Concientización del Personal


Cuando se habla de informática, se tiende a asociar este concepto con nuevas tecnologías, equipos y aplicaciones (recursos informáticos). Sin embargo, se suele pasar por alto el componente base que hace posible la existencia de dichos elementos: la información.

La gran mayoría de los usuarios, desconoce sobre temas de seguridad de la información y, en especial, el alcance del área. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?

El desarrollo de un plan y campaña de concientización (Awareness Training) del personal de nuestra compañía es fundamental para mantener altos índices de seguridad. De nada sirve contar con las últimas tecnologías de antivirus, firewalls, bloqueo de USB, etc., si la educación del principal consumidor, “el usuario”, no es llevada a cabo.

Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario si lo llamamos como si fuéramos el Help Desk para corroborar sus datos, que vulnerar los sistemas de seguridad y cifrado de los sistemas. Asimismo, con tan sólo recorrer un par de puestos de trabajo podremos encontrar las contraseñas (contenidas en un post-it) pegadas en la pantalla o debajo del teclado.

Existen diferentes métodos para implementar nuestras ideas, si fallamos en la elección, seguramente el objetivo de la concientización no cumplirá nuestras expectativas. Es por ello que se deberá colocar énfasis en este punto. Sin lugar a dudas, las charlas persona a persona son las que poseen mayor llegada al usuario final, pero dependiendo del tamaño de nuestra organización, esto no siempre será factible. Las alternativas más utilizadas son:

  • § Reuniones, charlas o desayunos de trabajo.
  • § Cartelería.
  • § Folletería.
  • § Uso de la Tecnología.

De acuerdo a los canales de comunicación utilizados definiremos otro de los ítems fundamentales, el temario a considerar en cada alternativa.

En el caso de reuniones presenciales, podemos tratar conceptos más generales e introductorios para luego enumerar las buenas prácticas a seguir:

  • § Objetivo del Negocio.
  • § ¿Qué es la seguridad de la información?
  • § Objetivos y alcances del área.
  • § Riesgos y amenazas asociados a la información.
  • § Situación actual de nuestra compañía.
  • § Buenas prácticas de seguridad.

Si decidimos instalar carteles en lugares estratégicos o repartir folletos, debemos nombrar solamente las buenas prácticas adoptadas, al igual que para la opción tecnológica, donde podemos optar entre correo electrónico, protector de pantalla, pop-up, logon script, Intranet o newsletter mensual.

Acorde la criticidad de los activos de la información, debemos incluir los temas básicos vinculados a los usuarios, tales como:

  • § Manejo de contraseñas seguras.
  • § Log-off y bloqueo de PC.
  • § Virus y SPAM.
  • § Escritorio limpio.
  • § Dispositivos móviles.
  • § Destrucción de la información sensitiva.

Para finalizar el ciclo, es conveniente recibir feed-back por parte de nuestros usuarios, utilizando algún tipo de encuesta o métrica. De esta forma tendremos herramientas para realimentar y mejorar nuestro plan de concientización y continuar la campaña.

Recordemos que un cambio de cultura no se lleva a cabo en poco tiempo, por lo que tendremos que:

1. Ser perseverantes y pacientes;
2. Desarrollar e implementar políticas, procesos, procedimientos, normas y estándares acordes con la estructura organizacional, y alineados al negocio;
3. Entrenar y comunicar en forma continua;
4. Contar, de manera especial e incondicional, con el apoyo de la alta gerencia, para que nuestras acciones tengan el respaldo, soporte y grado de aceptación que ameritan.

Vía Cryptex

Anuncios

Acerca de Luis Castellanos

Luego de unos años en Maracaibo, de regreso en Caracas. Docente Universitario y Bloguero. Orgulloso padre de dos hijos. luiscastellanos @ yahoo.com | @lrcastellanos

Publicado el 15 agosto 2009 en cultura informatica, Seguridad Informática, Seguridad Informática. Añade a favoritos el enlace permanente. 6 comentarios.

  1. Carlos E. Morales

    Excelente articulo, en estos tiempos es necesario quetodos los empleado de una empresa asuman un sentido de pertenencia en cuanto a la informacion y las TIC. Es necesario que estos entiendan que cada accion, transaccion u operacion que ellos realicen repercuten en la empresa. Un empleado que use las TIC para el ocio es el peor enemigo para la productividad, porque asi se ejecuten medidas contra esto el seguira buscando la manera de satisfacer esa “necesidad” durante las horas laborales.

  2. Carlos A. Morales M

    No solo el ocio afecta a las empresas sino que los empleados no tienen conciencia de la información que poseen y divulgan la misma a personas que no tienen porque tener dicha información.

  3. NESTOR SALAS SIN 12A

    La informacion, elemento importante para que cualquier labor a realizar sea ejecutada de la mejor manera, ya que si no existe una buena informacion y conocimiento de algun tema a plantaer entonces no existira una buena ejecucion del mismo

  4. Néstor Villarreal SIN12A

    Como bien lo comenta el articulo, “La gran mayoría de los usuarios, desconoce sobre temas de seguridad de la información y, en especial, el alcance del área”. Por ello, las empresas se han dado a la tarea de restringir los accesos al Internet de su personal y bloquear los puertos USB y de discos portátiles, procurando evitar el flujo de la información al exterior de las empresas y organizaciones.
    Cada día las empresas y los gobiernos se hacen más recelosos con la información por todo lo que bien citan los artículos que usted muestra en este blogs, ya que lamentablemente tal parece que el profesionalismo y la ética no existen cuando se refiere a dinero y a cuando podemos obtener o ganar. Sé que no es un tema nuevo el de los fraudes, extorsión y el robo y venta de información, pero lamentablemente los antivalores se han incrementado, en nuestras sociedades todo lo justifica el dinero que se puede ganar con tal o cual acción.
    Como lo demuestra el chiste de jaimito de la diferencia entre Virtual y Real, donde habla que todos en una sociedad tenemos un precio y que por dinero somos capaces de hacer lo que sea aún en contra de nuestra propia ética y principios morales (esto nos ha hecho mucho daño, nos ha corrompido). Lo importante es la educación y la siembra de valores y principios de nuestros hijos, que son y serán los ciudadanos, los empleados, los profesionales del futuro.
    Es mucho lo que hay por hacer, pero creo que debemos empezar por lo elemental, nuestras familias, nuestros niños. Educando al niño de hoy cambiaremos a la Venezuela de mañana, como lo dijo el psicólogo Skinner “Denme un niño al nacer y haré de él lo que ustedes quieran”. En http://www.coscatl.com/conducta-aprendizaje.html
    Tenemos que cambiar nuestra forma actual de educar, y en esto TODOS debemos ser participes. Como lo expresa Jean Piaget en http://es.wikipedia.org/wiki/Jean_Piaget
    Hoy en día además, se está evaluando la productividad del empleado en su trabajo y el como el uso de la telefonía de última generación afecta en ello, ya que el personal con lo BlackBerry dedica más tiempo al teléfono y a sus funciones y descuida su trabajo.

  5. Mayela Marin sin12a

    El buen manejo de la informacion es muy importante, es por ello que cada dia las empresas son mas cuidadosas en cuanto al manejo de la informacion dentro de la organizacion. Ya que un mal menejo de la misma podria ocasionar incluso que la organizacion se fuera a pique

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: