¿Cómo de aceptable es tu política de uso aceptable?
Si a los usuarios les molestan, temen o ignoran las políticas sobre el uso de los recursos corporativos, puede que haya llegado el momento de adoptar un enfoque diferente que incentive en lugar de castigar.
En un mundo anterior a los smartphones, las redes sociales y los lugares de trabajo híbridos, era mucho más fácil redactar -y hacer cumplir- una política de uso aceptable (PUA). Hoy en día, es mucho más complicado. El trabajo se puede hacer desde casi cualquier lugar, en cualquier número de dispositivos. Un empleado puede aceptar un trabajo y no pisar físicamente nunca la oficina, trabajando desde casa (o desde el Caribe) con su portátil personal. Por eso, una política de uso aceptable es más importante que nunca, no sólo para proteger a la empresa, sino también a los empleados.
¿Qué es una política de uso aceptable?
Desde el punto de vista informático, una política de uso aceptable describe el uso aceptable de los datos, dispositivos y redes corporativos. En un lugar de trabajo híbrido, esa política también debe incluir los términos y condiciones para trabajar en dispositivos personales o redes domésticas. Y debe incluir a invitados, trabajadores externos, contratistas y otros no empleados que utilicen los sistemas y redes de la empresa.
Aunque algunas de esas condiciones puedan parecer obvias (como no ver porno en un portátil de la empresa), es importante que los empleados firmen la política para que conozcan las normas y las consecuencias de incumplirlas. Al fin y al cabo, puede que haya límites de velocidad, pero la gente sigue sobrepasándolos.
"La gente sabe que la ciberseguridad es importante", afirma Alex Michaels, asesor principal de Gartner. "Simplemente no están haciendo lo que queremos que hagan". Esto se debe a que quizá no consideren la ciberseguridad como su responsabilidad personal. Sin embargo, un número significativo de violaciones de datos están causadas por errores humanos, como hacer clic en un enlace malicioso. El problema es que muchas PUA están redactadas en jerga técnica y contienen frases del tipo "no debes". O el equipo de seguridad imprime una plantilla genérica que encuentra en Internet. Pero hay enfoques mucho más progresistas -y eficaces- para establecer y hacer cumplir las políticas.
"Mucha gente en el espacio de la seguridad creció en el espacio de la seguridad", dice Michaels. "Pero, ¿qué pasa con la participación de expertos con conocimientos en economía del comportamiento y gestión del cambio? Ese tipo de cosas deberían formar parte de la conversación a la hora de redactar las políticas y de intentar cambiar y replantear la percepción de la seguridad".
Las PUA establecen normas en torno a las políticas de seguridad informática
Las PUA suelen establecer normas en torno a las políticas de seguridad informática, como contraseñas, procedimientos de autenticación y uso de redes Wi-Fi públicas. También puede utilizarse para establecer normas de comportamiento en las redes sociales.
"Creo que todo el mundo necesita reevaluar esto ahora mismo", dice Frank Sargent, director senior de talleres de seguridad de Info-Tech Research Group. En el pasado, era más fácil aplicar una política de uso aceptable con controles técnicos, como cortafuegos. Hoy en día, muchos empleados trabajan a distancia, incluso en otro país (con o sin el conocimiento de su empresa), y eso puede tener ramificaciones de seguridad, cumplimiento y fiscales. Las empresas tienen que "ponerse al día con las nuevas realidades de cómo trabaja la gente", dice Sargent. "Se puede hacer como Elon Musk y decir 'volverás a la oficina'. Pero será una solución a corto plazo".
Aunque las empresas necesitan una forma de gestionar las variaciones -como dar cabida a un empleado que quiere trabajar en el Caribe durante el invierno-, también necesitan asegurarse de que sus políticas siguen siendo relevantes en un mundo cambiante.
"Tendrá que seguir aprendiendo como organización cuáles son los riesgos para usted y seguir ajustando sus políticas, sus controles y su forma de evaluar los riesgos, para que lleguen a donde usted los necesita", afirma Sargent.
Evolución de la política de uso aceptable
La política de uso aceptable debe ser auditable y aplicable, pero existe un delicado equilibrio entre proteger a los empleados y hacerles sentir que trabajan para un régimen autoritario. "Debe estar escrita para el usuario final y no para el técnico que trabaja en seguridad", dice Michaels. "Uno de los escollos que vemos en el desarrollo de políticas es que el responsable de seguridad se encargará de su creación o la delegará en alguien de su equipo, y no saldrá a buscar opiniones para comprobar que va por el buen camino".
Los programas de seguridad más maduros recaban opiniones y colaboran más estrechamente con RR.HH. y otras funciones de la empresa. Pero muchas empresas "siguen tratando de bloquear y atajar", afirma Michaels. "Siguen centrándose más en la tecnología y el proceso que en las personas a las que afectan".
