Security Awareness: factor crítico de éxito en la seguridad de la información

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn1

Probablemente el aspecto más difícil para crear un programa de seguridad de la información exitoso, es lograr la participación proactiva y continua del personal de las organizaciones a todos los niveles. La elaboración de políticas, estándares y guías de seguridad, es sólo el principio de un programa de Seguridad de la Información, sin embargo por si solas no llevan a cabo funciones, ni restringen o instruyen al personal con respecto a las prácticas de seguridad que deben seguir y el conocimiento que deben tener.

Awareness (conciencia, conocimiento) es el proceso realizado para lograr una conciencia de la seguridad de la información. El Awareness debe lograr que los individuos reconozcan la seguridad, se preocupen por ella y respondan adecuadamente. Este esfuerzo incide en actitudes y deseos de mejoras

Un programa de Seguridad de la Información será menos efectivo si no tenemos un proceso continuo que nos proporcione la certeza de que los empleados reconocen la importancia de la seguridad, así como del rol y responsabilidad que llevan a cabo para el éxito de la misma.

Tal ves el primer paso para desarrollar un programa de Awareness es precisamente comprender ¿Qué es el Awareness? y ¿Cuál es su objetivo principal?, sobre todo si consideramos que una gran cantidad de planes de Awareness fracasan por la poca claridad del concepto y su propósito. El principal error que existe es confundirlo Awareness con entrenamiento y pretender que en los esfuerzos de Awareness se enseñen las políticas, estándares, guías y, en muchos casos los procedimientos, instructivos y herramientas relacionados con la seguridad, sin antes haber “vendido” y “comprado” la idea de la Seguridad de la Información basada en los beneficios individuales y en el valor que aporta al negocio.

El entrenamiento es más formal que el Awareness. Incide en el conocimiento y habilidades que mejoran las capacidades y el desempeño de las funciones

De esta forma, se clarifica la idea de la Seguridad de la Información como un problema de gente, por lo que resulta fundamental el desarrollo de una estrategia que proporcione a los empleados información adecuada sobre los diferentes temas y beneficios de la Seguridad, que basada en las necesidades reales de práctica y entendimiento, garantice que la gente comprenda, aplique y sea parte de la solución integral de Seguridad de la Información.

La seguridad de la información no es solamente un problema que pueda resolverse con tecnología, herramientas o infraestructura; es un problema que debe ser atendido por el negocio, con especial énfasis es su organización y su gente

Security Awareness: un proceso de cambio organizacional

Con frecuencia vemos en los artículos que el Awareness es un proceso muy similar al marketing, y en algunos casos los autores se atreven a afirmar que es exactamente igual.

Sin embargo, la experiencia en este tipo de esfuerzos me permite aseverar que el proceso de marketing no es suficiente para lograr la conciencia de Seguridad de la Información en una organización, en todos los casos es necesario establecer una estrategia más compleja que permita enfocarse al factor humano no como un mercado, sino como un elemento clave que debe ser gestionado como parte de un cambio organizacional, de tal forma que el resultado del proceso de Awareness perdure lo suficiente para que la organización y las personas lo puedan madurar paulatinamente, hasta que forme parte de sus hábitos personales y de cultura laboral. Lo anterior permitirá garantizar que la Seguridad de la Información sea una moda o un impulso, sino un principio de negocio que permitirá al negocio operar de manera segura y confiable.

Este proceso de cambio requiere evidentemente esfuerzos mayores al marketing si tenemos en cuenta que el resultado esperado no será una labor trivial y que será necesario involucrarse con la forma y cultura de la organización.

Security Awareness, una estrategia

Si contamos con una estrategia adecuada para resolver este problema, la situación se simplifica notablemente y la posibilidad de éxito será mucho mayor al enfocar nuestros recursos y esfuerzos de forma asertiva y estructurada.

Es fundamental que la estrategia de Awareness este basada en las carencias reales de entendimiento y prácticas de seguridad existentes en la organización, y que sea difundida por medio de los canales de comunicación de mayor preferencia e impacto entre el personal.

Las etapas de una metodología a otra pueden ser tan variadas o limitadas como los enfoques que utilizan y los objetivos que pretenden. La siguiente metodología describe en 7 fases un esquema estructurado y probado que permite lograr un Awareness asertivo y con un alto grado de efectividad.

Fase I. Inicio

Establecer la planeación de la ejecución de cada una de las fases con sus etapas respectivas y la definición de los roles y responsabilidades de las entidades involucradas, dentro de un marco de tiempo y formas adecuados para obtener el resultado esperado.

En esta etapa es fundamental definir ¿Qué es Awareness? y ¿Cuál es el objetivo?; además de conseguir un patrocinador o “sponsor” del proyecto.

Fase II. Diagnóstico

Obtener un estatus real del nivel de concientización actual de los usuarios para una determinación del nivel de vulnerabilidad organizacional en la Gente, así como las preferencias sobre los medios de comunicación utilizados en la organización para difundir información oficial y autorizada.

La selección de técnicas para recopilación de esta información suele ser muy variado, y va desde cuestionarios automatizados en la Intranet, hasta sesiones de trabajo y en algunos casos focus group, sin embargo, deberá analizarse la cultura organizacional y los métodos establecidos, y con ello determinar si es posible seguirlos en caso de que sean confiables, o bien establecer uno alterno para lograr el objetivo deseado.

