Porqué concientizar además de capacitar.

Imagen tomada de: http://seguridad-informacion.blogspot.com

Conciencia y Capacitación, dos términos que van de la mano, el uno muy pronunciado pero poco practicado y el otro muy practicado pero poco aceptado.

Pienso que no basta solo con tener controles y medidas de seguridad bien implementadas, una de las funciones del Área de Seguridad de la Información es concientizar a quienes conforman la organización, sobre la importancia de manejar adecuadamente la información considerada sensible o confidencial.

Quizás es una de las tareas más complicadas con las que Seguridad de la Información se puede encontrar, llegar al Recurso Humano no solo requiere un “expertise” técnico, requiere un nivel importante de comunicación. Un buen manejo del lenguaje es importante en las campañas de concientización, debemos recordar que comúnmente una organización está conformada por varios perfiles profesionales y la seguridad no solo centra en tecnología; es importante conocer el negocio y poder identificar potenciales riesgos en el manejo de la información que las otras áreas también maneja.

Existen varias técnicas y metodologías para implementar campañas de concientización, lo menos recomendable cuando se inicia estas etapas es mencionar las sanciones que se pueden aplicar si existe un incidente de seguridad de la información. Eso de por sí hace que los colaboradores de la compañía se muestren un poco reacios a este tipo de iniciativas.

Considero que en una primera fase, es bueno es utilizar métodos y herramientas lúdicas que vayan calando en la conciencia de los colaboradores de la empresa.

Una de las principales diferencias que existe con capacitar, es el objetivo; concientizar es explicar el ¿por qué? y el ¿para qué? tener buenas prácticas de seguridad de la información basados en hechos reales. Ya luego la capacitación se encargará del ¿cómo? hacer que nuestra información esté protegida.

Entre el material que se suele emplear para emprender estas campañas dentro de la organización son:

  • Charlas de inducción para personal que recién ingresa.
  • Apoyo con material multimedia.
  • Actividades lúdicas que no afecten el normal desenvolvimiento de los colaboradores, la idea es “aprender jugando”.
  • El empleo de herramientas tecnológicas.
  • Cualquier otra idea innovadora que permita ayudar con la tarea de concienciación.

Un ejemplo de campaña de concientización a implementar podría ser: el buen uso de las contraseñas y el bloqueo de las estaciones de trabajo al ausentarse del puesto de trabajo.

Se debería iniciar con una reunión para indicar la importancia de no facilitar las contraseñas y del porqué deberían dejar bloqueados sus equipos en el caso de ausentarse de sus lugares de trabajo, argumentando problemas de seguridad como accesos no autorizados o acceso a información considerada confidencial.

Luego se pondrían en consideración las reglas del juego, incentivando con algún reconocimiento o mención a quienes menos incumplan dichas políticas, para fases posteriores, a aquellos que más incumplan las políticas definidas se les podría asignar alguna tarea que no necesariamente signifique sancionar, como por ejemplo, que dichos colaboradores dicten alguna charlar sobre el tema en otras áreas.

Estas y otras estrategias dan resultado si tiene un ciclo de vida continua, una revisión constante e indicadores que permitan identificar los resultados de dichas políticas. Todo depende del apoyo que se obtenga de las autoridades y de las herramientas empleadas para cumplir el objetivo, “crear conciencia sobre las amenazas informáticas que vivimos en esta era digital”.

Les comparto un “Paper” de un profesional colombiano que topa el tema de concientización desde varias aristas:

http://www.gigabytesperu.com/trabajos/0204-Concientiza.doc

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: