Cuando se habla de informática, se tiende a asociar este concepto con nuevas tecnologías, equipos y aplicaciones (recursos informáticos). Sin embargo, se suele pasar por alto el componente base que hace posible la existencia de dichos elementos: la información.
La gran mayoría de los usuarios, desconoce sobre temas de seguridad de la información y, en especial, el alcance del área. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?
El desarrollo de un plan y campaña de concientización (Awareness Training) del personal de nuestra compañía es fundamental para mantener altos índices de seguridad. De nada sirve contar con las últimas tecnologías de antivirus, firewalls, bloqueo de USB, etc., si la educación del principal consumidor, “el usuario”, no es llevada a cabo.
Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario si lo llamamos como si fuéramos el Help Desk para corroborar sus datos, que vulnerar los sistemas de seguridad y cifrado de los sistemas. Asimismo, con tan sólo recorrer un par de puestos de trabajo podremos encontrar las contraseñas (contenidas en un post-it) pegadas en la pantalla o debajo del teclado.
Existen diferentes métodos para implementar nuestras ideas, si fallamos en la elección, seguramente el objetivo de la concientización no cumplirá nuestras expectativas. Es por ello que se deberá colocar énfasis en este punto. Sin lugar a dudas, las charlas persona a persona son las que poseen mayor llegada al usuario final, pero dependiendo del tamaño de nuestra organización, esto no siempre será factible. Las alternativas más utilizadas son:
- § Reuniones, charlas o desayunos de trabajo.
- § Cartelería.
- § Folletería.
- § Uso de la Tecnología.
De acuerdo a los canales de comunicación utilizados definiremos otro de los ítems fundamentales, el temario a considerar en cada alternativa.
En el caso de reuniones presenciales, podemos tratar conceptos más generales e introductorios para luego enumerar las buenas prácticas a seguir:
- § Objetivo del Negocio.
- § ¿Qué es la seguridad de la información?
- § Objetivos y alcances del área.
- § Riesgos y amenazas asociados a la información.
- § Situación actual de nuestra compañía.
- § Buenas prácticas de seguridad.
Si decidimos instalar carteles en lugares estratégicos o repartir folletos, debemos nombrar solamente las buenas prácticas adoptadas, al igual que para la opción tecnológica, donde podemos optar entre correo electrónico, protector de pantalla, pop-up, logon script, Intranet o newsletter mensual.
Acorde la criticidad de los activos de la información, debemos incluir los temas básicos vinculados a los usuarios, tales como:
- § Manejo de contraseñas seguras.
- § Log-off y bloqueo de PC.
- § Virus y SPAM.
- § Escritorio limpio.
- § Dispositivos móviles.
- § Destrucción de la información sensitiva.
Para finalizar el ciclo, es conveniente recibir feed-back por parte de nuestros usuarios, utilizando algún tipo de encuesta o métrica. De esta forma tendremos herramientas para realimentar y mejorar nuestro plan de concientización y continuar la campaña.
Recordemos que un cambio de cultura no se lleva a cabo en poco tiempo, por lo que tendremos que:
1. Ser perseverantes y pacientes;
2. Desarrollar e implementar políticas, procesos, procedimientos, normas y estándares acordes con la estructura organizacional, y alineados al negocio;
3. Entrenar y comunicar en forma continua;
4. Contar, de manera especial e incondicional, con el apoyo de la alta gerencia, para que nuestras acciones tengan el respaldo, soporte y grado de aceptación que ameritan.
No hay comentarios:
Publicar un comentario