Como dato adicional, algunas estadísticas de clientes en México nos revelan situaciones interesantes que en algunos resultan alarmantes para las organizaciones, sobre todo si consideramos que aproximadamente el 30% de usuarios comparte o ha compartido alguna vez su contraseña, el 13% aceptó la posibilidad de fugas de información del negocio, el 68% no sabría que hacer inmediatamente después de una infección de virus en la red, y el 83% de usuarios no ha realizado respaldos de sus equipos personales en los últimos 6 meses.

Aún y cuando estos datos son muy reveladores, no podemos basar completamente el programa de Awareness en este resultado, debemos combinar otros elementos en caso de tenerlos disponibles.

Fase III. Unificación de Requerimientos y Definición de Medios

Determinar asertivamente los rubros de Seguridad de la Información hacia los cuales deberán enfocarse los esfuerzos de Awareness, de acuerdo con la situación real que vive el negocio, considerando:

  • Resultado del Diagnóstico (etapa anterior)
  • Análisis de Riesgos. Es indispensable considerar esta entrada de información en caso de tenerla disponible, en virtud de que los esfuerzos de -Awareness deberán estar orientados también a los riesgos más significativos de la organización.
  • Normatividad existente. La Normatividad no será utilizada en el proceso de Awareness, pero deber ser estudiada para no contradecir ningún lineamiento existente en materia de seguridad.

Fase IV. Definición de la Estrategia

Integrar los elementos de la estructura de la estrategia de Awareness y las diferentes herramientas que garanticen su aplicación y desarrollo adecuado dentro de un marco de tiempo apropiado, a través del uso de medios de comunicación de mayor preferencia y elementos gráficos, ya sean electrónicos, impresos o presénciales.

Un factor indispensable en la definición de la estrategia de Awareness, es lograr una adecuada definición y clasificación de audiencias, no podemos llevar los mismos mensajes en forma y fondo a la Alta Dirección que a la Gerencia Media, lo siguiente puede proveer una claridad mayor al respecto.

Fase V. Ejecución

Ejecutar, con estricto apego al Plan de Awareness, los programas y cronogramas de actividades elaborados durante la Definición de la Estrategia.

Algunas fechas que pueden ser usadas como referencia o apoyo son las siguientes:

  • Mayo 10 — International Emergency Response Day.
  • Septiembre 8 — Computer Virus Awareness Day.
  • Noviembre 30 — International Computer Security Day.

Fase VI. Mecanismos de Evaluación

Medir y evaluar el desempeño de las técnicas, procedimientos y la metodología que fueron empleados para difundir los conceptos y otros conocimientos sobre Seguridad de la Información, para identificar los puntos de mejora.

Algunos de los elementos que pueden ser usados para medir la efectividad del Awarenes pueden ser:

  • Cuestionarios,
  • Observación,
  • Entrevistas con usuarios finales,
  • Tickets del help desk,
  • Incidentes de seguridad, entre otros

Fase VII. Retroalimentación

Identificar todas aquellas propuestas de mejora a la estructura y desarrollo de la estrategia para determinar su factibilidad de aplicación y ejecución.

Conclusión

La Seguridad de la Información requiere elementos adicionales a la existencia de políticas, estándares, guías, procedimientos, herramientas y tecnologías de Seguridad, es más que recomendaciones de auditoria y requerimientos de autoridades, entre estos elementos siempre encontraremos el convencimiento del negocio y el factor de la gente, en lo que respecta al segundo elemento debemos tener presente que con el Awareness tenemos que cambiar prácticas y formas de hacer las cosas de muchos años atrás, y cuando esto se lleva a cabo con gente de por medio el riesgo a fracasar es alto, debemos tener en mente que vamos a cambiar a la gente, y con ello a la organización misma.

También es necesario considerar que antes de exigir a los empleados que cumplan con los requerimientos del programa de Seguridad de la Información, primero deberán estar concientes de la importancia de la seguridad y de los beneficios que la misma aporta al trabajo diario y al negocio, de esta forma existirá la apertura y por consiguiente el convencimiento de que las actividades que deberán realizar de forma adicional a su trabajo diario traerán como consecuencia buenos resultados.

Finalmente, tenemos que reconocer que el Awareness no debe ser una capacitación para los empleados, sino un programa que tiene como misión transmitir mensajes asertivos por diferentes métodos y mecanismos para que logren la atención de los empleados hacia la Seguridad de la información, una vez que esto se ha logrado, el Awareness puede ser considerado exitoso, sin embargo no deberá perderse la secuencia, seguido de esta actividad viene el Entrenamiento, mediante el cual los empleados incrementaran sus aptitudes para colaborar de manera formal y activa con la seguridad, sin olvidar de proveer los medios para poder llevar a cabo el cumplimiento de los requerimientos de seguridad existentes.


Por Adrián Palma vía bSecure

Security Awareness: factor crítico de éxito en la seguridad de la información
5 (100%) 2 votos

Etiquetas:


Deja un comentario

Cuanto es 8 + 24 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos