Conoce si estás en la dirección correcta para alcanzar los objetivos de seguridad de tu organización sabiendo cómo identificar la madurez de tu Programa de Concientización de Seguridad
El factor humano es el principal vector de ataque de los incidentes de seguridad. Estudios recientes, indican que el error humano representa más del 90% de las brechas de seguridad en las organizaciones.
Un plan de concientización de seguridad de usuarios puede ayudar a incorporar las prácticas de seguridad necesarias y reforzar la cultura de seguridad de la organización. Esto puede hacer la diferencia entre una organización saludable y exitosa, y aquella que tiene sus operaciones de negocio y reputación afectada significativamente. La formación en concientización de seguridad se ha convertido en la forma más eficaz de identificar, combatir y superar estos riesgos.
Modelo de Madurez de Concientización de Seguridad
Con el objetivo de ayudar a su organización a construir, mantener y medir el programa de concientización de seguridad, un grupo de más de 200 profesionales de seguridad de la información colaboraron para desarrollar el Modelo de Madurez de Concientización de Seguridad coordinados por el SANS Institute
Este modelo permite a las organizaciones identificar fácilmente dónde se encuentra actualmente su programa de concientización de seguridad de usuarios, definir hacia dónde quiere o puede llegar, y describe el camino para llegar a destino. El modelo se basa en cinco etapas distintas, cada una de las cuales se apoya en la etapa anterior:
Los 5 Niveles de Madurez
- Inexistente: el programa no existe. La fuerza laboral no tiene idea de que es un objetivo, no conoce ni comprende las políticas de seguridad de la organización y puede fácilmente ser víctima de ataques o de sus propios errores.
- Centrado en el cumplimiento: el programa está diseñado principalmente para cumplir con requisitos específicos de auditoría o conformidad. La capacitación se limita a un entrenamiento anual o específico. La fuerza laboral no está segura de las políticas de la organización, su papel en la protección de los activos de información de la organización y cómo prevenir, identificar o informar un incidente de seguridad.
- Promoción de concientización y cambio de comportamiento: el programa define los temas de capacitación que tienen el mayor impacto en el apoyo a la misión de la organización y se enfoca en esos temas clave. El programa va más allá de la capacitación anual e incluye un refuerzo continuo durante todo el año. El contenido se aborda de una manera atractiva y positiva que fomenta el cambio de comportamiento en el trabajo y en el hogar. Esto ayuda a la fuerza laboral a comprender y seguir las políticas de la organización y a reconocer, prevenir e informar activamente los incidentes.
- Sostenibilidad a largo plazo y cambio cultural: el programa cuenta con procesos y recursos para un ciclo de vida a largo plazo, que incluye (como mínimo) una revisión y actualización anual tanto del contenido de la capacitación como de los métodos de comunicación. El programa va más allá de solo cambiar comportamientos y comienza a cambiar la cultura de la organización.
- Marco de métricas robusto: el programa tiene un marco de métricas sólido para monitorear el progreso y medir el impacto. Como resultado, el programa mejora continuamente y puede demostrar el retorno de la inversión.
Beneficios de un Programa de Concientización de Seguridad
- Desarrollar una cultura centrada en la Seguridad donde se refuerzan buenos hábitos y se dispone de una actitud proactiva de protección
- Empoderar a los colaboradores para realizar su trabajo de forma más productiva y segura
- Proteger los activos que más importan
- Mantenerse actualizado de las amenazas y riesgos de las tecnologías emergentes
- Estar en Conformidad con Leyes y Regulaciones
Fuente: CiberSergei