5 ene. 2018

Entendiendo e implementando la "concientización"

Por Israel Rogelio Gómez Juárez
Auditor sistemas de gestión en NYCE

Creo que este es uno de los controles que deberían de utilizarse para tratar riesgos cuando de errores humanos se refiere y no estoy hablando de la capacitación.

Primero quiero aclarar 3 conceptos que son totalmente distintos:
  • Capacitar
  • Formar / Educar
  • Concientizar
Para empezar capacitar es habilitar a alguien a que pueda realizar ciertas acciones, formar o educar es moldear una persona en alguna disciplina, la cual no siempre es para que realice una sola acción, si no más bien que sea capaz de tomar decisiones mientras las realiza.

Concientizar va más allá que dar un curso de inducción o pegar anuncios en todo el edificio y la realidad es que la mayoría se queda en capacitar y educar. ¿Por que? Pues por que concientizar es llegar al elemento más sensible del ser humano.

Veamos la definición de nuestro siempre amigo Google:
Entonces... concientizar es la acción de hacer que el personal conozca de manera responsable y personal de una cosa determinada, la "cosa determinada" puede ser una idea, una política o una obligación... lo complicado es que se perciba como algo personal, ¿Por que es complicado? Es como si trataras de persuadir a alguien a que te ame y sienta cariño por ti, ciertamente es posible, pero no por que se lo digas, tendrías que hacer ciertas acciones que ayuden a que [email protected] convenzas de que vale la pena amarte.

Así de complicada es la concientización, el personal podrá asistir a infinidad de cursos pero si no es consciente es muy probable que el error humano (intencional o no intencional) sea un vector negativo dentro y fuera de la organización.

La definición anterior tocó un punto importante “Conocimiento responsable” por lo que creo que sería conveniente mostrar el significado de "Responsable":
Nuevamente es que la persona sea conciente de sus obligaciones, por ejemplo imaginemos que todo el personal tiene la obligación de no guardar sus contraseñas en lugares no autorizados (Post-it, el escritorio, cuadernos de notas, en un archivo digital, etc) bien, ¿Como lo capacitas? Supongamos que asiste a un curso de inducción y ahí se le dice el lineamiento que tiene que seguir, lo formas/educas llevándolo a seminarios, capacitado por entidades externas, lo evaluas, le muestras el camino para comprender más el tema, e incluso si llega a tener bajo aprovechamiento le das una plática más particular. Llegando hasta aquí ¿Crees que podamos decir que esa persona ya es conciente? Puede que si o puede que no, depende de la responsabilidad con la que el asimiló la información que se le proporcionó.

Pongamos un ejemplo un poco más drástico, el 7 de septiembre de 2017, en chiapas se presentó un terremoto con magnitud de 8,2. Sí eres una persona activa en redes sociales probablemente te diste cuenta que los memes estaban a la orden. El 19 de septiembre ocurrió una ironía sorprendente, ese día estaba programado un simulacro a las 11:00 donde la Secretaría de Protección Civil pidió a la población que participará, el resultado fue que no todos participaron ¿Por que? Por que no eran conscientes, sabian y conocian, pero no significaba una responsabilidad para todos el ser participe de dicho evento, y ¿Los que sí participaron? ¿Lo hicieron con responsabilidad?, algunos sí, otros no tanto, otros probablemente hasta jugaban, al final fue solo un simulacro más. El mismo día a las 13:14 ocurrió el evento catastrófico que paralizó al país, después de eso... mucha gente fue consciente… Este mismo año pero el 26 de diciembre ocurre otro sismo, de magnitud más baja a las 14:23, a pesar de que fue un sismo menos fuerte, en redes sociales ya no hubo la misma mofa que el pasado 7 de septiembre, ¿Por que? Ya existe un grado de consciencia más fuerte para estas situaciones.

Considero que este es el mejor ejemplo de cómo diferenciar entre capacitar y concientizar, obviamente no tenemos que llegar a eventos tan extremos dentro de una organización, pero si podemos generar técnicas más eficaces.

A continuación les comparto a mi experiencia un método que podría funcionar para concientizar, entiendo que cada organización es diferente así que será importante que valoren que podría funcionarles y que no y aunque esté artículo es enfocado a la seguridad de la información, puede servir sin problema para concientizar sobre cualquier tema.

