Hemos estado utilizando katas de mejora para mejorar nuestros procesos. Escribimos un blog en profundidad sobre esto, pero la esencia es que mejoras un proceso haciendo pequeños cambios enfocados y midiendo si te acercaste a tu objetivo. Medir es esencial en este proceso; si no mides, no sabes si hay algo que mejorar o si tus cambios fueron efectivos. Por suerte, encontrar qué medir es relativamente sencillo... normalmente..
¿Por qué la seguridad?
Centrémonos en la seguridad. La seguridad es importante. Todos lo sabemos. No queremos que tu nombre y dirección se compartan en Internet, ni que pierdas los resultados de tus exámenes. Más seguro es mejor. Pero más seguridad no es necesariamente más seguro. Si pusiéramos una alarma en todo lo que puede ir mal y controláramos cada movimiento de nuestros sistemas, nos ahogaríamos en notificaciones que nos distraerían. No tendríamos tiempo para dedicarnos a otra cosa. Así que tenemos que elegir qué hacer. Tenemos que medir la seguridad si queremos mejorar nuestros procesos de seguridad. Pero, ¿cómo se mide la seguridad?
Formas de medir la seguridad
La seguridad no es muy fácil de medir, sobre todo en un plazo corto. Para algunos procesos, puedes medir el tiempo que tarda un usuario en realizar una determinada tarea en una página web, o puedes contar el número de preguntas sobre un tema específico. Luego puedes hacer los cambios y volver a medir para ver cómo han cambiado las cifras. Pero en el caso de los procesos de seguridad, simplemente no hay suficiente flujo a través del proceso. Por ejemplo, no podemos obtener mediciones significativas a partir del número de violaciones de datos. No podemos mejorar a partir de 0, y no tener ninguna violación de datos no significa que no haya posibilidad de violaciones de datos, que es una de las cosas que nos interesan. Así que tenemos que pensar en otras formas.
Contar los problemas de seguridad
Admitámoslo, no hay sistema digital sin problemas de seguridad. Sobre todo en un sistema que cambia constantemente. Cuando se detectan estos problemas, hay que informar de ellos. Se trata de cualquier informe sobre problemas de seguridad en un sistema, desde datos disponibles donde no deberían estar hasta alguien que ha perdido la llave de la oficina. Una forma de medirlo es contar estos problemas de seguridad.
Esta métrica puede ser muy útil, pero también muy engañosa. Tener menos problemas no significa necesariamente que haya menos problemas, sólo que se pueden encontrar menos. Es como buscar tesoros; si no cavas en la arena, no encontrarás nada interesante, pero no puedes decir que no hay tesoros. En cierto modo, aumentar el número de informes de seguridad significa que obtenemos una mejor visión general de nuestro estado de seguridad. Puede ser un objetivo importante, pero no es la forma de medir la seguridad.
Cumplimiento de leyes y reglamentos
En lugar de a través de la medición, la seguridad se valora a menudo en función de normas específicas. En la UE, suele tratarse del GDPR, la ley de seguridad más estricta del mundo. En ella se describen normas sobre cómo tratar distintos tipos de datos. Esto proporciona un nivel básico de seguridad y responsabilidad, específicamente en lo que se refiere al mal uso y abuso de los datos.
Por supuesto, esto es importante. Si tiene problemas con el GDPR, hay que resolverlos. No solo por motivos legales, sino porque nos preocupamos por la seguridad de nuestros clientes. Cumplimos con el GDPR y seguiremos cumpliéndolo. Por otra parte, se trata de una línea de base después de la cual todavía hay mucha flexibilidad y la oportunidad de problemas de seguridad.
Evaluación de riesgos
Hace algún tiempo, empezamos a estudiar la norma ISO 27001. La norma describe una forma de trabajar con un Sistema de Gestión de la Seguridad de la Información (SGSI) para supervisar y tratar la seguridad de la información. Así que empezamos a trabajar en este SGSI porque nos proporcionaría un marco mejor para ver cómo lo estamos haciendo en materia de seguridad.
