28 enero 2010

¿Cómo debe ser una política de seguridad?

Ayer publicaba Optima Infinito un post titulado "Desarrollo Organizacional: El que no la hace, la paga"relativo a cómo deberían ser, a su entender, las políticas y normativas de una organización dada la evolución de la sociedad y sobre todo, porque ahora las personas somos el centro.

Algunas reflexiones interesantes:

El enfoque 1.0 es característico de la empresa tradicional. En él, el empleado es considerado como una persona que, si no se hace algo para evitarlo, actuará únicamente en beneficio propio y contra los intereses de la empresa. Se considera implícitamente que los empleados son inmaduros y egoístas. Hablamos, en resumen, de un enfoque regido por la desconfianza hacia el empleado.

Las políticas generadas desde este enfoque son rígidas y genéricas. Suelen ser resultado de la falta del liderazgo necesario para gestionar las diferencias, por lo que terminan optando por la solución simplista de defender como única prioridad los intereses de la empresa a cualquier precio, cayendo así en un proceso de “criminalización colectiva” por el que una mayoría de empleados resulta injustificadamente perjudicada.

El enfoque 2.0 es el que en mi opinión debería comenzar a imponerse. En él, el empleado pasa a ser considerado una persona madura, responsable y juiciosa que sabe encontrar la forma de compatibilizar sus intereses personales con los de la empresa. Es un enfoque regido por la confianza mutua, el diálogo y la transparencia.

Las políticas generadas desde este nuevo enfoque son flexibles y específicas, demostrando sensibilidad hacia las distintas necesidades, con una clara vocación integradora de intereses y con capacidad y liderazgo para explicar y justificar las diferencias. En lugar de criminalizar colectivamente a los empleados confían en la autocensura y el buen juicio de los mismos, a la vez que fomentan que se monitoricen las desviaciones y se actúe enérgicamente sobre ellas.


Como habréis visto, una reflexión muy interesante a mi juicio y que no debemos dejar pasar los profesionales de la seguridad de la información puesto que sabemos que el Cuerpo Normativo es una de las principales herramientas con las que contamos para definir el nivel de seguridad deseado por la organización.

Al menos en mi experiencia, la mayoría de las normativas que he desarrollado han sido totalmente del estilo 1.0 y la verdad es que, pocas veces, han sido muy user friendly que digamos. Quizás muchas de las reticencias de los usuarios se deban a este hecho, a que no eran muy 2.0.

¿Deberíamos cambiar nuestro estilo en la elaboración de los cuerpos normativos de seguridad? ¿Están los usuarios preparados para este tipo de normativas 2.0? Supongo que también dependerá del estilo de dirección de la organización, claro está...

Yo me inclino más por dar el paso e intentarlo con el modelo 2.0... ¿Y vosotr@s?



Vía | Optima Infinito
En Carpe Diem | Adagreed: Un ejemplo de poner los usuarios en el centro

No hay comentarios: