¿Cómo formar al personal para que este concienciado con el RGPD?
RGPD
La formación de concienciación del personal es una de las partes esenciales del RGPD (Reglamento general de protección de datos), pero ¿sabe cómo ponerlo en práctica?
En el artículo de hoy vamos a ver diferentes formas de la que puede hacer que sus empleados se conciencien del buen uso del RGPD.
Considerar sus requisitos
No existe un enfoque que sirva para todas las organizaciones. Todas las empresas necesitan adaptar el programa según diferentes factores, el más obvio es el tamaño de la organización.
Cuantos menos empleados tenga, más práctico debe ser y más tiempo tendrá para asegurarse de que todos comprendan lo que están haciendo.
La otra cara es que menos trabajadores significan menos recursos, lo que hace que las opciones de capacitación sean mucho más caras por persona y que sea mucho más accesible a grandes empresas.
Se deberá realizar una planificación de los cursos de capacitación con más cuidado, ya que las empresas pequeñas no se pueden permitir tener una docena o más de personas en capacitación al mismo tiempo.
Establecer métricas para el éxito
No es bueno implantar un programa de concientización de las personas si no sabe si está funcionando. Es por esto que es necesario establecer metas medibles.
Para establecer metas a corto plazo. Es necesario revisar el tipo de amenaza a las que se enfrente, por ejemplo, durante un mes y podrá crear objetivos a más largo plazo basados en eso.
Ser minucioso
La capacidad de la persona supone mucho más que sentar a sus empleados y darles una conferencia sobre los riesgos de seguridad de la información.
Es necesario que sea un proceso continuo y detallado en el que se muestre a los empleados cómo pueden surgir los riesgos y explicar cómo las políticas y los procesos lo abordan.
Involucrar al personal
La formación del personal no debería ser simplemente un ejercicio en el que los empleados se sienta, y la empresa espera que todos recuerden cada punto que se planteó. Debe ser un proceso de continua formación, que forme parte de la cultura de la organización. De esta forma conseguir que los empleados lo interioricen.
Involucrar al personal es una variedad de formas es esencial para este proceso, y las personas aprenden de distintas formas. Por ejemplo, algunos prefieren escuchar, mientras que otros prefieren que la información se encuentre escrita o representada de forma visual.
Las empresas deben utilizar tanto de estos enfoques como sea posible. Los cursos de aprendizaje electrónico son excelentes para el estudio interactivo, los carteles proporcionan guías visuales y las actualizaciones por correo electrónico sobre las políticas son útiles y de fácil acceso.
Centrarse en el comportamiento, no en el conocimiento
Juna cosa es que los trabajadores consigan buenos resultados en un examen, pero otra completamente diferente es que demuestren sus conocimientos en su día a día.
Un claro ejemplo es el phishing, la mayoría de las personas pueden detectar correos electrónicos fraudulentos en la configuración de prueba, pero cuando están en la oficina es probable que abran un enlace o un archivo adjunto malicioso sin cuestionar su validez.
Para cerrar la brecha entre el conocimiento y la práctica, las empresas deberán contextualizar lo que están enseñando y crear juegos de roles o estudios de casos que sean mucho más realizas.
Un ejemplo, se puede probar la capacidad de su personal para detectar un correo electrónico de phishing con un ataque simulado.
Programar el tiempo de forma correcta
La concienciación del personal requiere de tiempo para hacerlo bien. Hay poco que ganar con la implantación de un programa lo antes posible, porque terminará con ejercicios defectuosos que no consiguen los máximos resultados.
Es mejor que se concentre en una cosa a la vez, impleméntala cuando esté lista y refine el programa en función a su éxito.
Sea participativo
Como ya dijimos, no debe esperar cambios de forma drástica y duraderos. Esto es porque está tratando de corregir malos hábitos de sus trabajadores, esto puede llevar un tiempo.
La clave es confiar en el proceso, continuar brindada capacitación y otras prácticas, incluso si las mejoras a corto plazo son mínimas.
El personal se irá acostumbrando de forma gradual a la nueva forma de pensar y será mucho más hábil para seguir las indicaciones.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.
