Programa de Concientizacin

Seguridad Informtica

El objetivo de implementar un programa de concientizacin en seguridad de la informacin es justamente que la compaa genere conciencia sobre la relevancia que toma cada empleado en el correcto tratamiento de la informacin. Una empresa puede tener el mejor equipo humano de Seguridad, los mejores dispositivos, invertir gran cantidad de dinero, pero si el resto de la compaa no es consciente de la importancia de la seguridad, nada de esto es suficiente. Derivado a que la parte ms dbil dentro de una organizacin en temas de seguridad es el mismo personal, ya sea a ocurrencias originadas por ignorancia del tema o descuidos. Ante este escenario precisamos generar campaas de concientizacin constantes. No basta con realizar una campaa, sino que es necesario repetir los conceptos permanentemente.

Metodologa El programa contempla los siguientes aspectos: Alinear el enfoque del programa de concientizacin con los objetivos y metas del negocio. Identificar los recursos internos y externos que se encargarn de la concientizacin, entrenamiento y educacin. Identificar los tipos de personal para definir audiencias. Desarrollar el programa de concientizacin conjuntando las audiencias y recursos de entrenamiento. Ejecutar, mantener y evaluar el programa de concientizacin

El plan de concientizacin deber contener los siguientes puntos: Diagnstico de la situacin actual en la organizacin en relacin a la cultura en seguridad informtica. Documentacin de las necesidades encontradas y contenido del programa, tomando como referencia el diagnstico de la situacin actual. Listado de mtodos y medios seleccionados para comunicar adecuadamente y con xito. Con base a los requerimientos y necesidades de la organizacin se deber generar la documentacin de objetivos de las campaas. Documentacin del contenido de las campaas. Plan detallado de implementacin, conforme a los objetivos establecidos y . Diseo de materiales. Impresos que sean de alto impacto hacia los empleados para generar una mayor efectividad en la concientizacin sobre la cultura organizacional referente a la seguridad informtica. Formatos de medicin y evaluacin. A travs de cuestionarios y exmenes para evaluar el conocimiento adquirido por parte de los usuarios, as como simulacros en los que se pueda evaluar el nivel de entendimiento del plan de concientizacin sobre la seguridad informtica en la organizacin. Encuestas y/o auditorias presenciales podran ser instrumentos muy tiles para esta tarea.

Difusin Para evitar que el tema de seguridad sea tomado como sin relevancia y/o aburrido es de gran relevancia implementar campaas que atraigan la atencin de los empleados, por lo que dichas campaas deben estar alineadas con las reas de Recursos Humanos para aprovechar su experiencia y habilidad en comunicar eficientemente. Como estrategia se realizar una difusin orientada al humor utilizando caricaturas difundidas mediante carteleras y va correo electrnico a todos los empleados. Adems se llevarn a cabo plticas informativas con especialistas en el tema, manejando un lenguaje sin tecnicismos, en las que no slo se tocaran temas especficos de la organizacin sino tambin sobre la seguridad en el mbito personal. Se entregarn folletos, cartillas con consejos de seguridad y envi de correos electrnicos. Comprendan y hagan comprender a los directivos de sus empresas que la concientizacin es una inversin altamente valiosa en Seguridad ya que todos los empleados utilizan el segundo activo ms importante de la empresa: la informacin.

Alcance El alcance del proceso de concientizacin se establece para desarrollar una cultura de seguridad dentro de la organizacin, enfocada a que todas las actividades realizadas sean inherentemente seguras y que todo el personal este consiente de los riesgos y amenazas existentes, as como educarlos e instruirlos en los medios y mtodos correctos para salvaguardar los activos de la organizacin y a s mismos. El programa deber contemplar temas como: Explicacin de Hacking, Ingeniera Social, Exploits de Vulnerabilidades, Infecciones masivas de virus, accesos no autorizados, etc. Deber explicar la importancia de la salvaguarda de las instalaciones fsicas ante eventos naturales o accesos no autorizados. Explicar la metodologa para proteger sus datos importantes de la organizacin. Dar a conocer las polticas, estndares y normativas validas en la empresa as como las sanciones relacionadas.