Uno de los obstáculos a los que se enfrentan día a día los especialistas en seguridad de la información es lograr la participación proactiva y continua de todo el personal de la organización en todos los niveles cuando se crea un plan o se implementa alguna estrategia de ciberseguridad.

La elaboración de políticas, estándares y procedimientos de seguridad, es solo el comienzo de la estrategia de seguridad en la que se busca formalizar el plan de lo que se quiere lograr, sin embargo, por sí mismas no se llevan a cabo las funciones ni la implementación o instruyen al personal con lo que debe conseguir y el conocimiento que debe tener.

Para la implementación de una nueva estrategia de seguridad y lograr su efectividad se requiere de un proceso continuo en el que todo el personal tiene los conocimientos de la importancia de la seguridad, así como comprende el rol y las responsabilidades que tienen que seguir para el éxito de la seguridad en una organización.

Una organización es una estructura que está en constante evolución, al igual que las amenazas a las que está expuesta, por lo que la cultura en temas de seguridad es uno de los elementos fundamentales para la implementación de nuevas estrategias de seguridad.

¿Qué es awareness?

De acuerdo a NIST (National Institute of Standards and Technology) Special Publication 800-16, describe a Awareness como: “La concientización no es entrenamiento. El propósito de las exposiciones de sensibilización es simplemente centrar la atención en la seguridad. Las exposiciones de sensibilización están destinadas a permitir que las personas reconozcan las preocupaciones de seguridad de TI y respondan en consecuencia. En las actividades de sensibilización, el alumno es el receptor de información, mientras que el alumno en un entorno de entrenamiento tiene un papel más activo. La concienciación se basa en llegar a un público amplio con técnicas atractivas. El entrenamiento es más formal, con el objetivo de desarrollar conocimientos y habilidades para facilitar el desempeño laboral”.

Pasos para crear un programa de Awareness

1. Diseñar el programa de concienciación y entrenamiento.

En este paso se Identifican las necesidades de la organización considerando la misión de la misma, los roles y responsabilidades de los equipos lo que conllevará a desarrollar un programa relevante a la estrategia de la organización, al mismo tiempo alineado a la cultura y la arquitectura de TI.

2. Desarrollar el material del entrenamiento y concienciación

Al desarrollar el material para el Awareness, se debe centra la atención en las buenas prácticas de seguridad, los mensajes se deben enviar de forma breve y simple. Se puede abordar un tema, o abordar una serie de temas sobre los que la audiencia debe estar consciente.

3. Implementar el programa de entrenamiento y concienciación.

La implementación del programa debe explicarse completamente a la organización para lograr el apoyo para su implementación y el compromiso de los recursos necesarios. Esta explicación incluye las expectativas de la estrategia y el apoyo requerido del personal, las técnicas para la distribución del material, así como los resultados esperados del programa y los beneficios para la organización.

4. Después de la implementación

 Una vez realizada la implementación deben realizarse evaluaciones para medir el éxito del programa y poder realizar las mejoras o hacer énfasis en los temas que hayan quedado deficientes. Así como también la mejora en el programa es necesaria, ya que puede quedar rápidamente obsoleta si no se presta suficiente atención a los avances tecnológicos, las amenazas a las que está expuesta la organización, la infraestructura de TI, los cambios organizacionales o los cambios en la las prioridades de la organización. Los directores de TI y los especialistas de seguridad deben ser conscientes de esta necesidad e incorporar mecanismos en su estrategia para garantizar que el programa continúe siendo relevante y cumpla con los objetivos.

La concienciación se debe realizar de manera planificada y no debe tener impacto en las operaciones de la organización, el programa es a largo plazo y es diseñado para modificar la cultura en cuanto a la seguridad, el manejo de los activos de información de forma segura, lo que va a sumar una serie de beneficios adicionales de valor para la organización.

Cuando las personas se encuentran capacitadas, pueden actuar de manera activa a la hora de tomar decisiones durante el manejo de los activos ya que están conscientes de la importancia de la seguridad sobre lo que deben proteger y como deben hacerlo, asimismo tienen conocimiento de las amenazas existentes lo que genera un impacto positivo en la estrategia de seguridad.

Al momento de crear un programa de Awareness se debe estar consciente que este no reemplaza o se puede prescindir de alguno de los controles tecnológicos existentes en la organización, sino que por el contrario se basa en ellos y en las mejores prácticas de cada uno para ayudar a reforzar cualquier debilidad o brecha de seguridad ya que el Awareness gestiona el riesgo del factor humano al interactuar con los activos tecnológicos de la organización.

El programa de Awareness es un esfuerzo a largo plazo que involucra a personal en todos los niveles, a los que se les debe prestar atención en temas específicos de acuerdo a los roles y riesgos a los que pueden estar expuestos. El programa de Awareness será el medio que se utilizará para comunicar los requisitos de seguridad en toda la empresa.

Un programa eficaz de formación y concienciación sobre seguridad de TI explica las reglas de comportamiento adecuadas para el uso de la información y los sistemas de TI dentro de la organización. El programa comunica las políticas y procedimientos de seguridad de TI que deben seguirse.  Un programa de concienciación debe comenzar con un esfuerzo que pueda desplegarse e implementarse de varias maneras y está dirigido a todos los niveles. La efectividad de este esfuerzo generalmente determinará la efectividad del programa de concienciación y capacitación y se pretende que resultado del proceso de Awareness perdure lo suficiente para que la organización y las personas lo puedan madurar paulatinamente, hasta que forme parte de sus hábitos personales y de la cultura laboral.

Fuentes:

NIST Special Publication 800-16

NIST Special Publication 800-50