Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué tan aceptable es su política de uso aceptable?

[12/01/2023] En un mundo anterior a los smartphones, las redes sociales y los lugares de trabajo híbridos, una política de uso aceptable era mucho más fácil de redactar -y de aplicar. En estos días, es mucho más complicado. El trabajo puede tener lugar prácticamente en cualquier lugar, en cualquier número de dispositivos. Un empleado puede aceptar un trabajo y luego nunca poner un pie físicamente en la oficina, trabajando desde casa (o desde el Caribe) en su laptop personal. Es por eso por lo que una política de uso aceptable, o AUP (por sus siglas en inglés), es más importante que nunca -no solo para proteger a la organización, sino también a los empleados.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

¿Qué es una política de uso aceptable?

Desde una perspectiva de TI, una AUP describe el uso aceptable de datos, dispositivos y redes corporativos. En un lugar de trabajo híbrido, esa política también debe incluir términos y condiciones para trabajar en dispositivos personales o redes domésticas. Y debe incluir invitados, trabajadores temporales, contratistas y otras personas que no son empleados y que usan los sistemas y redes de la empresa.

Incluso si algunos de esos términos y condiciones pueden parecer obvios (como no ver pornografía en una laptop proporcionada por la empresa), es importante que los empleados firmen la política para que estén al tanto de las reglas -y las consecuencias de infringirlas. Después de todo, es posible que tengamos límites de velocidad, pero la gente sigue acelerando.

"La gente sabe que la ciberseguridad es importante, afirma Alex Michaels, asesor principal de Gartner. "Simplemente no están haciendo lo que queremos que hagan. Eso se debe a que es posible que no vean la ciberseguridad como su responsabilidad personal. Sin embargo, una cantidad significativa de filtraciones de datos se deben a errores humanos, como hacer clic en un enlace malicioso. El problema es que muchas AUP están escritas en jerga técnica y contienen frases de "no debe". O el equipo de seguridad imprimió una plantilla genérica que encontraron en Internet. Pero existen enfoques mucho más progresistas -y efectivos- para establecer y hacer cumplir las políticas.

"Muchas personas en el espacio de la seguridad crecieron en el espacio de la seguridad, afirma Michaels. "Pero ¿qué tal si se involucra a expertos que tengan conocimientos en economía del comportamiento y gestión del cambio? Ese tipo de cosas deberían ser parte de la conversación mientras escribe sus políticas, y busca cambiar y replantear la percepción de la seguridad.

Las AUP establecen reglas en torno a las políticas de seguridad de TI

Una AUP, generalmente, establece reglas sobre políticas de seguridad de TI, como contraseñas, procedimientos de autenticación y el uso de Wi-Fi público. También se puede utilizar para establecer estándares de comportamiento en los sitios de redes sociales.

"Creo que todos deben reevaluar esto ahora, afirma Frank Sargent, director senior de talleres de seguridad de Info-Tech Research Group. En años anteriores, una política de uso aceptable era más fácil de hacer cumplir con controles técnicos, como los firewalls. Hoy en día, muchos empleados trabajan de forma remota, posiblemente incluso en otro país (con o sin el conocimiento de su empleador) -y eso puede tener ramificaciones de seguridad, cumplimiento e impuestos. Las empresas necesitan "ponerse al día con las nuevas realidades de cómo trabaja la gente, afirma Sargent. "Puede sonar como Elon Musk y decir 'deberá estar de vuelta en la oficina' para manejar eso. Pero eso será una solución a corto plazo.

Si bien las empresas necesitan una forma de manejar las variaciones -como acomodar a un empleado que quiere trabajar en el Caribe durante el invierno- también deben asegurarse de que sus políticas sigan siendo relevantes en un mundo cambiante.

"Va a tener que seguir aprendiendo, como organización, cuáles son estos riesgos para usted y seguir ajustando sus políticas, seguir ajustando sus controles, seguir ajustando la forma en que evalúa el riesgo para que usted pueda llegar a donde necesita estar, afirma Sargent.

Evolución de su política de uso aceptable

Su AUP debe ser auditable y ejecutable -pero existe un equilibrio complicado entre proteger a los empleados y hacerlos sentir que están trabajando para un régimen autoritario. "Debe estar escrito para el usuario final, en lugar de la persona técnica que trabaja en seguridad, afirma Michaels. "Una de las trampas que vemos en el desarrollo de políticas es que el líder de seguridad será el propietario de la creación de la política o la delegará a alguien de su equipo, y no saldrán a buscar comentarios y comprobar que están en el camino correcto.

Los programas de seguridad más maduros obtienen retroalimentación y tienen asociaciones más estrechas con recursos humanos y otras funciones en el negocio. Pero muchas empresas "todavía están tratando de hacer el bloqueo y abordaje básico, afirma Michaels. "Todavía están más enfocados en la tecnología y el proceso que en las personas a las que impactan.

