Cómo hablar de seguridad para que la gente escuche, y cumpla
Las estadísticas son asombrosas: El año pasado, Symantec bloqueó un total de más de 5,5 mil millones de ataques de malware, un aumento del 81% con respecto al 2010, e informó de un aumento del 35% en los ataques basados en web y un aumento del 41% en las nuevas variantes de malware.
Si esos hallazgos, documentados en el más reciente informe anual de seguridad y amenazas de internet, causan que los líderes de TI se pregunten si han hecho todo lo posible para proteger a sus empresas, deberían considerar mirarse en el espejo.
Eso se debe a que los encargados de seguridad, en su lucha por establecer las políticas y procedimientos que sean a la vez eficaces y fáciles de usar, a menudo olvidan un tercer y crucial paso, según los expertos: Cómo comunicar sus objetivos de seguridad de tal manera de que la población corporativa no solo entienda, sino que también responda.
"El cumplimiento es necesario, pero no es suficiente", señala Malcolm Harkins, vicepresidente y CISO de Intel.
La meta de Harkins 'es conseguir que los empleados vayan más allá del cumplimiento hacia un compromiso completo’ por la protección de la información de la compañía. "Si ellos están comprometidos en hacer las cosas bien y proteger la empresa, y si están provistos con la información correcta, entonces, ellos van a tomar decisiones razonables de riesgo", señala.
De seguro, los empleados no están involucrados en cada tipo de violación a la seguridad corporativa (vea el top 10 de tipos de amenazas), pero el comportamiento y el incumplimiento de los usuarios están implicados en muchas, incluyendo malware para móviles, esquemas de redes sociales y ataques avanzados de destino. Estos ya no están siendo dirigidos a los CEO y miembros de la alta directiva, sino al personal de otras funciones como ventas, relaciones de recursos humanos, administración y relaciones públicas/de medios, pues los criminales buscan "fruta que esté colgando bajo", según el informe de Symantec.
Contra tal embestida, el típico póster con consejos de seguridad pegado en la pared es inútil, señala Julie Peeler, directora de fundación en International Information Systems Security Certification Consortium -también conocido como (ISC)2 -una empresa global sin fines de lucro que educa y certifica a profesionales de la seguridad de la información. "El entrenamiento en seguridad no es un evento de una sola vez. Tiene que estar integrado a través de la organización entera, y tiene que venir desde la cima", señala la ejecutiva.
Cuando se trata de hablar de seguridad de una forma que los usuarios escuchen, los gerentes deben asegurarse que los empleados entiendan la postura de seguridad de la empresa desde el primer día, indica Peeler. Ellos deben estar dispuesto a firmar acuerdos de confidencialidad, asistir a la capacitación y participar en la toma de conciencia, todo ello con la meta de seguir siendo vigilante.
Contenido completo en fuente original
Si esos hallazgos, documentados en el más reciente informe anual de seguridad y amenazas de internet, causan que los líderes de TI se pregunten si han hecho todo lo posible para proteger a sus empresas, deberían considerar mirarse en el espejo.
Eso se debe a que los encargados de seguridad, en su lucha por establecer las políticas y procedimientos que sean a la vez eficaces y fáciles de usar, a menudo olvidan un tercer y crucial paso, según los expertos: Cómo comunicar sus objetivos de seguridad de tal manera de que la población corporativa no solo entienda, sino que también responda.
"El cumplimiento es necesario, pero no es suficiente", señala Malcolm Harkins, vicepresidente y CISO de Intel.
La meta de Harkins 'es conseguir que los empleados vayan más allá del cumplimiento hacia un compromiso completo’ por la protección de la información de la compañía. "Si ellos están comprometidos en hacer las cosas bien y proteger la empresa, y si están provistos con la información correcta, entonces, ellos van a tomar decisiones razonables de riesgo", señala.
De seguro, los empleados no están involucrados en cada tipo de violación a la seguridad corporativa (vea el top 10 de tipos de amenazas), pero el comportamiento y el incumplimiento de los usuarios están implicados en muchas, incluyendo malware para móviles, esquemas de redes sociales y ataques avanzados de destino. Estos ya no están siendo dirigidos a los CEO y miembros de la alta directiva, sino al personal de otras funciones como ventas, relaciones de recursos humanos, administración y relaciones públicas/de medios, pues los criminales buscan "fruta que esté colgando bajo", según el informe de Symantec.
Contra tal embestida, el típico póster con consejos de seguridad pegado en la pared es inútil, señala Julie Peeler, directora de fundación en International Information Systems Security Certification Consortium -también conocido como (ISC)2 -una empresa global sin fines de lucro que educa y certifica a profesionales de la seguridad de la información. "El entrenamiento en seguridad no es un evento de una sola vez. Tiene que estar integrado a través de la organización entera, y tiene que venir desde la cima", señala la ejecutiva.
Cuando se trata de hablar de seguridad de una forma que los usuarios escuchen, los gerentes deben asegurarse que los empleados entiendan la postura de seguridad de la empresa desde el primer día, indica Peeler. Ellos deben estar dispuesto a firmar acuerdos de confidencialidad, asistir a la capacitación y participar en la toma de conciencia, todo ello con la meta de seguir siendo vigilante.
Contenido completo en fuente original
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!