Como parte del SGSI, empezamos a hacer evaluaciones de riesgos de seguridad. En una reunión de evaluación de riesgos, debatimos una larga lista de posibles riesgos de seguridad con un grupo de empleados de distintos departamentos: un ingeniero de software, el director de tecnología y el responsable de privacidad. Para cada riesgo, le damos una calificación según su probabilidad de ocurrir y su impacto si ocurriera. Así obtenemos una lista de posibles problemas que hay que prevenir o mitigar, clasificados en función de su exposición, una combinación de probabilidad e impacto.
Esto puede parecerse mucho a contar problemas de seguridad, pero tiene algunas diferencias interesantes:
Tienen una clasificación de exposición, lo que nos ayuda a elegir qué abordar para obtener el mayor efecto;
La siguiente evaluación de riesgos tiene la misma lista de riesgos, lo que significa que podemos comparar el progreso de la exposición de los riesgos en lugar del número de ellos.
Los riesgos son los mismos que en la evaluación de riesgos anterior.
Esto facilita mucho las mediciones de las evaluaciones de riesgos. Ahora tenemos una forma estructurada de examinar la seguridad de Easy LMS. Completamos la evaluación de riesgos con los conocimientos que obtenemos de los informes sobre problemas de seguridad y nuestras observaciones cotidianas, y luego mejoramos paso a paso.
Certificación
Hay un problema con la medición a partir de la evaluación de riesgos: puede no ser del todo objetiva. Sólo podemos informar de lo que vemos y calificarlos basándonos en nuestras propias experiencias y pensamientos sobre el tema. Esto básicamente crea una burbuja con lo que sabemos y en lo que estamos trabajando, pero no nos está mostrando lo que hay fuera de la burbuja.
Por lo tanto, decidimos seguir con la norma ISO 27001 en su conjunto, que también describe un proceso para la certificación. Una parte externa nos calificará según nuestra aplicación de las medidas de seguridad y el SGSI; básicamente, una comprobación para ver si los demás están de acuerdo en que estamos donde creemos que estamos.
Así que estamos trabajando duro para prepararnos para este proceso de certificación, y esperamos obtener la certificación ISO 27001 en algún momento de 2023.
Cómo aplicamos medidas de seguridad eficaces
Ahora tenemos un proceso para mejorar nuestra seguridad. Hemos elegido las cosas que tenemos que mejorar y hemos empezado a aplicarlas en nuestra empresa. Sin embargo, aún no lo hemos hecho del todo. También tenemos que asegurarnos de que la implantación será un éxito.
Todo el mundo sabe que la seguridad es importante, pero a la gente no le gusta trabajar en ella. Rápidamente puede llegar a ser como los impuestos: hay que hacerlo, pero es una tarea molesta. ¿Cómo podemos evitar que esto se convierta en un problema?
Eliminar obstáculos
La principal razón por la que las medidas de seguridad pueden no funcionar es que la gente trabaja a su alrededor. Este problema reside en la medida, no en las personas. Significa que crear soluciones alternativas es más cómodo que seguir las normas y los procesos. El proceso tiene demasiados obstáculos que superar, y está en nuestra naturaleza tomar el camino de menor resistencia. Esto puede tener efectos desastrosos.
Un ejemplo extremo sería el desastre de Bhopal en 1984, donde se descuidaron varias medidas de seguridad. La ciudad se inundó de gas tóxico, matando a miles de personas e hiriendo a más de medio millón. Por supuesto, los incidentes de seguridad en Easy LMS no tendrían estos efectos extremos, pero demuestran lo fácil que es saltarse las medidas de seguridad, a pesar de las posibles consecuencias.
Lo mejor es que seguir los procedimientos de seguridad sea lo más sencillo posible. Más concretamente, intenta que sea más fácil que eludir las medidas. Puede haber algunos pasos adicionales que haya que dar por motivos de seguridad, pero no demasiados. No debe haber tiempo de espera adicional. Los procedimientos de seguridad no deben impedir que sus empleados hagan su trabajo; deben orientarles sobre cómo hacerlo de forma más segura.
Los procedimientos de seguridad no deben impedir que sus empleados realicen su trabajo; deben orientarles sobre cómo hacerlo de forma más segura.
Los procedimientos de seguridad no deben impedir que sus empleados realicen su trabajo; deben orientarles sobre cómo hacerlo de forma más segura.
