Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Diofanor Rodríguez Lozano

Oficial de la Policía Nacional de Bogotá en excedencia.
Certificado Profesional en Protección (CPP), por ASIS Internacional
Especialización en Seguridad Física y de Informática por la Escuela de Comunicaciones Militares de Bogotá

Gerente de Seguridad de Agroindustria UVE, S.A. (Colombia)

¿Realmente sirven los programas de culturización en seguridad informática?


Una de las más importantes diferencias entre la era industrial y la era del conocimiento, es sin duda el uso de la información en las empresas. Antes, la información era saber para los directivos; ahora, hace idóneos a todos, pues sin información, los trabajadores no podrían ser efectivos.

Hoy, cuando hablamos de las organizaciones, nos referimos sobre todo al flujo de la información y del conocimiento para la toma de decisiones. El nuevo trabajador  se caracteriza por mayor autonomía en la toma de decisiones, por la destreza informática e informacional, por el aprendizaje permanente, por la lealtad a su profesión y por la disposición a innovar. La información le acompaña en la actividad diaria y no es necesario insistir en el papel de la información para el directivo.

En este contexto, está igualmente la seguridad, que se soporta por tres pilares fundamentales conocidos comúnmente como el triangulo de las tres “P”:

Generalmente hablamos que los problemas que se generan en la seguridad informática pasan por el concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas ocasiones se ha dicho que la creación de un programa de concientización sobre la importancia de la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que el usuario final.

La verdad empero es que en muchas ocasiones la concientización en seguridad se limita ha instalar carteles con mensajes instructivos sobre la seguridad informática, pero cuyos resultados no se ven por ningún lado.

Para que las campañas en realidad cumplan su efecto, se deben tener en cuenta los tres elementos claves que, desde mi óptica, componen el triangulo de la Cultura de Seguridad, así:


Cada uno de estos aspectos hace referencia a un concepto distinto. En seguida tratare de definirlos con el propósito de que podamos saber en que fase del programa debemos aplicar el concepto para lograr su máxima expresión.

Concientización: Es el proceso mediante el cual buscamos modificar actitudes y percepciones tanto en el ámbito laboral, como en el individuo como tal.

Entrenamiento: Es la acción posterior de la concientización y está enfocado en construir y aplicar conocimiento con el fin de incrementar las capacidades de una persona para que pueda desarrollar sus tareas de manera más eficiente.

Educación: Es la etapa avanzada del entrenamiento, cuyo objetivo es mejorar competencias (conocimiento, destrezas y habilidades), para lograr que el trabajador pueda desempeñar un trabajo distinto dentro de la organización, lo que seria como la capacidad de actuar y proponer soluciones.

Así, un plan de cultura organizacional dirigida a la seguridad informática debe ser completo, esto es que se debe incluir las políticas sobre aspectos de seguridad, reuniones con los grupos objetivos, debe poseer una metodología adecuada, pero sobre todo debe estar apoyada por la alta gerencia.

Cuando se da vida al programa de cultura, tenemos que entender que este escenario es dinámico y por lo tanto está en construcción permanente, lo que significa que sus definiciones y documentos debemos usarlas todos los días, pues no se trata de elaborar un texto  para archivarlo y dejarlo llenar de polvo en un muy bonito estante de la organización. Adicionalmente, se hace necesaria la creación de indicadores que nos permitan medir (lo que no se mide no se administra) la eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos necesarios que lleven al funcionamiento optimo del programa.

Muy seguramente en el camino nos encontraremos con algunos obstáculos que hay que sortear y que son de carácter general en cualquier organización que quiera implementar un plan de cultura para la seguridad. Algunos de los obstáculos pueden ser:

• No reconocer que la seguridad es tarea de todos
• La llegada de una nueva tecnología
• La falta de un seguimiento adecuado al programa
• El no recibir apoyo de la alta gerencia
• Nuevos modus operandis de los delincuentes
• Los empleados reacios a cambiar paradigmas


Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir que clase de metodología se necesita en nuestras organizaciones. Generalmente las metodologías utilizadas constan  de cinco grandes ítems: Análisis, diseño, desarrollo, implementación y una evaluación y mantenimiento. Otro aspecto no menos importante es realizar una buena gestión sobre las diferencias entre lo planeado y lo ejecutado.

Para concluir podríamos decir que las organizaciones de hoy han comprendido que uno de los activos más valiosos con los cuentan es la información y con este entendido han descubierto la importancia de generarse una seguridad contra aquellos agentes agresores que buscan constantemente aprovechar vulnerabilidades que los sistemas informáticos e infraestructura de red presentan. También por supuesto, se hace necesario que las campañas de culturización se hagan de forma completa y no simplemente con afiches que vemos pegados, pero que en realidad por si solos no consiguen nada. Es interesante comprender que por muy robustos sistemas de seguridad que poseamos, no servirían de nada si el eslabón más de débil de la cadena (el usuario de la información) no hace parte fundamental del programa de cultura de seguridad.

Como punto final, es también fundamental poseer una métrica para evaluar el desarrollo de los planes de cultura de seguridad, que permitan precisar si realmente se esta cumpliendo o no con los objetivos del programa, pues de lo contrario jamás podrá mostrar los resultados esperados y por ende no podremos realizar un control adecuado del mismo.


Referencias

Artículo de concienciación de seguridad de Rabel Castillo, Di Mare Alessio y Víctor Díaz  de la Universidad de los andes.
La información, en la economía del conocimiento Autor José Enebral Fernández

Suplemento Temático: Formación y Seguridad

 


Fuente: Diofanor Rodríguez
Fecha: 10/04/2007

   Mas artículos de Diofanor Rodríguez Lozano       Otros Expertos   

Este experto ha sido visto por 2518 personas.