Planeación

Desarrollar un plan en donde se defina lo siguiente:
  • ¿Que se va a comunicar?
  • ¿En que se va a capacitar?
Así es, aunque capacitar, formar y concientizar son diferentes, no se puede prescindir de ninguno de ellos, por ejemplo, no creo que una organización quiera concientizar al personal en quienes cumplen años en febrero, sin embargo, por cultura organizacional o por lineamientos es necesario comunicarlo y/o informarlo. Lo siguiente es la capacitación, en este punto no me detendré por que es algo que recursos humanos lo tiene bien trabajado con las famosas DNC, lo que podría ser diferente son las inducciones, pero eso ya es un plus, regularmente en las inducciones se tocan diversos temas, por lo que perderá fuerza el tema que si nos importa que sean conscientes.

¿Que se va a concientizar?

Se tiene que definir de manera específica que se va a concientizar (Una idea, un compromiso, una responsabilidad, un lineamiento, una política, alguna ley, etc.), si en un principio es un poco complicado saberlo, se pueden tener las entradas de los siguientes puntos.
  1. Incidentes (Seguridad de la información, en el servicio, temas organizacionales)
  2. Planes de continuidad de negocio
  3. Riesgos identificados
  4. Problemas (situaciones generados por varios incidentes y se catalogaron como problemas, o situaciones repetitivas que retrasan o detienen la operación)
  5. Objetivos de negocio (Que pasaría si por falta de concientización, un empleado detiene la operación de un proceso que es crítico para la entrega de servicios)
  6. Regulaciones y leyes, por ejemplo la ley de protección de datos personales

¿Cuáles son los objetivos y formas de medir los resultados?

Es importante definir que se quiere obtener después de concientizar y como lo vas a medir, por ejemplo en una campaña publicitaria, el objetivo es vender más y se mide la eficacia de la campaña con lo que se gastó y el dinero que se obtuvo por esa campaña, para la concientización es algo similar, si tomamos en cuenta por ejemplo que hubo un incidente donde una persona dió clic en un correo fraudulento y como resultado se fugó información, el objetivo de tu campaña podría ser que los colaboradores logren identificar un correo falso, para medirlo puedes enviar correos falsos controlados y detectar quienes de ellos dieron clic, de esta manera podrás darte cuenta que tan efectiva es tu campaña.

TIP: Sería importante considerar medir antes de ejecutar la campaña de concientización, ésto dará un panorama y al final obtendrán una foto del antes y el después.

Ahora es momento de responder las preguntas ¿Como? ¿Cuando? ¿Donde? ¿Quien?

Probablemente el "como" es una de las partes más complicadas, prácticamente es la estrategia que se usará y el enfoque. Dependiendo de la organización es el matiz que se le puede dar a cada campaña, por ejemplo, no es lo mismo concientizar en medio ambiente que en el código de vestimenta o en ciberseguridad, cada uno tiene un sabor y objetivo distinto, lo importante es definir cómo serán los mensajes, (Corto, extenso, serio, fresco, alegre) recordemos que ya definimos anteriormente el "que" queremos concientizar, pero ahora hay que definir el "cómo", pongamos un ejemplo, imaginemos que queremos concientizar en el uso de contraseñas, el objetivo es asegurar que no las guarden en cualquier lugar o al menos a la vista, entonces podríamos tener estos mensajes.
  • Es importante que conserves tus contraseñas en lugares seguros y no dejarlos a la vista sobre cualquier medio.
  • Todos los empleados son responsables de conservar en lugares seguros sus contraseñas.
  • No olvides que tus contraseñas son la llave a la información que manejas, guardarlas en un lugar seguro y que no se encuentre a la vista de cualquier persona es muy importante.
Al final, todos los mensajes tienen el mismo objetivo, pero el tono y la seriedad es muy diferente, esto no quiere decir que alguno de ellos esté mal, más bien se debe de tener estructura constante sobre los mismos, por lo que el mensaje debe de ser claro, preciso y objetivo, en pocas palabras que no se preste a interpretaciones.

