Pregunta: Hay momentos en que los equipos de ciberseguridad deben decir “no” a las partes interesadas de la empresa. ¿Cuál es la mejor manera de hacerlo?
Decir “sí” en los negocios es bueno, pero, desafortunadamente, no siempre es posible. Y entre los servicios de seguridad, decir que “no” no ocurre con la frecuencia suficiente. En sus esfuerzos por evitar obstáculos para la innovación, los gerentes de seguridad con demasiada frecuencia dicen “sí”, según Rami McCarthy, un veterano de la industria, un líder e investigador de seguridad Blog sobre liderazgo y gestión de seguridad. En cambio, es necesario un “no” estratégico deliberado y estratégico para garantizar que la seguridad no sea demasiado permisiva. Evitar estas conversaciones difíciles puede causar decisiones retrasadas, deuda técnica y equipos quemados.
Si tiene que decir “no”, aquí hay siete consejos para decir que no de una manera estratégica, clara y constructiva.
1. Proporcionar un contexto. Un plano “no” sin explicación deja a los equipos frustrados y poco claros sobre los riesgos o las alternativas. Los profesionales de la seguridad deben explicar el razonamiento detrás de su decisión y ofrecer los siguientes pasos, explica McCarthy en un reciente blog Diciendo que no.
“La seguridad no debe incluir la mayoría de los riesgos, por lo que las conversaciones deberían consistir en asesorar al propietario de un negocio en lugar de la negación directa”.
2. Diga no temprano. Se produce seguridad posterior, cuanto más se vuelve disruptivo. Responda a los riesgos potenciales en las primeras etapas para permitir lecciones más suaves. Evite la “pasividad agresiva”, donde la seguridad duda en expresar sus preocupaciones hasta que se vuelva demasiado tarde para resolverlas de manera efectiva.
“La entrega tardía de” No “, crea una deuda técnica y conduce a equipos agotados”, explica McCarthy.
3. Ofrezca alternativas seguras. Decir que no debería ser nunca un callejón sin salida. La provisión de alternativas seguras y preaprobadas ayuda a los equipos a alcanzar sus objetivos de manera segura. Incluso si la solución perfecta aún no está disponible, señalar una hoja de ruta promueve la buena voluntad. McCarthy también cree que ofrecer alternativas ayuda a prevenir obstáculos y fortalecer la colaboración.
4. Sea consistente. Las decisiones incoherentes socavan la confianza y crean confusión. Los equipos de seguridad deben establecer políticas y estándares claros que permitan a los interesados anticipar decisiones. La coherencia fortalece la credibilidad y fortalece un sentimiento de equidad a través de la organización.
“La inconsistencia al decir sin conducto a las partes interesadas que no saben qué esperar, y es una forma rápida de perder la confianza”, señala McCarthy.
5. Alinee los objetivos comerciales. La seguridad no debe funcionar en el vacío. Al decir que no, es crucial alinear la decisión con las prioridades comerciales y la tolerancia al riesgo.
“La seguridad no solo alcanza los riesgos, sino que le permite a la compañía tomar riesgos más inteligentes y atrevidos”, explica McCarthy.
6. Fomentar la comunicación abierta. Fomentar el diálogo entre la seguridad y otros equipos fortalece la confianza y reduce las barreras. Acomodar sesiones, las sesiones de “Preguntarme”, el almuerzo y el aprendizaje o el horario de oficina abierto pueden crear un entorno donde la seguridad se considera un socio en lugar de un bloqueador.
“Los equipos de seguridad que escuchan y participan activamente en el diálogo establecen un sentimiento de asociación con los empleados”, explica el asesor de ciberseguridad Tom Van de Wiele.
7. Equilibre la empatía con el pragmatismo. La empatía es esencial, pero debe equilibrarse con la toma de decisiones prácticas, según. Científica del comportamiento y experta en ciberseguridad, Dra. Jessica Barker.
“La empatía no es ser amable y decir que sí cuando queremos decir que no; es una cuestión de reflejar la comprensión y explicar las decisiones sin estar a la defensiva”.