Proceso de concientización
Como continuación en el tema de la arquitectura de procesos de seguridad de la información, en el presente artículo se describirá el primero de seis procesos básicos, el de la concientización.
En el artículo anterior de esta misma sección (b:Secure, marzo 2008) establecimos las bases de una arquitectura de procesos de seguridad de información, o framework de seguridad de información. Esta arquitectura consta de seis procesos básicos: concientización, administración de riesgos, manejo de incidentes, continuidad de negocios, control de accesos y monitoreo de seguridad.
En los próximos seis artículos se irán describiendo los procesos de seguridad de información mencionados, iniciando en este espacio con el de concientización. Su meta es proveer un proceso constante, repetible y medible para mejorar y mantener el nivel del conocimiento de la seguridad de información a lo largo de toda la empresa. La concientización también implica educar a todo el personal en exposiciones existentes al riesgo y resumirlas en medidas que se han tomado para reducir al mínimo esas exposiciones.
Pero, ¿qué significa concientizarse? Es tomar conciencia de una realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuviésemos ante los ojos. El proceso de concientización es el medio o programa en el cual nos aseguramos que un gobierno de seguridad de información, así como sus políticas y normatividades aplicables, “permean” en el personal de todos los niveles de la organización. De la efectividad de estos programas depende la velocidad de la organización para implementar adecuadamente la seguridad de información. Si todo es efectivo, podemos hablar de un jet, pero si no está resultando y el proceso es algo tortuoso, entonces es como si fuéramos en un camión guajolotero.
¿CÓMO CONCIENTIZAR? Un programa de concientización debe de abarcar contenidos relevantes para poder lograr el cometido de concientizar adecuadamente sobre la seguridad de información.
Algunos de los temas más recomendados son: ¿que es seguridad de información?, las necesidades de protección de la información, ¿cómo la seguridad de información te puede afectar?, el tema del software malicioso, las licencias de software, los derechos de autor, el asunto de las contraseñas, la respuesta a incidentes, políticas y procedimientos, la ingeniería social, los diferentes tipos de ataques relacionados con la ingeniería social, leyes y regulaciones aplicables, roles de los dueños y custodios de la información, el comité de seguridad de información, los indicadores de seguridad de información (que pueden divulgarse), el buen uso y el mal uso de los activos de información, los procesos de continuidad de negocio y la información del medio de seguridad de información que refleje noticias, entre otros.
Ahora bien, dependiendo del tipo de industria y filosofía de la organización, existen diversos métodos o medios para enviar (“bombardear”) los contenidos de los programas de concientización. Estos pueden ser: correo electrónico, pósters, intranet con ligas o referencias de seguridad de información, conferencias, uso del DVD, protectores de pantalla (screen savers) con información relevante, fondos de pantalla informativos, etcétera.
Las evaluaciones son muy importantes. Se puede utilizar el e-learning como medio de enseñanza, pues brinda facilidad para concientizar en los tiempos que el personal prefiera, y la evaluación se facilita al ser online. También hay evaluaciones personales y globales que constituyen una buena práctica después de una campaña de varios meses, pues así la organización ubica las áreas de oportunidad para futuras campañas. Por supuesto que la capacitación formal es de lo mejor, siempre y cuando se evalúen los resultados obtenidos.
Asimismo, se puede recurrir a incentivos como premios y reconocimientos para el personal que, por ejemplo, haga más reportes de incidentes, asista a cursos, cumpla con tareas relacionadas y/u obtenga certificaciones. Otra buena idea es implementar la semana de la seguridad, que puede constar de pláticas, concursos, desplegados en el periódico mural o los televisores del comedor, reparto de artículos de escritorio alusivos (como mouse pads, por ejemplo) y más.
Por otra parte, es importante que el nuevo personal sea enterado en forma adecuada de este tema, antes de que tenga acceso a un activo de información. Un buen método para generar compromiso, es haciéndoles firmar documentos en los que los nuevos empleados dicen haber entendido las políticas de seguridad y códigos de ética o confidencialidad, y se comprometen a acatarlos.
