17 nov 2010

¿Y el Factor Humano?: Plan de Conciencia(ción) en Seguridad

Creo que ya he repetido hasta la saciedad aquí, a mis amigos, a mis clientes, en mis ponencias, etc. que los mayores problemas que siempre me he encontrado y me encuentro en cualquier proyecto (y en los de seguridad especialmente) están siempre localizados “entre el teclado y la silla”. Las personas son siempre el eslabón más débil de esa cadena que es la seguridad y de la que todos los que nos dedicamos a esto intentamos tirar incesantemente.

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo ;-) ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:
  • Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
  • La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
  • ¡Comunica, comunica y comunica!
Autor; Samuel Linares
Fuente: InfoSecMan Blog

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!