Cuando hablamos de Seguridad de la Información, regularmente lo relacionamos a controles internos en los que se robustece la seguridad en aplicativos o quizá en servidores, sin embargo, dejamos de lado a un actor que resulta muy importante: el usuario.

Vamos a dejar algunas cosas en claro para entender esta idea:

• Información: debes considerarlo como un activo dentro de la organización (como cualquier otro activo físico o tangible). De manera recurrente en empresas pequeñas y medianas principalmente, la información no se valora de forma efectiva.

• La información la puedes encontrar en diferentes presentaciones:

  • Personal de la organización.
  • Información digital almacenada en estaciones de trabajo o servidores.
  • Impresa (la información que tienes en papel tiene mucho valor).
  • Entre otras…

• Seguridad de la Información: entendamos este concepto como un conjunto de medidas preventivas y reactivas de las organizaciones de los sistemas tecnológicos que permite resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e integridad de la misma (Iván A. Jaimes Cortés, Consultor de Seguridad de la Información – Simposium de S.I. 2017 – Global Lynx).

…entonces, debemos asegurar que la información con la que contamos dentro de la organización no se vea afectada en ninguno de esos tres pilares:

• Integridad - Se debe mantener íntegra la información, es decir, que no cambie o se altere, que se encuentre libre de modificaciones sin autorización.
• Disponibilidad - Nos referimos a que la información pueda ser accesible por quien lo requiera y cuente con la autorización.
• Confidencialidad - Esto se refiere a la información sea solamente accesible por quienes cuenten con la autorización para hacerlo.

Lo anterior, nos lleva a valorar los activos de información y los riesgos asociados con el nivel de afectación en estos tres pilares, por lo tanto, identificamos incidentes de seguridad que pueden causar daños y se ven reflejados como: pérdidas económicas, pérdida de clientes, afectación o daño en la marca de la organización, incluso puede provocar fallas en el servicio que puedan paralizar o interrumpir el negocio.

Si bien, se pueden implementar diversos controles para mitigar los riesgos en los activos de la empresa, por ejemplo, implementar la Norma ISO:27001, siempre el “usuario” es quien debe cumplir dichos controles, es por eso que algunos lo consideran como el eslabón mas débil/fuerte, según sea el caso.

…entonces, ¿que hacemos frente a esta debilidad? Pues debemos convertirla en una fortaleza.

Debemos trabajar fuertemente en concienciar (o concientizar) a los usuarios finales, sensibilizarlos de los riesgos del no cumplimiento de los controles que se implementen y que el éxito de cualquier programa o campaña que busque lograr la seguridad de la información dependerá de ellos.

Security Awareness

Una de las mejores estrategias que podemos usar es asegurarnos que los empleados dentro de la organización no comentan alguna falla en relación a la seguridad de la información, por lo que se definen actividades como capacitaciones para lograr el entendimiento de los riesgos, daños a la empresa y afectaciones directas en sus labores por negligencia respecto a los controles de seguridad.

Esta estrategia debe ser elaborada con base en las carencias reales de prácticas de seguridad y comprensión de seguridad que se detecten dentro de la organización, por lo que se deberán definir canales de comunicación para lograr la difusión de toda la información generada en esta actividad.

Cuando trabajes en esta estrategia, define un plan, etapas, fases y lo que lograrás en cada una de ellas, por ejemplo:

1. Inicio

   • Define el objetivo del proyecto.
   • Realiza un plan de ejecución con el que monitorizarás las etapas de este proyecto.
   • Debes asegurarte que el plan defina responsables en las actividades y obviamente el tiempo definido para el cumplimiento.

2. Diagnóstico

   • Debes conocer el nivel de conciencia sobre la seguridad de la información de los usuarios dentro de la organización.
   • Te permitirá elegir el canal adecuado para difundir información.
   • Usa herramientas dinámicas como cuestionarios al estilo Google Forms con los que puedas concentrar rápidamente los resultados.

3. Definición de Requerimientos y Estrategia

   • Con los resultados del diagnóstico, podrás definir los puntos débiles que deberás atacar en esta primer ejecución de tu estrategia. Recuerda que este trabajo debe ser constante, no es de una sola ejecución.
   • Define la estrategia mediante el canal adecuado, tiempo de ejecución, formas de presentar la información, etc.

4. Ejecución

   • Simple, ejecuta tu plan. Debes asegurarte del cumplimiento de cada una de las actividades con el constante monitoreo a los responsables y actividades.

5. Evaluación

   • Debes medir la efectividad de las estrategias que se definiste en el plan.
   • Tienes a tu alcance diversas herramientas como:
     • Reportes recibidos relacionados a la seguridad de la información.
     • Eventos o incidentes de seguridad que se presentaron en la organización en el periodo a evaluar.
     • Cuestionarios.
     • Cualquier herramienta que te permita medir la efectividad. Recuerda que el objetivo de medir es mejorar.

6. Retroalimentación

   • Brinda retro a tus superiores.
   • Da a conocer los resultados y las áreas de mejora.
   • Debes definir un nuevo plan de acción para trabajar en las deficiencias del primer plan, mejorarlo y repetir el ciclo N veces.
   • Recuerda que este trabajo no se termina, debes ajustarlo y madurarlo.
   • Esto no se trata de capacitar y ya, sino de sensibilizar a la organización sobre la importancia de la seguridad de la información y el cumplimiento de los controles definidos.

¿Que sigue después de todo esto?

Sencillo, mejora, capacita a la organización, incrementa las habilidades de los empleados y por favor, no dejes de medir los resultados.