Por Oscar Orellana A: Profesional de la Ciberseguridad, Master en Ciberseguridad (IMF Bussines School Madrid, España) , CISO y análisis forense.
Cuando hablamos de concientizar, generalmente se nos viene a la cabeza campañas de concientización de phishing, de ransomware, donde nos “enseñan” que es eso, pero lo que en realidad se nos viene a la cabeza es capacitar, durante este artículo explicaré porque esto es así.
La RAE define concientización como concienzación la que a su vez se define como “Acción y efecto de concienciar o concienciarse.” Y si vemos que es concienciar es definido como “Hacer que alguien sea consciente de algo.” Y consciente “Dicho de una persona: Que tiene conocimiento de algo o se da cuenta de ello, especialmente de los propios actos y sus consecuencias.” Definido todo lo anterior podemos comprender que para tener conciencia se requiere de un conocimiento previo de la materia sobre la cual debemos medir cuán consciente somos.
Por otro lado, capacitar la RAE lo define como “Hacer a alguien apto, habilitarlo para algo.” Y apto como “Idóneo, hábil, a propósito, para hacer algo.” Por lo tanto, podemos decir que se trata de entrega de conocimiento, habilitar a una persona con un conocimiento de una materia sobre la cual se necesita ser apto.
Entendido todo lo anterior podemos hacernos una serie de consultas:
Si en mi empresa no tengo políticas de seguridad. ¿Una campaña de concientización será lo que necesito?
Si en mi empresa nunca he capacitado al empleado. ¿Concientizar es lo que realmente necesitamos?
Las respuestas a la luz de los antecedentes parecen obvias, pero lo primero que tenemos que pensar es si existen políticas en la empresa, ya que estas van a ser la base del conocimiento, para sobre esa base de conocimiento, generar capacitaciones en función de los objetivos planteados en la empresa, potenciando el sentido de pertenencia a la misma, y con ello las personas a ser aptas para cumplir esas políticas y solamente luego de eso es recomendable la concientización, ya que esta última requiere como conducta de entrada el conocimiento previo.
Además, es importante tener presente que sin políticas o normas que sustenten el conocimiento, muchas veces será entregar un conocimiento que finalmente no se aplica, y por lo tanto esta entrega de conocimiento más que inversión en nuestra gente pasa a ser un gasto.
Una vez comprendido lo anterior se crea el objetivo general, con los objetivos específicos y los indicadores de evaluación correctos para medir cuán capacitados y cuán consciente somos.
Entonces podemos concluir que, si mi empresa quiere comprar concientización, primero debemos buscar la capacitación y para que esta tenga sentido, debe estar acompañada de políticas que le den sustento en el tiempo.
Ahora nos queda preguntarnos:
Si nos venden concientización y no nos preguntan por las políticas. ¿Nos están asesorando de buena forma?
¿Debemos fijarnos al momento de comprar la concientización los objetivos e indicadores?
Y la pregunta más difícil, ¿Estamos comprando por cumplir o para ser sustentables en el tiempo?
Solamente para reflexión les dejo un aforismo “Si usted cree que la capacitación es cara, pruebe la ignorancia” Derek Bok
Muchas gracias!!