La AUP debe ser clara, concisa y fácil de entender -no debe haber balbuceo tecnológico ni jerga legal. Pero lograr la aceptación de los empleados también podría reducirse a algo tan simple como la elección de palabras. "Mi especialidad es el lenguaje y las políticas respetuosas, afirma el experto en redacción de políticas, Lewis Eisen. "Lenguaje respetuoso significa políticas que no suenan como si los padres les gritaran a sus hijos. Por ejemplo, en lugar de usar la frase "debe obtener el permiso del director ejecutivo antes de tomar prestada una laptop, podría decir "Las laptops pueden prestarse con el permiso del director ejecutivo.

"Si suena como un padre que les grita a sus hijos, obtendrá los mismos resultados que obtienen los padres cuando les gritan a sus hijos, afirma Eisen.

Hacer cumplir las políticas de uso aceptable

Una AUP no vale ni el papel en el que está impresa si no se puede hacer cumplir. Pero "las personas de seguridad no son administradores de recursos humanos. No son disciplinarios. Y han asumido el papel de disciplinar, y no creo que sea apropiado, afirma Eisen. De hecho, es posible que no se sientan cómodos en ese rol -se inscribieron para trabajar en seguridad de la información, no para vigilar a los empleados.

El equipo de seguridad tiene la experiencia en la materia para determinar qué constituye una infracción y el nivel de riesgo de esa infracción (desde un delito menor hasta un delito que puede generar un despido). Pero Eisen sostiene que la acción disciplinaria debe provenir de recursos humanos, que ya cuenta con procesos establecidos para tales asuntos.

"El departamento de recursos humanos (actual) no es el departamento de recursos humanos de su abuelo, afirma Claudiu Popa, CEO de Datarisk Canada. "Ahora son responsables de hacer cumplir políticas como esta, porque hasta ahora afirman: 'oh, bueno, esa es obviamente una política técnica'. Bueno, adivine qué -no lo es. Están obligados a hacer cumplir esta política. Entonces, de repente, tenemos este requisito de que recursos humanos esté debidamente capacitado en seguridad.

En algunas jurisdicciones, también podrían supervisar el cumplimiento de la privacidad, por lo que Popa recomienda que el personal de recursos humanos se capacite tanto en seguridad como en privacidad. También recomienda que estén presentes en las reuniones del equipo de seguridad, "porque necesitan entender qué es lo que están haciendo cumplir. Si bien una política debe tener fuerza, otro enfoque para la aplicación es incentivar el buen comportamiento en lugar de repartir castigos por infringir las reglas.

Haga que las reglas sean fáciles de seguir para los usuarios

"Es exponencialmente más probable que las personas hagan las cosas que el equipo de seguridad quiere que hagan si tienen un sentido de responsabilidad en relación con la ciberseguridad y el impacto en el negocio, afirma Michaels.

El marco PIPE (prácticas, influencias, plataformas y experiencia) de Gartner está diseñado para hacer precisamente eso: pasar de la conciencia al comportamiento y la cultura. Parte de eso implica el uso del "juicio cibernético, un término acuñado por Gartner, que ayuda a los usuarios a tomar decisiones informadas sobre el riesgo en ausencia de líderes de seguridad o gestión de riesgos.

El otro lado de esa ecuación es hacer que sea lo más fácil posible para los usuarios seguir las reglas al reducir la fricción digital, afirma Michaels. Por ejemplo, cuando se trata de contraseñas, un alto nivel de fricción digital requeriría que los usuarios cambien sus contraseñas cada seis meses, mientras que un bajo nivel de fricción digital sería eliminar las contraseñas por completo y pasar a la biometría.

La tecnología tiene un papel que desempeñar aquí, como el uso del aprendizaje automático y la inteligencia artificial para impulsar decisiones y proporcionar momentos de capacitación específicos sobre lo que los usuarios deben o no deben hacer en una situación particular. Michaels está viendo organizaciones más sofisticadas que integran su AUP en herramientas de colaboración o en el servicio de asistencia, o lo entregan automáticamente a los usuarios en función de su rol en un proyecto específico.

"Entonces, usted no está confiando en las cosas que aprendió hace 12 meses y en las que dio clic rápidamente, afirma Michaels. "Ofrezca esa información en tiempo real, en el momento en que realmente la necesita. Estamos viendo más organizaciones y proveedores sumamente enfocados en eso.

Cuando una organización está actualizando o evolucionando su AUP, el enfoque no debe estar solo en lo que los empleados no deben hacer, sino en lo que la organización, en su conjunto, puede hacer para crear una cultura de seguridad.

"Hay una diferencia entre seguir reglas sobre seguridad y adoptar una cultura de seguridad en la organización, afirma Eisen. "¿Estamos encerrando a la gente en jaulas con guardias en cada puerta? ¿Es ese el tipo de cultura que quiere? ¿O vamos a poner controles que sean apropiados al nivel de lo que estamos pidiendo?