Conciencia de seguridad de los empleados

Jugando al Gran Hermano

Nadie quiere hacerse el malo al monitorear cada acción que realiza un usuario. Sin embargo, la desafortunada realidad es que una buena parte de las violaciones de seguridad son causadas por miembros del personal, ya sea de manera inadvertida o intencional.

Los incidentes de ambos tipos se presentan en una variedad de formas:

• Robo de tarjetas de crédito u otra información financiera por parte de empleados poco éticos.

• Abrir archivos adjuntos de correo electrónico infectados de remitentes desconocidos o que no son de confianza.

• Olvidar cerrar la sesión de las estaciones de trabajo al final del día.

• Revelar contraseñas a compañeros de trabajo, familiares o amigos.

• Instalación de software no autorizado en estaciones de trabajo.

Actúe primero, piense después

Una cosa es fomentar una cultura corporativa que adopte la seguridad como un valor fundamental, pero otra muy distinta es hacerlo sacrificando las inversiones reales en tecnología de seguridad. Gartner recomienda que antes de que las empresas empiecen a pensar en implementar un programa de concientización sobre seguridad, deberían:

• Solidificar y fortalecer todos los sistemas y tecnologías de seguridad empresarial.

• Establecer prácticas formales y apoyo a los trabajadores que utilizan estos sistemas.

• Invierta en conciencia de seguridad solo cuando se hayan completado los dos pasos anteriores.

Plan de ACCION

Un programa de concienciación sobre seguridad exitoso es aquel que obliga a todos los empleados a asumir una parte igual de la responsabilidad por la seguridad de los activos de la empresa. Sin embargo, tenga en cuenta que la conciencia por sí sola nunca puede reemplazar las políticas de seguridad integrales.

1. Defina sus expectativas para los usuarios. Crear conciencia significa, en última instancia, cambiar el comportamiento de las personas. Además de sus políticas existentes de no divulgación y de uso aceptable de la tecnología, hable con RR.HH. para que las responsabilidades de seguridad de la información de los empleados sean una condición del empleo (estrictamente por caso, por supuesto). También:

-Dar descripciones precisas de lo que realmente constituye un incidente de seguridad.

-Establezca instrucciones concisas para reportar brechas de seguridad, eventos o incidentes.

-Realizar sesiones de «almuerzo y aprendizaje» de conciencia de seguridad básica para los miembros del personal.

-Asegúrese de publicar claramente todos los documentos relacionados con la seguridad en la intranet de la empresa.

2. Haga que los empleados sean la pieza central de atención. Haga hincapié en las alianzas y las personas, no en la tecnología y la vigilancia. Capacítelos indicando su papel fundamental en la seguridad de la información. Por ejemplo, evite las declaraciones que digan «Haz esto» o «No hagas aquello». En su lugar, utilice una redacción proactiva y colaborativa como «Su función es […], «o» Puedes marcar la diferencia si […]. «Trate de utilizar la acción disciplinaria sólo como último recurso.

3. Medir la efectividad del programa. Las pruebas o cuestionarios de seguridad periódicos son una buena manera de promover y medir el éxito del programa entre la base de empleados. Otro método consiste en poner un contador en el número de visitas en la sección de documentos de seguridad de la intranet. Siempre que sea posible, emplee usuarios avanzados dentro de varios departamentos para ayudarlo a correr la voz y realizar comprobaciones de progreso.

4. Comunica los éxitos. Mantenga abiertas las líneas de comunicación con los empleados. Envíe actualizaciones sobre las iniciativas de seguridad existentes y futuras, así como los antecedentes o las razones detrás de tales decisiones. Si es posible, configure un «barómetro» de seguridad gráfico en la intranet corporativa para mostrar el estado de seguridad actual de la organización.

5. Mantenga el programa flexible. Lo que hoy se considera una práctica recomendada de seguridad podría quedar obsoleto mañana. Permita cierta elasticidad en su programa, teniendo en cuenta factores tales como: cambio de modelos y / u objetivos comerciales; la introducción de nuevas tecnologías; amenazas de seguridad emergentes y / o nuevos virus; y el crecimiento de la red y de la base de usuarios (es decir, dando lugar a un mayor número de puntos de vulnerabilidad).

6. Espere resultados realistas, no milagros. Los iniciados maliciosos, en particular, seguirán siendo difíciles de detener mediante la implementación de un programa de concientización sobre seguridad, especialmente si están decididos a piratear y quemar. Es como si el gobierno federal promulgara una ley que restringe la cantidad de balas permitidas en un arma y luego espera que los ladrones de bancos la obedezcan. Aún así, simplemente transmitir las repercusiones de las violaciones de seguridad a los empleados contribuirá en gran medida a prevenirlas.

En resumen

La seguridad es un desafío, aún más difícil debido al error humano. Instituir un programa de concientización para fortalecer la cadena de seguridad y enfatizar la responsabilidad del usuario.