¿Pensamos alguna vez en los sentimientos o estados de ánimo de nuestro personal al enfrentarnos a un problema de vulneración en la seguridad? ¿Analizamos las necesidades diversas y profundas de nuestra gente?
¿Tomamos en cuenta el comportamiento organizacional?
Cuando hablar de seguridad informática requiere más que elementos de hardware, componentes de software o procedimientos acabados y se parece mucho más a una charla profunda con el psicólogo de cabecera
Mucho se ha hablado y hecho sobre la seguridad durante estos últimos años, tanto desde la parte física como de la lógica.
La aparición de amenazas crece exponencialmente y por lo tanto, cada vez, software más potente cuida los activos de las empresas, y trabas físicas más inexpugnables cierran la posibilidad de que algo se pierda, se robe o se acceda, pero… ¿es esto suficiente?
Muchos sostienen que si, o que si hoy no existe el software o hardware que nos proteja, pronto estará disponible en el mercado.
Otros pensamos que no, que la visión sobre la solución no es del todo acertada.
Todo proceso, sistema, técnica, procedimiento o conjunto de elementos enlazados, es tan débil como el más débil eslabón en esa cadena y en el caso de la seguridad el punto más débil en cualquier cadena es el ser humano interviniente.
Cabría preguntarse si, siendo esto así, las personas no pueden ser controladas, y generalmente arriesgaríamos una respuesta positiva ya sea nosotros, o los especialistas en la materia.
De hecho, podemos (y lo hacemos continuamente) poner múltiples medios de identificación segura, elementos de seguimiento de operaciones sobre datos críticos, registros de conexión para auditoría, niveles de autorización, etc., etc., y todo esto darnos una sensación de seguridad extrema, invulnerable, o al menos toda la que podemos pagar, pero… ¿estamos realmente tan seguros como pensamos?
La respuesta puede no ser tan clara o concisa, y mucho menos definitiva.
¿Por qué?
Porque aún nos queda un elemento estratégico que puede debilitarse o puede no funcionar conforme a lo que necesitamos, y muy probablemente no esté totalmente cubierto por toda la tecnología existente, y este es, el personal que lleva a cabo acciones en el entorno.
En general, mucha de la seguridad está pensada para bloquear las amenazas externas, para evitar accesos malintencionados, y para tener control sobre la información o los activos de la empresa.
Difícilmente encontremos hoy una empresa donde la información no sea el principal activo de la misma.
Sin embargo, ¿Qué pasa cuando el factor de riesgo se posiciona en alguien que tiene las llaves del reino, es decir, acceso a las instalaciones, a los datos, a las impresoras donde volcar información, a los almacenamientos portátiles, y a toda una gama de elementos que, en manos incorrectas, son más que peligrosos?.
Nos devanamos los sesos y pensamos ¿Cómo esto puede ocurrir? ¿No se puede confiar en los empleados?
Ciertamente sí, pero solo si se los considera como lo que son, seres humanos y capital de la empresa.
Desde la dirección o altos mandos, un maltrato constante aunque sutil, la ignorancia sobre las opiniones, el descrédito sobre las aseveraciones de nuestra gente, la falta de premio (aunque sea moral) por lo logros (y quizás algún castigo o no premio por los malos hábitos y la falta de logros aunque nos suene mal), la desconfianza, la no conformación de un grupo sólido de trabajo, y la falta de liderazgo entre otros factores, hacen que la persona, este ser humano que trabaja como recurso en nuestra empresa, pueda fallar o vulnerar la seguridad, voluntaria o involuntariamente.
Por otro lado, desde la órbita de la gente que trabaja para nosotros, la sensación de no pertenencia a la empresa, de no ser escuchados, la falta de motivación, los objetivos no compartidos, el temor a perder el empleo, las carencias económicas, la falta de visión de futuro en la empresa y otros muchos más elementos negativos, son realidades que pueden estar presentes entre ellos.
Para las primeras, donde el control lo tenemos quienes lideramos, el trabajo no es fácil pero el camino es más transitable.
Si estás cosas nos están pasando, quizás con ayuda externa, y con una fuerte involucración nuestra y planificación, podemos zanjarlas o revertirlas.
Por supuesto que nada de esto se puede hacer en solitario, y debe ser a conciencia de toda la dirección y los altos mandos.
Para las otras, el trabajo es mucho más difícil porque no tenemos control, y por lo tanto, deberemos estar midiendo todo el tiempo la reacción a nuestras acciones, los resultados de cada condición instaurada, los cambios generados en esos elementos a partir de nuestras maniobras, y por sobre todo, el impacto de nuestras decisiones.
Medir o corroborar no es fácil, porque para hacerlo se requiere una cultura de compartir y no compartimentar, de valores fuertes y reales que se puedan palpar en el día a día, de comunicación seria, honesta, clara y extrema que no se genera de un día para el otro, y por sobre todas las cosas, de mucha vocación.
En estos casos, la gestión del cambio pasa a ser una competencia de oro para estas lides, un elemento indispensable que, sin embargo, habitualmente no es tenido en cuenta, no es del todo valorado y por esto, queda rezagado.
Es muy importante considerar que, si lo primero está ocurriendo, lo segundo indefectiblemente también, con lo cual el panorama se torna mucho más complicado, porque se abren dos frentes de trabajo y a esto se le suma la variable tiempo, tema no menor en este tipo de escenario.
Tenemos que cambiar primero nuestra forma de hacer las cosas para que se abran instancias de diálogo y de trabajo común, y que, de esta manera, lo que no está bajo nuestro control comience a modificarse y estarlo.
Pero esto no va a suceder espontáneamente y requiere de mucha ayuda.
Comunicar (o híper comunicar) todo lo que sea posible, abrir nuestro juego, generar grupos de opinión internos, quizás hasta generar algún proceso de calidad o mejora continua para estimular el cambio y trabajar, por ejemplo, en el ajuste de remuneraciones de acuerdo a mercado y/o carga de trabajo, son algunos primeros pasos para atacar el tema de forma general, pero la parte más rica y más productiva va a ser la que hagamos con cada individuo.
No debemos olvidar que tratamos con seres humanos, y que cada ser humano tiene sus propias necesidades, visiones de la realidad, sentimientos y opiniones, por lo cual, no hay soluciones únicas, genéricas, ni masivas.
Cada fibra o cuerda debe ser pulsada de la manera correcta para que las cosas cambien, se enderecen y produzcan los resultados esperados.
Y debemos ser buenos ejecutantes de esta música.
Aquí, ya no nos ayuda el software ni el hardware.
Aquí el trabajo es mucho más profundo y casuístico.
Aquí no valen las metodologías por sí mismas.
Llegados a este punto, la empatía, el sentido de justicia, la apertura mental, la escucha activa y la actitud proactiva, hacen al éxito, y cada logro será tan solo un logro puntual e individual, aunque quizás, algunos logros individuales impacten de manera positiva en el resto.
El problema es que, generalmente, en las ramas de estudio con base en la tecnología, no se nos prepara para esto.
Nuestras variables, si bien pueden ser múltiples, son siempre finitas, mientras que en el relacionamiento humano las mismas son infinitas, e incluso inestables según la ocasión, ya que la misma persona puede actuar diferente o tener miradas muy disímiles sobre un problema en función del momento y de los cambios en sus propias variables (familia, amigos, salud, etc.).
Es necesario tomar este tema en profundidad si queremos una verdadera seguridad instalada en nuestra empresa, si queremos reforzar nuestra cadena de trabajo y hacer que nuestros activos estén a resguardo.
Quizás debamos cambiar nuestra mirada, quizás debamos en algún punto ser menos técnicos y más humanos, quizás debamos aprender a relacionarnos más desde la persona que somos más que del puesto que ocupamos, y también, muy probablemente necesitemos ayuda para esto.
Las actividades de Coaching de gerentes y mandos medios, las revisiones de clima organizacional, las encuestas internas, y en general, el trabajo sobre la excelencia en el tratamiento del capital humano en las empresas, son herramientas más que válidas en el ordenamiento y reafirmación de la calidad de nuestra seguridad, y como podemos intuir, están más del lado de las áreas de recursos humanos, que del área de tecnología, por lo cual, ha llegado el momento de analizar nuevos caminos, para recorrer en conjunto con nuevos compañeros de viaje.
Una buena forma de arrancar haciendo algo con esto es confeccionar un listado de las cosas negativas que vemos en nuestra empresa relacionadas al personal o al relacionamiento con el mismo, ya sea una de las mencionadas en esta nota u otras que aparezcan en la revisión.
Analicemos cada uno de los factores negativos encontrados en conjunto con el área de recursos humanos (o con algún asesor externo en la materia) y veamos qué se está haciendo o se puede hacer en el corto, mediano o largo plazo, para resolverlas, anularlas o minimizarlas.
Examinemos también el impacto actual de cada elemento encontrado, y también el costo de implementar las soluciones para poder ver cada problema en su total magnitud.
Recién, luego de esto, planifiquemos en conjunto con nuestros nuevos socios, las acciones a desarrollar.
Por supuesto hay mucho camino por andar, y nada puede resolverse con solo un par de acciones, pero debemos estar conscientes que, si alguno de los problemas mencionados aquí forma parte de la realidad de nuestra empresa, es hora, sin demora, de emprender el cambio…
Y, para todo esto, podemos ayudarte.