Creando conciencia en seguridad de la informacion
Páginas: 31 (7511 palabras)
Publicado: 21 de febrero de 2012
Concientización en seguridad de la información
Castillo, Rafael; Di Mare, Alessio; Díaz Víctor; Díez, Horacio.
{raf-cast, a-di, vi-diaz, g-diez}@uniandes.edu.co
Facultad de Ingeniería, Departamento de Sistemas y Computación
Universidad de los Andes – Bogotá, Colombia.
Resumen— Al enfrentar el tema de seguridad en la información nos encontramos con tres pilares fundamentales que lasoportan: la tecnología, los procesos y las personas. Hasta ahora las empresas se han preocupado por invertir grandes cantidades de dinero y esfuerzos en tecnología de seguridad y definición de procesos, pero han dejado a un lado a las personas y han hecho que ellas se conviertan en el eslabón más débil de la cadena de seguridad dentro de la organización. Por lo anterior se hace necesaria laimplementación de un programa adecuado de concientización de los usuarios en el tema de seguridad, debidamente apoyado en las políticas corporativas sobre el tema y con un adecuado proceso de seguimiento y actualización. Durante este proceso el personal directivo y de IT enfrenta una serie de obstáculos que es necesario superar con una adecuada definición e implementación de elementos como las políticas deseguridad, el apoyo de la gerencia, estrategias, etc. En este documento se describen diferentes retos a enfrentar para la elaboración de un programa de concientización en seguridad así como los diferentes elementos que ayudan a alcanzar este objetivo. Al final se plantean algunas conclusiones sobre los aspectos más relevantes del desarrollo.
Índice de Términos: Capacitación, Concientización,Desarrollo, Entrenamiento, Seguridad de la información, Tecnología, Usuarios.
L
INTRODUCCIÓN
A SEGURIDAD DE LA INFORMACIÓN ES UNA DE LAS MAYORES PREOCUPACIONES DE LAS EMPRESAS DE HOY. Conseguir que los empleados tomen conciencia del tema constituye el objetivo fundamental de un programa de sensibilización. Naturalmente, este debe formar parte de una estrategia integral que involucra:concientización propiamente dicha, entrenamiento, educación y desarrollo, todo esto orientado al logro de una “cultura organizacional” en torno al tema.
En este documento se consideran los aspectos relacionados con la implementación de un programa institucional de desarrollo de una “cultura de seguridad de la información”, enfocado principalmente en la concientización, tal como ya se indicópreviamente, además, ilustrará la forma de implementar, de manera satisfactoria, un programa comprensivo, que considere los aspectos mencionados, para alcanzar un nivel adecuado de seguridad de la información, la cual es considerada un activo importante de toda organización, y por tanto, debe ser protegida
Una vez alcanzados los objetivos, el programa deberá proseguir, en forma continua, dado queeste es un tema dinámico que no puede ser archivado. De igual manera, es necesario reforzar los conceptos y conductas, para que el programa sea efectivo a corto, mediano y largo plazo.
También se pretende definir indicadores que permitan establecer la eficiencia del programa y aplicar los correctivos necesarios para su adecuado funcionamiento.
Un factor importante para lograr eléxito de un programa de estas características consiste en la adecuada definición de las audiencias, donde la selección de grupos con niveles de conocimiento e intereses similares es fundamental.
RETOS QUE DEBE ENFRENTAR UN PROGRAMA DE CONCIENTIZACION
Uno de los objetivos fundamentales que se persiguen con la implementación de un programa de concientización en seguridad es que los diferentesusuarios de los sistemas en la empresa se den cuenta de su responsabilidad en la protección de la confidencialidad, integridad y disponibilidad de los activos de información de la compañía, y que comprendan que esto no es solo competencia de los especialistas en seguridad. El programa debe perseguir dejar en claro no solo cómo proteger los sistemas sino también porqué es importante su...
Castillo, Rafael; Di Mare, Alessio; Díaz Víctor; Díez, Horacio.
{raf-cast, a-di, vi-diaz, g-diez}@uniandes.edu.co
Facultad de Ingeniería, Departamento de Sistemas y Computación
Universidad de los Andes – Bogotá, Colombia.
Resumen— Al enfrentar el tema de seguridad en la información nos encontramos con tres pilares fundamentales que lasoportan: la tecnología, los procesos y las personas. Hasta ahora las empresas se han preocupado por invertir grandes cantidades de dinero y esfuerzos en tecnología de seguridad y definición de procesos, pero han dejado a un lado a las personas y han hecho que ellas se conviertan en el eslabón más débil de la cadena de seguridad dentro de la organización. Por lo anterior se hace necesaria laimplementación de un programa adecuado de concientización de los usuarios en el tema de seguridad, debidamente apoyado en las políticas corporativas sobre el tema y con un adecuado proceso de seguimiento y actualización. Durante este proceso el personal directivo y de IT enfrenta una serie de obstáculos que es necesario superar con una adecuada definición e implementación de elementos como las políticas deseguridad, el apoyo de la gerencia, estrategias, etc. En este documento se describen diferentes retos a enfrentar para la elaboración de un programa de concientización en seguridad así como los diferentes elementos que ayudan a alcanzar este objetivo. Al final se plantean algunas conclusiones sobre los aspectos más relevantes del desarrollo.
Índice de Términos: Capacitación, Concientización,Desarrollo, Entrenamiento, Seguridad de la información, Tecnología, Usuarios.
L
INTRODUCCIÓN
A SEGURIDAD DE LA INFORMACIÓN ES UNA DE LAS MAYORES PREOCUPACIONES DE LAS EMPRESAS DE HOY. Conseguir que los empleados tomen conciencia del tema constituye el objetivo fundamental de un programa de sensibilización. Naturalmente, este debe formar parte de una estrategia integral que involucra:concientización propiamente dicha, entrenamiento, educación y desarrollo, todo esto orientado al logro de una “cultura organizacional” en torno al tema.
En este documento se consideran los aspectos relacionados con la implementación de un programa institucional de desarrollo de una “cultura de seguridad de la información”, enfocado principalmente en la concientización, tal como ya se indicópreviamente, además, ilustrará la forma de implementar, de manera satisfactoria, un programa comprensivo, que considere los aspectos mencionados, para alcanzar un nivel adecuado de seguridad de la información, la cual es considerada un activo importante de toda organización, y por tanto, debe ser protegida
Una vez alcanzados los objetivos, el programa deberá proseguir, en forma continua, dado queeste es un tema dinámico que no puede ser archivado. De igual manera, es necesario reforzar los conceptos y conductas, para que el programa sea efectivo a corto, mediano y largo plazo.
También se pretende definir indicadores que permitan establecer la eficiencia del programa y aplicar los correctivos necesarios para su adecuado funcionamiento.
Un factor importante para lograr eléxito de un programa de estas características consiste en la adecuada definición de las audiencias, donde la selección de grupos con niveles de conocimiento e intereses similares es fundamental.
RETOS QUE DEBE ENFRENTAR UN PROGRAMA DE CONCIENTIZACION
Uno de los objetivos fundamentales que se persiguen con la implementación de un programa de concientización en seguridad es que los diferentesusuarios de los sistemas en la empresa se den cuenta de su responsabilidad en la protección de la confidencialidad, integridad y disponibilidad de los activos de información de la compañía, y que comprendan que esto no es solo competencia de los especialistas en seguridad. El programa debe perseguir dejar en claro no solo cómo proteger los sistemas sino también porqué es importante su...
Leer documento completo
Regístrate para leer el documento completo.