abbia familiarità con l’improvvisazione conosce il valore di “Sì, e …” – essere d’accordo con qualcuno, aggiungendo un altro punto di vista. Per la sicurezza, questo significa riconoscere il valore che uno strumento o un’integrazione desiderati può fornire, identificare i potenziali rischi e decidere se dire “sì”, magari con qualche avvertimento o considerazione, può aiutare l’azienda a mitigare il rischio.

Ad esempio, l’ordinazione di un nuovo tipo di software per le risorse umane può ridurre alcuni processi manuali, ma ci sono dubbi su come vengono gestiti i dati. In questo caso, il team di sicurezza può accettare di utilizzare il software, ma chiede di disattivare alcune funzionalità. Se l’azienda ottiene il beneficio previsto, l’esperienza rimarrà positiva per tutti i soggetti coinvolti e il team che presenta la richiesta probabilmente si consulterà con la sicurezza in futuro.

La creazione di una cultura della sicurezza collaborativa che inizi con un “sì” influisce direttamente sull’efficacia con cui i team di sicurezza proteggono le loro aziende. Se la comunicazione e la segnalazione sono indolori, sarà più facile trovare e neutralizzare i potenziali rischi. Il continuo rafforzamento positivo e la collaborazione per ottenere i risultati desiderati promuoveranno una cultura che dà la priorità alla sicurezza, migliorando in definitiva le esperienze dei dipendenti e creando un ambiente aziendale prospero e più sicuro.

Ryan Davis, Responsabile della sicurezza delle informazioni, NS1