¡Bien! Ya tenemos los mensajes, ahora tenemos que identificar cuales son los medios de difusión con los que contamos, pueden ser carteles, videos, protectores de pantalla, fondos de escritorio, tripticos, dinámicas de integración, comunicación interna, etc. ahora bien, ¿Cuál será el mejor medio? Pues la realidad es que el tema no es el medio, el tema es la importancia que se le va a dar a esa campaña, si vas a utilizar un pizarrón, no pongas el mensaje en un Post-It y lo pegues, si vas enviar un comunicado, no lo envíes junto a tu boletín de cumpleaños, tiene que identificarse la importancia de que se comunique ese mensaje, obviamente si combinas medios de difusión tendrás mayores vectores de impacto.

Define la frecuencia, y aprovechando ponle un nombre a tu campaña, todos deben saber que es una campaña, por ejemplo: La semana de la seguridad, viernes de cuidar un árbol, etc. como si se tratara de un un día festivo, por ejemplo en navidad las marcas y la familia nos concientizan acerca de la importancia de las fiestas de fin de año, te guste o no la navidad, ya eres consciente :) Así mismo con las campañas, ¿Porque? Por que somos seres humanos sensibles al entorno, no es lo mismo ver un aviso en un comunicado, que de repente ver que todos tienen un fondo de pantalla y una pelota anti estrés que dice que cuides tu contraseña.

Define a quien irán dirigidas las campañas, si a todos los empleados o a ciertas áreas.

Formaliza y define roles y responsabilidades

Crea un calendario, formaliza un calendario donde establezcas la frecuencia y los periodos que van a durar tus campañas, algunas puede que duren más, otras solo tendrán ciertos días, otras puede que sea recurrentes en el año, te recomiendo que integres en el calendario el periodo de medición, ya que en este tiempo no deberían de haber campañas.

Crea un proceso, parte de la formalización es que sepas en que van a consistir tus actividades, las entradas y las salidas que esperas, es importante que el proceso sea revisado, aprobado y autorizado por dirección, recuerda que ellos son los que toman las decisiones, además, así le darás mayor peso a tus campañas.

Ejecución

Es momento de llevar a cabo tu proceso y calendario, lo que recomiendo es que si de alguna manera no se percibe efectiva la campaña, no la detengas ni la interrumpas, al final vas a medir e identificar exactamente que se tiene que mejorar, si lo interrumpes no alcanzaras a detectar todos los puntos.

Medir y mejorar

Después de ejecutar el primer ciclo de tu plan, es momento de medir y analizar los resultados, aun que esto se puede realizar solo después de ejecutar la campañas, recuerda que en el plan se estableció la manera de medir, ¿Por que? Por que se tiene que saber como se van tratar los resultados, no es lo mismo medir que tan efectivo es un comunicado a medir el impacto de un pizarrón o de un cartel.

Ejemplos:
  • Encuestas y/o entrevistas, puedes generar una encuesta o realizar entrevistas a algunos colaboradores sobre si percibieron la campaña, que entendieron, cual es su responsabilidad y por que, cual fue el medio donde identificaron la idea, etc. Es de mencionar que no es un examen para ellos, si no al contrario, es una manera de evaluar tu campaña y que tan efectiva es.
  • Impacto en los objetivos y metas (reducción en costos, incidentes, problemas)
  • Estadísticas, existe software que analiza o emite encuestas, hay varias soluciones en linea que te pueden ayudar en este tema.
Después de realizar el análisis, toma acciones de mejora, puede que algunas campañas fueron efectivas, otras no tanto, identifica qué puntos puedes mejorar, independientemente de si funciono la campaña o no, en una organización siempre está presente la rotación de personal y los nuevos integrantes también tienen que ser conscientes.

En resumen

Conclusión

Espero que este artículo les sea de utilidad, siéntanse libres de utilizar y/o mejorar esta información, a mi parecer este es un tema muy complicado, y considero que todo es mejorable y adaptable, por ejemplo, si dirección fuera el primero en tener consciencia, sería un empuje muy importante, por eso aconsejo que dirección apruebe el proceso, pero bueno !! me despido no sin antes pedirles que comenten sus dudas y/o sugerencias.

Fuente: Israel Rogelio Gómez Juárez

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!