Blog - Seguridad | Informática

Usar puntuación: / 23
MaloBueno 

Cuando se habla de informática, se tiende a asociar este concepto con nuevas tecnologías, equipos y aplicaciones (recursos informáticos). Sin embargo, se suele pasar por alto el componente base que hace posible la existencia de dichos elementos: la información.

La gran mayoría de los usuarios, desconoce sobre temas de seguridad de la información y, en especial, el alcance del área. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?

El desarrollo de un plan y campaña de concientización (Awareness Training) del personal de nuestra compañía es fundamental para mantener altos índices de seguridad. De nada sirve contar con las últimas tecnologías de antivirus, firewalls, bloqueo de USB, etc., si la educación del principal consumidor, “el usuario”, no es llevada a cabo.

Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario si lo llamamos como si fuéramos el Help Desk para corroborar sus datos, que vulnerar los sistemas de seguridad y cifrado de los sistemas. Asimismo, con tan sólo recorrer un par de puestos de trabajo podremos encontrar las contraseñas (contenidas en un post-it) pegadas en la pantalla o debajo del teclado.

Existen diferentes métodos para implementar nuestras ideas, si fallamos en la elección, seguramente el objetivo de la concientización no cumplirá nuestras expectativas. Es por ello que se deberá colocar énfasis en este punto. Sin lugar a dudas, las charlas persona a persona son las que poseen mayor llegada al usuario final, pero dependiendo del tamaño de nuestra organización, esto no siempre será factible. Las alternativas más utilizadas son:

§ Reuniones, charlas o desayunos de trabajo.
§ Cartelería.
§ Folletería.
§ Uso de la Tecnología.

De acuerdo a los canales de comunicación utilizados definiremos otro de los ítems fundamentales, el temario a considerar en cada alternativa.

En el caso de reuniones presenciales, podemos tratar conceptos más generales e introductorios para luego enumerar las buenas prácticas a seguir:

§ Objetivo del Negocio.
§ ¿Qué es la seguridad de la información?
§ Objetivos y alcances del área.
§ Riesgos y amenazas asociados a la información.
§ Situación actual de nuestra compañía.
§ Buenas prácticas de seguridad.

Si decidimos instalar carteles en lugares estratégicos o repartir folletos, debemos nombrar solamente las buenas prácticas adoptadas, al igual que para la opción tecnológica, donde podemos optar entre correo electrónico, protector de pantalla, pop-up, logon script, Intranet o newsletter mensual.

Acorde la criticidad de los activos de la información, debemos incluir los temas básicos vinculados a los usuarios, tales como:

§ Manejo de contraseñas seguras.
§ Log-off y bloqueo de PC.
§ Virus y SPAM.
§ Escritorio limpio.
§ Dispositivos móviles.
§ Destrucción de la información sensitiva.

Para finalizar el ciclo, es conveniente recibir feed-back por parte de nuestros usuarios, utilizando algún tipo de encuesta o métrica. De esta forma tendremos herramientas para realimentar y mejorar nuestro plan de concientización y continuar la campaña.

Recordemos que un cambio de cultura no se lleva a cabo en poco tiempo, por lo que tendremos que:

1. Ser perseverantes y pacientes;
2. Desarrollar e implementar políticas, procesos, procedimientos, normas y estándares acordes con la estructura organizacional, y alineados al negocio;
3. Entrenar y comunicar en forma continua;
4. Contar, de manera especial e incondicional, con el apoyo de la alta gerencia, para que nuestras acciones tengan el respaldo, soporte y grado de aceptación que ameritan.

Comentarios  

123

 

0 #27 sabatini 16-07-2008 20:27

Sin duda el primer paso para proteger la información de una empresa comienza con la concientización del personal. Como indica el artículo, la gran mayoría de la fuga de la información parte del interior de la misma. Para ello, habrá varias estrategias, de las cuales considero que el uso de una Intranet es una de las mas apropiadas, ya que por lo general desde ella se ingresan a los sistemas internos y resultaría casi imposible no ver estos mensajes.

 

 

0 #26 gonzalo 16-07-2008 18:23

Es un artículo interesante sobre la seguridad informática y la seguridad de la información, además de las políticas propuestas para informar y capacitar al personal se debería tener en cuenta también la el factor del descontento y la falta de motivación del personal. Cualquier medida que se tome por más pedagógica que sea no estaría completa y solo tendría efectos a medias si no se motiva e incentiva al personal de la empresa.-

 

 