La PUA debe ser clara, concisa y fácil de entender, sin tecnicismos ni jerga jurídica. Pero conseguir que los empleados la acepten también puede reducirse a algo tan sencillo como la elección de las palabras. "Mi especialidad es el lenguaje y políticas respetuosas", afirma Lewis Eisen, experto en redacción de políticas. "Lenguaje respetuoso significa políticas que no suenen como padres gritando a sus hijos". Por ejemplo, en lugar de utilizar la frase "Debe obtener el permiso del director general antes de tomar prestado un ordenador portátil", podría decir "Los ordenadores portátiles se pueden tomar prestados con el permiso del director general".
"Si suenas como un padre que grita a sus hijos, vas a obtener los mismos resultados que obtienen los padres cuando gritan a sus hijos", dice Eisen.
Hacer cumplir las políticas de uso aceptable
Una política de uso aceptable no vale ni el papel en el que está impresa si no se puede hacer cumplir. Pero "los responsables de seguridad no son administradores de recursos humanos. No son disciplinarios. Y han asumido el papel de disciplinarios, lo cual no me parece apropiado", afirma Eisen. De hecho, puede que no se sientan cómodos en ese papel: se contrataron para trabajar en seguridad de la información, no para vigilar a los empleados.
El equipo de seguridad tiene experiencia en la materia para determinar qué constituye una infracción y el nivel de riesgo de la misma (desde leve hasta susceptible de despido). Pero, según Eisen, la acción disciplinaria debe venir de RR.HH., que ya tiene procesos establecidos para estos asuntos.
"El departamento de RR.HH. (de hoy) no es el departamento de RR.HH. de tu abuelo", dice Claudiu Popa, CEO de Datarisk Canadá. "Ahora son responsables de hacer cumplir políticas como ésta, porque hasta ahora decían: 'Bueno, obviamente es una política técnica'. Pues adivina qué: no lo es. Están obligados a hacer cumplir esta política. Así que de repente tenemos este requisito de que RR.HH. esté debidamente formado en seguridad".
En algunas jurisdicciones, también podrían supervisar el cumplimiento de la privacidad, por lo que Popa recomienda que el personal de RR.HH. reciba formación sobre seguridad y privacidad. También recomienda que estén presentes en las reuniones del equipo de seguridad, "porque tienen que entender qué es lo que están haciendo cumplir". Aunque una política debe tener dientes, otra forma de hacerla cumplir es incentivar el buen comportamiento en lugar de castigar el incumplimiento de las normas.
Haz que las normas sean fáciles de seguir para los usuarios
"La gente es exponencialmente más propensa a hacer las cosas que el equipo de seguridad quiere que hagan si tienen un sentido de la responsabilidad en lo que respecta a la ciberseguridad y el impacto en el negocio", dice Michaels.
El marco PIPE (prácticas, influencias, plataformas y conocimientos) de Gartner está diseñado precisamente para eso: pasar de la concienciación al comportamiento y la cultura. Parte de ello implica utilizar el "juicio cibernético", un término acuñado por Gartner, que ayuda a los usuarios a tomar decisiones informadas sobre el riesgo en ausencia de líderes en seguridad o gestión de riesgos.
La otra cara de la ecuación es facilitar al máximo el cumplimiento de las normas por parte de los usuarios reduciendo la fricción digital, afirma Michaels. Por ejemplo, en lo que respecta a las contraseñas, un alto nivel de fricción digital sería exigir a los usuarios que las cambien cada seis meses, mientras que un bajo nivel de fricción digital sería eliminarlas por completo y pasar a la biometría.
La tecnología tiene un papel que desempeñar aquí, como el uso del aprendizaje automático y la inteligencia artificial para tomar decisiones y proporcionar momentos de formación específicos sobre lo que los usuarios deben o no deben hacer en una situación particular. Michaels está viendo organizaciones más sofisticadas hornear su PUA en herramientas de colaboración o el servicio de asistencia, o entregarlo automáticamente a los usuarios en función de su papel en un proyecto específico.
"Así, no dependes de cosas que aprendiste hace 12 meses y que has consultado rápidamente", dice Michaels. "Se trata de ofrecer esa información en tiempo real, en el momento en que realmente se necesita. Estamos viendo más organizaciones y proveedores hiperenfocados en eso".
Cuando una organización actualiza o evoluciona su PUA, no debe centrarse sólo en lo que los empleados no deben hacer, sino en lo que la organización en su conjunto puede hacer para crear una cultura de seguridad.
"Hay una diferencia entre seguir las normas de seguridad y adoptar una cultura de seguridad en la organización", dice Eisen. "¿Encerramos a la gente en jaulas con guardias en cada puerta? ¿Es ése el tipo de cultura que queremos? ¿O vamos a poner controles adecuados al nivel de lo que pedimos?".
