¿Cómo hacer cumplir las Políticas de Seguridad de mi organización?
Estaba leyendo un artículo en cioal.com, donde una encuesta arrojó que “Más del 50% de los empleados no siguen las políticas de seguridad de sus empresas“, al leer ese titular comencé a meditar sobre ¿qué se puede hacer para lograr que se cumplan las Políticas de Seguridad de la Información (PSI) dentro de las organizaciones?, no fue difícil determinar la respuesta a este predicamento, la cual se resumen en dos palabras “educación y control” (no estoy contando el conector “y”).
Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona “que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía”; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.
Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir “que cumplimos con los estándares”, se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que “se les olviden a los usuarios” las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte, se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.
En cuanto al control, sucede que en muchas organizaciones se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que “un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía”, es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.
Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.
Fuente: Carlos Solis
Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona “que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía”; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.
Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir “que cumplimos con los estándares”, se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que “se les olviden a los usuarios” las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte, se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.
En cuanto al control, sucede que en muchas organizaciones se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que “un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía”, es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.
Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.
Fuente: Carlos Solis
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!