0 #25 Marcos 16-07-2008 17:45

SEGURIDAD DE LA INFORMACION

Cuan importante resulta llevar adelante adecuadamente esta tarea (seguridad de la información) dentro de nuestra empresa. Sobre todo pienso en los costos (económicos, políticos, financieros, etc.) que pudieran resultar si quienes están encargados de llevar a cabo distintas tareas no tienen en cuenta que dejar información "a la deriva" puede convertirse en un botín interesante para la persona menos pensada y, siguiendo la misma línea, podría causar un naufragio de nuestros objetivos y expectativas. Se trata de una cuestión poco sencilla, implica un cambio cultural y educativo, no es fácil desarrollar tareas de concientización de usuarios, representa un reto poder llegar a conseguir un verdadero eco en los empleados; pienso fundamentalmente en la implementación de políticas a partir de ser innovador y despertar un verdadero interés en quienes aún se encuentran desprevenidos en este aspecto pese los tiempos que corren, donde muchas veces el verdadero capital se encuentra en los activos de información. La idea de la concientización es marcar la huella, la que en caso de causar efecto, seguramente terminará por formar un camino.

 

 

0 #24 eboyer 16-07-2008 16:42

El artículo es muy ilustrativo sobre las diferencias básicas entre seguridad de la información, y seguridad informática. Da cifras contundentes sobre los ataques producidos por los mismos empleados, y genera cierta concientización al respecto, demostrando la vital importancia de la seguridad de la información.

 

 

0 #23 agustinmassa 16-07-2008 08:30

Es indispensable para el buen funcionamiento de las políticas de seguridad de una empresa tener en cuenta el comportamiento de los empleados.
Si se los forma de manera adecuada el tráfico de información , el phishing, el compartir contraseñas , etc , seguramente se verá reducido.
En la formación se les debe explicar el ¿Por qué? de la protección de la información. También se les debe explicar cómo protegerla e incentivarlos a sentirse parte de esa empresa: que sientan que los éxitos de la empresa también son los propios. De esa forma se sentirán comprometidos con el destino de la actividad desarrollada, estarán atentos a no brindar información que no deban dar , estarán atentos a no sufrir phishing y desarrollaran una conducta fiel hacia los objetivos de las actividades desarrolladas por la empresa.

 

 

0 #22 cristinamiranda74 15-07-2008 20:56

La concientización del personal, en materia de seguridad de la información,es fundamental en la organización de una empresa.De nada sirve tener la ultima tecnología si el usuario no es "educado" para resguardar la información. Cada vez mas las empresas deben soportar ataques externos, como delitos informáticos, por lo tanto la responsabilidad es mayor.

 

 

0 #21 vivares 15-07-2008 17:41

LA PROTECCION Y CONFIDENCIALIDAD DE LA INFORMACION SON UNO DE LOS PILARES QUE SOSTIENEN TODO EXITO ECONOMICO DE UNA EMPRESA, DE ALLI SU IMPORTANCIA. Y ES POR ELLO QUE LAS EMPRESAS DEBEN CONTAR CON SOLUCIONES PARA PROTEGER SUS BIENES MAS IMPORTANTES: EL PERSONAL Y LA INFORMACION.
LA FORMA DE PROTEGER AL PERSONAL ES MEDIANTE UNA PERMANENTE CAPACITACION Y UNA CONCIENTIZACION SOBRE SU ROL EN LA EMPRESA CON LA FINALIDAD DE MANTENER E INCREMENTAR LOS INDICES DE SEGURIDAD.

 

 

0 #20 ldhid 15-07-2008 09:10

No existe seguridad sin la concientización del usuario. El usuario debe entender las razones por las cuales se implementan medidas de seguridad, un claro ejemplo: Internet Explorer pregunta al usuario si desea instalar un controlador ActiveX, este por desconocimiento pone que si. Y de esta forma es la mas frecuente por la cual se instala AdWare. Por lo tanto para que el usuario entienda la importancia de la información debe entender como funciona el sistema y de esta forma poder decidir.

 

 

0 #19 alejandro 15-07-2008 07:33

creo que seria de gran inportancia la inplementacion de estas politicas habria que tener en cuenta la actividad de lña empresa y la informacion que manejan .

 

 

0 #18 JUAN PABLO 15-07-2008 06:52

Es importante que para implementar una campaña de concientización, se realice un estudio sobre las personas a quienes está orientada la misma, con el objeto de conocer, entre otros aspectos, su nivel intelectual, cultural, forma de ser y actuar, valores, aptitudes; ya que esta será la base sobre la cual se implementará la concientización. Los mensajes deberán ser concisos pero efectivos, que causen impresión, llamen la atención a quien lea u observe determinada frase o imagen, ya sea porque es original o porque sea impactante visualmente; deben tener una ubicación adecuada o se den en momentos y lugares oportunos. Como toda planificación que tiene un objetivo: "concienciar", debe proyectarse tanto en corto, mediano y largo plazo.

 

123

Refrescar lista de comentarios
Suscripción de noticias RSS para comentarios de esta entrada.

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

JComments