Concientización y Formación
de Usuarios y Personal de TI
De forma general, es posible observar que los controles en seguridad de la información se apoyan más en los aspectos técnicos que en los aspectos humanos, pero si analizamos objetivamente esta situación podemos darnos cuenta que el rompecabezas no está completo, dado que los aspectos humanos están presentes en forma permanente e inevitable, en el desarrollos de un software, en el diseño de red de datos, en la configuración de un dispositivo de filtrado, en la administración de un sistema operativo y en la interacción del usuario final con los sistemas de información.
Es por esta razón, que muchas veces nos referimos al factor humano como el eslabón más débil de la cadena de la seguridad. En Root-Secure observamos de forma permanente las tendencias y los rumbos de las amenazas informáticas y de manera cada vez más evidente podemos ver como estas apuntan al usuario final.
Consideramos que es el momento oportuno para completar el rompecabezas y ayudar mediante la concienciación del factor humano a elevar el nivel de efectividad que los controles técnicos ya implementados pueden tener.
El objetivo es cambiar el hábito de las personas, con el fin que la seguridad esté embebida en las acciones de cada día, un Plan de Seguridad implementado en forma coercitiva requerirá no solo de un gran esfuerzo de implementación, sino además de mantenimiento, siendo muy probable su fracaso en el mediano/largo plazo, por lo tanto, la mejor forma de implementar un plan efectivo requerirá de un cambio cultural.
Este cambio, debe ser paulatino y basado en la educación de las personas, incluyendo las siguientes etapas:
Información
Es el primer paso en el plan y sirve para mantener presencia y actualización permanente. Para su ejecución se utilizan medios existentes en la organización, como ser correo electrónico, carteleras, revistas Internas, entre otras…
Es el paso siguiente en el plan comunicacional y es un proceso formal de ida y vuelta. Es utilizado para la formalización de Política, Normas, Procedimientos, Roles y Responsabilidades.
Comunicación
Capacitación
Es el nivel más eficiente en el proceso de Formación, dado que equilibra en forma adecuada la relación entre el esfuerzo requerido con los resultados obtenidos (Costo / Eficacia), dado que se puede alcanzar un volumen importante de gente, y asegura la comprensión de los temas.
A un nivel de mayor profundidad que en la Capacitación, el Entrenamiento busca no solo que la persona haya comprendido el concepto, sino que además esté en condiciones de llevarlo adelante con cierta destreza.
Entrenamiento
Educación
Es el nivel más elevado en el proceso de Formación, y busca que los principios de Seguridad sean parte de sus creencias y cultura personal. Se logra a través de un proceso de Formación permanente.
En Root-Secure investigamos y generamos contenido que pueda llegar de forma efectiva a los diferentes perfiles humanos que conforman su organización, orientando nuestro servicio donde el usuario final pueda vivenciarlo y comprenderlo.
Charlas de Concienciación de Usuarios: El objetivo de Root-Secure es ayudar a su organización a llevar conciencia en seguridad de la información de manera efectiva a todos los perfiles que conforman en factor humano, para poder lograr un mayor nivel de eficiencia dentro del plan de concienciación, lo ideal es segmentar el público según sus conocimientos y sus funciones dentro de la organización.
Las segmentaciones que normalmente dan un excelente resultado, se basan en grupos compuestos por los siguientes perfiles:
Entregables
Usuarios Avanzados:
Conformado por aquel perfil involucrado en las áreas de tecnología y sistemas, son usuarios avanzados y tienen un mayor riesgo potencial debido a nivel de privilegios que tienen sobre los sistemas de información y las funciones que desempeñan.
Usuarios Finales:
Conformado por aquel perfil más general, son usuarios que no poseen conocimientos avanzados y que mayormente desconocen los riesgos de seguridad asociados a las tecnologías que utilizan a diario.
Mandos Medios:
Conformado por un perfil particular de usuarios finales, ya que el mismo es muy similar al descripto anteriormente, sin embargo, son líderes dentro de la organización por lo cual una efectiva concienciación dirigida a este grupo puede que ayudar aún más a asimilar los riesgos a sus dependientes.
Alta Dirección:
Conformados por el perfil de más alta jerarquía dentro de la organización, este perfil no posee conocimientos técnicos y esta generalmente en contacto con información sensible dadas su función. El objetivo está enfocado a informar sobre los riesgos asociados a los sistemas de información con el fin de lograr un mayor entendimiento y apoyo a la hora de implementar una política en la Empresa.
Material Complementario:
Adicionalmente y como material complementario a las charlas de concienciación, en Root-Secure pensamos en otros entregables que conforman el servicio:
- Generación de Contenidos para la Intranet
- Generación de Contenido para Correo Electrónico
- Generación de Contenidos para Redes Sociales Corporativas
- Generación de Contenidos para Publicaciones Graficas
- Trivias
- Exámenes Múltiple Choice