Tomemos el ejemplo de notificar un problema de seguridad. Digamos que hay que hacerlo a través de un sistema de archivo personalizado en el que hay que buscar y rellenar muchos datos específicos, la mayoría de los cuales no se utilizarán de todos modos, lo que cuesta al empleado 15 minutos de su tiempo. Puede que se utilice al principio, pero no es sostenible. Es más fácil hacerlo más tarde y olvidarse de ello. Ahora tomemos otro sistema en el que un empleado puede enviar un simple mensaje en Slack con una breve descripción del problema, y éste será tratado. Sigue habiendo algunos pasos para el empleado, pero es muy fácil y requiere poco esfuerzo. Y lo que es más importante, el empleado ya no es responsable de resolverlo. Envía el mensaje y puede continuar con su jornada, lo que es mucho más fácil que lidiar con las inevitables consecuencias de un incidente de seguridad. Así que en lugar de obligar a la gente a trabajar de forma ineficaz y luego culparles por cometer errores, se analiza qué es lo ineficaz al respecto y luego se mejora, para que resulte más fácil.
Por supuesto, hay que tomar medidas para estar más seguros, pero los obstáculos que encuentran sus empleados en el camino dificultan innecesariamente su trabajo. Muchos de estos obstáculos pueden eliminarse mediante la automatización o la simple delegación de tareas.
Seguridad para las personas
Ya hemos hablado antes de la seguridad de las personas en el contexto de cometer errores. También podemos aplicar esto a la seguridad. La gente tiene que poder hablar de seguridad, mencionar problemas de seguridad y corregir el comportamiento de los demás sin consecuencias negativas. Si los empleados sienten que no pueden hablar de seguridad o no saben dónde hacerlo, las medidas de seguridad serán un obstáculo para ellos. Todos los empleados tienen sus propios conocimientos y experiencia en su ámbito, por lo que saben con qué están trabajando.
La gente tiene que poder hablar de seguridad, mencionar los problemas de seguridad y corregir el comportamiento de los demás sin consecuencias negativas.
Seguridad.
Pueden ayudar sugiriendo medidas para problemas de seguridad concretos, pueden dar su opinión sobre las medidas ya aplicadas y pueden avisar de los obstáculos que se encuentren en el camino. Por eso, cuando nos enteramos de que alguien había perdido las llaves o de que el papeleo para concertar una entrevista con un cliente era demasiado trabajo, no nos enfadamos ni nos mostramos desdeñosos. Nos alegramos de que acudieran a nosotros con esa información. Si no tratas esta información como algo valioso o si no haces nada con ella, pierdes el interés de tus empleados por trabajar de forma segura.
Sigue mejorando
Ya hemos hablado de mejorar la seguridad de nuestra información, pero es igual de importante seguir mejorando los procesos de seguridad de nuestros empleados. Si no escuchas activamente a tus empleados y cambias lo que no funciona, la medida de seguridad acabará dejando de funcionar. Los empleados, como la propia empresa, seguirán cambiando. Easy LMS seguirá cambiando, al igual que nuestros procedimientos de seguridad, no sólo para mejorarlos, sino también para facilitarlos.
Descubre más de nuestros blogs
Caroline
"Me alegro mucho de que hayamos integrado la perspectiva del cliente en nuestro trabajo"
En nuestra serie de entrevistas, Easy LMS talks, pedimos a nuestros colegas que nos hablen de su trabajo. ¿Qué hace que su trabajo sea divertido y desafiante? Esta vez es el turno de Dyann’de hablar sobre la investigación de la experiencia del usuario.
Leer más
Caroline
Nuestras prestaciones de empleo secundario explicadas
Aunque el salario es un factor importante a la hora de elegir un trabajo, no debemos olvidar las ventajas que conlleva. Los beneficios adicionales pueden endulzar el trato. Y creemos que hemos creado un paquete fantástico. ¡Sumérjase en todos nuestros maravillosos extras!
Leer más
Caroline
¡Trabajar y progresar!
¡Trabajar para Easy LMS es gratificante! Por supuesto que proporcionamos un salario competitivo, viajes y permisos para trabajar desde casa y ¡25 días de vacaciones pagas por año! Pero también estamos orgullosos de ofrecerte beneficios que te ayudan a sentirte y a hacer lo mejor. Tu bienestar, físico y mental, ¡es una máxima prioridad! Porque nuestros empleados son la columna vertebral de nuestra organización.
Leer más