LA CULTURA DE CERO INCIDENTES. “Imagine”, como la canción de John Lennon, una organización sin incidentes de seguridad. ¿Sería esto posible? Así como las industrias tienen campañas para el personal de la línea de producción, en las que llevan el conteo de las semanas y los meses sin accidentes, considero que se puede, al menos, ir minimizando la probabilidad de que ocurran incidentes en una organización que está concientizada en forma efectiva, porque se atacan las causas raíz de los mismos y su gobierno de seguridad de información armoniza con todo el personal.
Por principio de cuentas, habría que medir la concientización. Todo proceso o sistema que no se mide no puede ser controlado, y los programas de concientización no son la excepción. Algunas actividades o procesos de medición más socorridos son: las auditorías de seguridad de información, el monitoreo del proceso de concientización (que deberá contar con indicadores del sistema de seguridad con métricas relacionadas), las revisiones o entrevistas cara a cara con el personal, las encuestas diseñadas para todos los niveles de la organización (dado que a un CEO se le harán diferentes preguntas que a la persona encargada de la recepción, por dar un ejemplo) y los reportes de incidentes (el mejor indicador, por mucho: a medida que aumenta el número de reportes de incidentes por parte del personal, mejores noticias).
Los anteriores ejemplos de mediaciones deberán ser establecidos bajo un programa de trabajo que indique la frecuencia de la aplicación de los mismos, con excepción de los reportes a incidentes, los que pueden ocurrir diariamente.
¿QUÉ GENERA LA FALTA DE CONCIENCIA?
Si la organización padece al no contar con una adecuada concientización en seguridad de información, los problemas más frecuentes son:
* Incapacidad para el manejo de información clasificada. Si el personal no clasifica y maneja adecuadamente la información, no se puede ir muy lejos y se facilita la presencia de errores y ataques de ingeniería social.
* Pérdida o destrucción de información clasificada. Relacionado al punto anterior, podría inclusive llegar a establecerse la posibilidad de perder o dañar la información.
* Atrasos en proyectos relacionados a seguridad de información. En estos días, la velocidad en los negocios es relevante. Si a causa de una falta de concientización el personal no cumple con lo establecido en materia de seguridad, es probable que los proyectos se retrasen impactando negativamente a la organización.
* Incapacidad para responder a incidentes. No se debe improvisar ante los incidentes. Si no hay conciencia de estos no se reportarán, lo que hará que se eleven los riesgos.
* Imposibilidad de aspirar a contar con acreditaciones internacionales. Los estándares más importantes, como el ISO27001, consideran muy relevantes los temas afines a la concientización, requisito de su sistema de gestión. Fallas en este proceso impiden certificarse en esta norma.
* Desgaste del personal al no entender los beneficios. Si los empleados no entienden la importancia de la seguridad, para el equipo de seguridad que empuja este tipo de iniciativas será como empujar una carreta por los lados (y no por la parte de atrás)
* Todo tipo de impactos (financieros, legales, de imagen, etc.) a la organización. Dependiendo de cada caso, podrían tratarse de impactos mínimos, pero también podrían ser desastrosos, si se violara alguna ley o regulación que ocasione la pérdida de una concesión o genere graves consecuencias para el futuro de la empresa.
SITIO INTERESANTE
En materia de concientización, le recomiendo el site:
http://www.iwar.org.uk/comsec/resources/sa-tools/
"El método que más efectivamente minimiza la capacidad de los intrusos para comprometer la seguridad de información es el entrenamiento y la educación a los usuarios. Publicar políticas y procedimientos puede no parecer muy efectivo, pero los accesos o ataques que realicé a diversas organizaciones dependieron mucho de la falta de concientización de las personas sobre el apego a tales políticas, publicadas años antes de que yo hiciera mis intrusiones", Kevin Mitnick
"Siempre recuerda: amateurs hackean a sistemas, profesionales hackean a personas", Bruce Schneier
Ricardo Morales está a cargo del área de seguridad de información de Alestra y es presidente de ALAPSI Noreste. Alestra es el primer pestador de servicios en telecomunicaciones en México y otros países en obtener el certificado ISO27001.Su mail: Rmoralesg @ alestra.com.mx
Fuente: http://bsecure.com.mx/articulos.php?id_art=6626&id_sec=59
En el artículo anterior de esta misma sección (b:Secure, marzo 2008) establecimos las bases de una arquitectura de procesos de seguridad de información, o framework de seguridad de información. Esta arquitectura consta de seis procesos básicos: concientización, administración de riesgos, manejo de incidentes, continuidad de negocios, control de accesos y monitoreo de seguridad.
