7 aspectos a considerar en el diseño de un programa de concientización en seguridad

Un excelente programa de concienciación en seguridad de la información cumple los siguientes siete objetivos de diseño:   1 ) La inclusividad La seguridad de la información es y debe ser percibida como una responsabilidad de todos, por lo tanto, el programa de concienciación debe llegar a todos, es decir, empleados de la organización (Gerentes y empleados), en cada localidad, en cada unidad de negocio, función o departamento, además de contratistas, consultores, trabajadores temporales y otros empleados de terceros que estén trabajando para la organización. Idealmente, las actividades de sensibilización deben comenzar con una inducción al empleado o módulo de orientación que cubre los conceptos básicos de seguridad de la información para los recién llegados. Por encima de todo, el programa de sensibilización debe estar, visiblemente, apoyado y aprobado por la dirección, que a su vez implica que la alta gerencia necesita ser consciente de la seguridad y para comprender el valor del negocio de la concientización en seguridad de la información. 2 ) Amplitud El programa debe abarcar una amplia gama de temas, elementos y aspectos tales como: la rendición de cuentas y responsabilidad , auditoría , autenticación y gestión de identidad, fallas de sistemas y otras vulnerabilidades de seguridad de índole técnica, continuidad del negocio incluyendo el análisis de impacto en el negocio , capacidad de recuperación, recuperación de desastres , la contingencia y la supervivencia; política de traiga su propio dispositivo (BYOD) ; Seguridad en la nube, el cumplimiento; criptografía, bases de datos, correo electrónico, Skype, mensajería instantánea, Twitter , etc, la ética y la confianza, el fraude, la gobernanza, la piratería , el error humano y los factores humanos, la gestión de incidentes y análisis forense digital, las amenazas internas , derechos de propiedad intelectual; malware , seguridad de red y de Internet, privacidad , seguridad física , gestión de riesgos y la seguridad de los sistemas embebidos, diseño de la seguridad, el desarrollo de software seguro y adquisición; ingeniería social; los secretos comerciales. En realidad, el gran número de temas de interés hace que sea imposible hacer justicia a todos ellos en un solo evento anual de sensibilización. En mi experiencia,se debe cubrir un tema diferente cada mes teniendo el equilibrio adecuado entre la amplitud y profundidad de la cobertura. 3 ) Actualidad Mientras que algunos de los temas mencionados en el punto anterior son relativamente estáticos, otros están evolucionando rápidamente y cada cierto tiempo algo verdaderamente novedoso aparece en el horizonte de seguridad. Un programa de concientización que sólo se actualiza con poca frecuencia o de forma esporádica es probable que sea tan rancio como un par de medias viejas y es una mala receta para el éxito. Es más, si no puedes mantenerte al día con los cambios en el panorama de la seguridad, así como los cambios en el entorno empresarial y normativo, existe un claro riesgo de que los empleados estarán mal preparados para las nuevas amenazas. Aprender de los errores de seguridad de los demás es mucho mejor que supera la humillación de convertirse en estudio de caso de un competidor o ser ridiculizado en la prensa. Esta es otra justificación para una, relativamente rápida, rotación de los temas. 4 ) Motivación El énfasis en la motivación hace que la concientización sea más allá de simplemente presentar información y con la esperanza de que la gente preste atención: se refiere a que los materiales de sensibilización y la formación deben ser relevantes, pragmáticos y útiles.El programa tiene que comprometerse con su público y persuadirlos de responder al cambiar sus maneras de pensar. En lugar de simplemente castigar a los trabajadores por no cumplir con sus obligaciones de seguridad, por ejemplo, la alta gerencia debe recompensar y alentar a los que hacen lo correcto. Ser muy claro acerca de la verdadera finalidad de la conciencia de seguridad hace una gran diferencia: recuerda que la “concientización en seguridad” no es más que un objetivo intermedio, no es el objetivo final. Su verdadero propósito es hacer que la gente se comporta de forma más segura y evitar las conductas de riesgo, reduciendo así el número de incidentes y la gravedad de los mismos y por lo tanto los costos de estos. 5 ) Satisfacer las necesidades del público El programa debe tener en cuenta la diversidad de intereses en seguridad de información y competencias del personal dentro de la organización. Por ejemplo, la mayoría de los empleados no van a entender el contenido técnico que los profesionales de TI necesitan. Los materiales de sensibilización básica pueden ser adecuados para empleados más jóvenes, mientras que sus colegas experimentados pueden apreciar los materiales más avanzados. Cuestiones de gobernanza, gestión de riesgos y cumplimiento son de mayor interés para la gestión del personal. Esto implica la necesidad de reconocer los destinatarios para así ofrecer materiales de sensibilización adecuados específicamente para cada uno de ellos. ¡Un tamaño, definitivamente, no sirve para todos! 6 ) Creatividad La expresión creativa puede dar vida a un programa de sensibilización que de otro modo sería monótono, monótono y francamente ineficaz. La variedad es la clave aquí. La limitación del programa de sensibilización a un formato, modo o estilo es un corte suministro a aquellos que, por cualquier razón, no aprecian este enfoque concreto. Algunas personas, por ejemplo, responden mejor a las imágenes que a las palabras. Algunos prefieren que se les diga cosas, a otros les gusta que se muestre, otros tienen que descubrir por sí mismos. Las entregas en línea/electrónicas tiene poco o ningún impacto en los que aprenden por debates, conversatorios, incluso discusiones sobre el tema. Algunos capturan los nuevos contenidos de forma rápida, mientras que otros necesitan más tiempo y reflexión o repetición. Los dibujos animados y juegos pueden atrapar la imaginación de algunas personas, mientras que para otros tiende a ser muy infantil y condescendiente (estamos hablando de la educación de adultos, no se te olvide). Un estilo formal y relativamente seco puede que se adapte a algunos, pero no para todos los materiales, temas y destinatarios. Hay espacio para ser polémico y desafiante (dentro de lo razonable), pero no responder directamente a las preguntas retóricas puede hacer maravillas: un público que se les habla de un desafío a la seguridad y obtienen su propia respuesta es más probable que internalicen la misma que en el caso que el facilitador se encargue de dar la respuesta directamente. 7 ) Valor El programa de sensibilización debe, por supuesto, ser un activo con un valor neto positivo para la organización. Los indicadores adecuados deben demostrar los costos y beneficios del programa, así como para facilitar la mejora continua del diseño del programa y los procesos de entrega. Como suele suceder, las métricas de seguridad también suelen ser un tema fascinante en la concientización. Descuidar este aspecto es una receta para los recortes presupuestarios y apoyo a la gestión mediocres. Recordemos que la concientización de seguridad no es un fin en sí mismo, por lo tanto, no justifica automáticamente su propia existencia. Desde nuestra perspectiva como proveedores, el bajo costo de los productos de la concientización de seguridad trabaja en nuestra contra: la alta gerencia que no aprecian los beneficios reales tienden a descartarlo como gastos triviales y por lo tanto opcional, mientras que la concientización en seguridad en realidad es el aceite que desliza los mecanismos de control de seguridad de la información y los mantiene funcionando suavemente. Diciendo eso de otra manera, sin el conocimiento, la inversión en tecnologías de seguridad no es 100% óptima si no se desperdicia por completo. Al menos que sepas de una solución puramente técnica de ingeniería social, por ejemplo. ¿Qué me ha faltado por agregar? ¿Qué le agregarías al plan?