A pesar de los cuantiosos esfuerzos técnicos y de inversión en infraestructura para protegerse de los ataques cibernéticos, las organizaciones enfrentan un desafío común: crear conciencia entre sus empleados acerca de la seguridad de la información.
El usuario final no es el único responsable. De hecho, un Programa de Concientización en Seguridad de la Información requiere el firme compromiso de los C-levels, incluyendo a las juntas directivas, presidentes y gerentes generales.
Ellos, en conjunto con los responsables de recursos humanos, auditoría, seguridad y tecnologías de la información, tienen la responsabilidad de transformar la cultura organizacional para que los demás niveles interioricen estos cambios.
El elemento humano es uno de los factores más críticos de un programa de seguridad de información. Sin embargo, a menudo es el más descuidado.
Erróneamente se cree que las mayores amenazas a la seguridad de la información provienen de puertas para afuera. Sin embargo, una gran proporción de los incidentes son ocasionados por empleados desinformados y que no tienen conciencia real del alcance de sus acciones.
“Muchos de los problemas que enfrentan las organizaciones en torno a la seguridad podrían resolverse, o al menos mejorarse, si las personas actuaran de manera diferente”, resalta un reporte de SANS Institute. “Si tan sólo dejaran de hacer clic en los enlaces de email y no descargaran aplicaciones, música o películas ‘gratis’, el trabajo de los administradores sería mucho más fácil”.
A pesar de los cuantiosos esfuerzos técnicos y de inversión en infraestructura para protegerse de los ataques cibernéticos, las organizaciones enfrentan un desafío común: crear conciencia entre sus empleados acerca de la seguridad de la información.
No se trata sólo de una persuasión verbal. De hecho, los usuarios requieren de herramientas y métodos educativos que permitan crear hábitos para el cuidado de la información confidencial.
CONCIENTIZACIÓN DE LA SEGURIDAD
Una de las mejores formas de asegurar que los empleados no cometan errores costosos con respecto a la seguridad de la información es instituir iniciativas de capacitación en Concientización de la Seguridad de la Información (Information Security Awareness) que incluyen, entre otras, sesiones de capacitación, campañas internas y demostraciones en vivo.
Se trata de un conjunto de medidas que una organización toma para proteger la confidencialidad, integridad y disponibilidad de la información sensible, y se constituyen en un elemento esencial del programa de seguridad de información de cualquier empresa.
Un programa de Concientización de la Seguridad de la Información ayuda a garantizar que los empleados tengan una sólida comprensión de las políticas de seguridad corporativas, así como de los procedimientos y las mejores prácticas para el cuidado de la información, tanto personal como de terceros.
“Un paso en falso de un sólo empleado puede tener efectos devastadores en una organización”, reveló el informe de Forrester ‘Reinvent Security Awareness To Engage The Human Firewall’, El estudio informó que únicamente el 22% de los trabajadores se preocupa por la seguridad de la información corporativa.
Es así como muchas organizaciones están comenzando a reconocer el valor de las estrategias de Concientización de la Seguridad de la Información como herramienta para ayudar a los empleados a comprender su rol en la protección de activos de información y prevenir la exposición no autorizada de información confidencial.
CUIDADO Y PROTECCIÓN
Además de aumentar el nivel de seguridad de la información en las organizaciones, la concientización permite interiorizar la importancia de cuidar y proteger la información a todos los niveles. También minimiza los incidentes que puedan presentarse por falta de conocimiento o malas prácticas de los empleados y los prepara para manejar los posibles escenarios dentro del ámbito de sus funciones.
Recordemos que –sin importar el grado de inversión o las tecnologías implementadas–, el usuario final siempre será el eslabón más débil de la cadena de seguridad. Por lo tanto, si las organizaciones carecen de un balance correcto entre las herramientas, los procedimientos y la educación de sus usuarios, el riesgo de sufrir un incidente de seguridad estará latente.
ETEK International ha acompañado a numerosas organizaciones de todos los tamaños y segmentos a crear conciencia entre sus empleados sobre el manejo de la información.
Estrategias basadas en gestión del cambio, pruebas de ingeniería social y campañas motivacionales enfocadas en difusión de información, son algunos de los servicios de ETEK International que más demandan sus clientes. Otros servicios incluyen diagnósticos y estado actual de la seguridad, talleres presenciales y campañas personalizadas con elementos de marketing específicos.
Ahora bien, el usuario final no es el único responsable. De hecho, un Programa de Concientización en Seguridad de la Información requiere el firme compromiso de los C-levels, incluyendo a las juntas directivas, presidentes y gerentes generales. Ellos, en conjunto con los responsables de recursos humanos, auditoría, seguridad y tecnologías de la información, tienen la responsabilidad de transformar la cultura organizacional para que los demás niveles interioricen estos cambios.
No se trata de realizar cursos esporádicos y talleres semestrales. La Concientización de la Seguridad de la Información abarca un plan estratégico y continuo compuesto por un currículo adaptado a las necesidades específicas de cada organización, contenidos relevantes y un cronograma de capacitación escalable a todos los niveles.
Una estrategia de Concientización en Seguridad de la Información puede ayudar a garantizar que los empleados estén mejor equipados, tanto para reconocer las amenazas de seguridad; como para tomar medidas apropiadas que minimicen el riesgo de una violación de seguridad.
Imagen: Rawpixel (vía Freepik). Foto: Patricia Gaviria (cortesía ETEK International).