En los próximos seis artículos se irán describiendo los procesos de seguridad de información mencionados, iniciando en este espacio con el de concientización. Su meta es proveer un proceso constante, repetible y medible para mejorar y mantener el nivel del conocimiento de la seguridad de información a lo largo de toda la empresa. La concientización también implica educar a todo el personal en exposiciones existentes al riesgo y resumirlas en medidas que se han tomado para reducir al mínimo esas exposiciones.
Pero, ¿qué significa concientizarse? Es tomar conciencia de una realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuviésemos ante los ojos. El proceso de concientización es el medio o programa en el cual nos aseguramos que un gobierno de seguridad de información, así como sus políticas y normatividades aplicables, “permean” en el personal de todos los niveles de la organización. De la efectividad de estos programas depende la velocidad de la organización para implementar adecuadamente la seguridad de información. Si todo es efectivo, podemos hablar de un jet, pero si no está resultando y el proceso es algo tortuoso, entonces es como si fuéramos en un camión guajolotero.
¿CÓMO CONCIENTIZAR? Un programa de concientización debe de abarcar contenidos relevantes para poder lograr el cometido de concientizar adecuadamente sobre la seguridad de información.
Algunos de los temas más recomendados son: ¿que es seguridad de información?, las necesidades de protección de la información, ¿cómo la seguridad de información te puede afectar?, el tema del software malicioso, las licencias de software, los derechos de autor, el asunto de las contraseñas, la respuesta a incidentes, políticas y procedimientos, la ingeniería social, los diferentes tipos de ataques relacionados con la ingeniería social, leyes y regulaciones aplicables, roles de los dueños y custodios de la información, el comité de seguridad de información, los indicadores de seguridad de información (que pueden divulgarse), el buen uso y el mal uso de los activos de información, los procesos de continuidad de negocio y la información del medio de seguridad de información que refleje noticias, entre otros.
Ahora bien, dependiendo del tipo de industria y filosofía de la organización, existen diversos métodos o medios para enviar (“bombardear”) los contenidos de los programas de concientización. Estos pueden ser: correo electrónico, pósters, intranet con ligas o referencias de seguridad de información, conferencias, uso del DVD, protectores de pantalla (screen savers) con información relevante, fondos de pantalla informativos, etcétera.
Las evaluaciones son muy importantes. Se puede utilizar el e-learning como medio de enseñanza, pues brinda facilidad para concientizar en los tiempos que el personal prefiera, y la evaluación se facilita al ser online. También hay evaluaciones personales y globales que constituyen una buena práctica después de una campaña de varios meses, pues así la organización ubica las áreas de oportunidad para futuras campañas. Por supuesto que la capacitación formal es de lo mejor, siempre y cuando se evalúen los resultados obtenidos.
Asimismo, se puede recurrir a incentivos como premios y reconocimientos para el personal que, por ejemplo, haga más reportes de incidentes, asista a cursos, cumpla con tareas relacionadas y/u obtenga certificaciones. Otra buena idea es implementar la semana de la seguridad, que puede constar de pláticas, concursos, desplegados en el periódico mural o los televisores del comedor, reparto de artículos de escritorio alusivos (como mouse pads, por ejemplo) y más.
Por otra parte, es importante que el nuevo personal sea enterado en forma adecuada de este tema, antes de que tenga acceso a un activo de información. Un buen método para generar compromiso, es haciéndoles firmar documentos en los que los nuevos empleados dicen haber entendido las políticas de seguridad y códigos de ética o confidencialidad, y se comprometen a acatarlos.
LA CULTURA DE CERO INCIDENTES. “Imagine”, como la canción de John Lennon, una organización sin incidentes de seguridad. ¿Sería esto posible? Así como las industrias tienen campañas para el personal de la línea de producción, en las que llevan el conteo de las semanas y los meses sin accidentes, considero que se puede, al menos, ir minimizando la probabilidad de que ocurran incidentes en una organización que está concientizada en forma efectiva, porque se atacan las causas raíz de los mismos y su gobierno de seguridad de información armoniza con todo el personal.
Por principio de cuentas, habría que medir la concientización. Todo proceso o sistema que no se mide no puede ser controlado, y los programas de concientización no son la excepción. Algunas actividades o procesos de medición más socorridos son: las auditorías de seguridad de información, el monitoreo del proceso de concientización (que deberá contar con indicadores del sistema de seguridad con métricas relacionadas), las revisiones o entrevistas cara a cara con el personal, las encuestas diseñadas para todos los niveles de la organización (dado que a un CEO se le harán diferentes preguntas que a la persona encargada de la recepción, por dar un ejemplo) y los reportes de incidentes (el mejor indicador, por mucho: a medida que aumenta el número de reportes de incidentes por parte del personal, mejores noticias).
Los anteriores ejemplos de mediaciones deberán ser establecidos bajo un programa de trabajo que indique la frecuencia de la aplicación de los mismos, con excepción de los reportes a incidentes, los que pueden ocurrir diariamente.
¿QUÉ GENERA LA FALTA DE CONCIENCIA?
Si la organización padece al no contar con una adecuada concientización en seguridad de información, los problemas más frecuentes son:
* Incapacidad para el manejo de información clasificada. Si el personal no clasifica y maneja adecuadamente la información, no se puede ir muy lejos y se facilita la presencia de errores y ataques de ingeniería social.
* Pérdida o destrucción de información clasificada. Relacionado al punto anterior, podría inclusive llegar a establecerse la posibilidad de perder o dañar la información.
* Atrasos en proyectos relacionados a seguridad de información. En estos días, la velocidad en los negocios es relevante. Si a causa de una falta de concientización el personal no cumple con lo establecido en materia de seguridad, es probable que los proyectos se retrasen impactando negativamente a la organización.
* Incapacidad para responder a incidentes. No se debe improvisar ante los incidentes. Si no hay conciencia de estos no se reportarán, lo que hará que se eleven los riesgos.
* Imposibilidad de aspirar a contar con acreditaciones internacionales. Los estándares más importantes, como el ISO27001, consideran muy relevantes los temas afines a la concientización, requisito de su sistema de gestión. Fallas en este proceso impiden certificarse en esta norma.
* Desgaste del personal al no entender los beneficios. Si los empleados no entienden la importancia de la seguridad, para el equipo de seguridad que empuja este tipo de iniciativas será como empujar una carreta por los lados (y no por la parte de atrás)
* Todo tipo de impactos (financieros, legales, de imagen, etc.) a la organización. Dependiendo de cada caso, podrían tratarse de impactos mínimos, pero también podrían ser desastrosos, si se violara alguna ley o regulación que ocasione la pérdida de una concesión o genere graves consecuencias para el futuro de la empresa.
SITIO INTERESANTE
En materia de concientización, le recomiendo el site:
http://www.iwar.org.uk/comsec/resources/sa-tools/
"El método que más efectivamente minimiza la capacidad de los intrusos para comprometer la seguridad de información es el entrenamiento y la educación a los usuarios. Publicar políticas y procedimientos puede no parecer muy efectivo, pero los accesos o ataques que realicé a diversas organizaciones dependieron mucho de la falta de concientización de las personas sobre el apego a tales políticas, publicadas años antes de que yo hiciera mis intrusiones", Kevin Mitnick
"Siempre recuerda: amateurs hackean a sistemas, profesionales hackean a personas", Bruce Schneier
Ricardo Morales está a cargo del área de seguridad de información de Alestra y es presidente de ALAPSI Noreste. Alestra es el primer pestador de servicios en telecomunicaciones en México y otros países en obtener el certificado ISO27001.Su mail: Rmoralesg @ alestra.com.mx
Fuente: http://bsecure.com.mx/articulos.php?id_art=6626&id_sec=59
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!