Seguridad

El éxito de la capacitación en concientización sobre seguridad depende de un programa efectivo

0 0 5 minutos de lectura
El éxito de la capacitación en concientización sobre seguridad depende de un programa efectivo

Una vez que tenga la aprobación de la gerencia para su Programa de Capacitación en Concientización sobre la Seguridad de la Información (ISATP), el siguiente paso es determinar el contenido apropiado y el público objetivo. Esta etapa de planificación es un proyecto que requiere la participación de todas las áreas clave del negocio.

En mi último artículo, analizamos por qué es importante el Programa de capacitación en concientización sobre la seguridad de la información (ISATP). También analizamos cómo obtener la aprobación de la gerencia para el desarrollo del proyecto y los recursos de implementación. En este artículo, dimos los primeros pasos para desarrollar un plan ISATP, que se muestra en la Figura 1.

Figura 1: Ciclo de vida de Microsoft ISATP (documento técnico de ISATP)

convertirlo en un proyecto

Antes de sumergirse en el proceso de planificación, es importante crear un proyecto, asignar un gerente de proyecto e identificar un líder de proyecto. La creación de un proyecto implica definir los objetivos comerciales y el alcance (lo que está y lo que no está incluido) en un documento firmado como guía desde la planificación hasta la implementación y la efectividad de los resultados de ISATP.

Idealmente, los objetivos del proyecto están estrechamente relacionados con los descritos en el caso de negocio presentado a la gerencia para su aprobación y asignación de recursos. Para asegurarse de que está trabajando para alcanzar los objetivos correctos, puede comenzar respondiendo las siguientes preguntas:

  1. ¿Qué significa seguridad de la información en el entorno de procesamiento de información que necesito proteger? ¿Qué tan sensible es la información almacenada, procesada e intercambiada con entidades externas? ¿Qué restricciones reglamentarias se aplican (p. ej., HIPAA y SOX)?
  2. ¿Cuál es la política de seguridad de la empresa?
  3. ¿Cuál es la política de seguridad de la empresa? ¿Cómo se traducen en actividades diarias reales?
  4. ¿Cuáles son los procesos comerciales clave de la empresa?
  5. ¿Cómo afecta la seguridad a las actividades diarias de los empleados?
  6. ¿Cómo afectará un incidente de seguridad importante a la salud de una empresa?
LEER  Aquí le mostramos cómo convertirse en un experto en ciberseguridad solicitado

Responder a estas preguntas ayuda a centrar la formación en la información de ISATP. Una combinación única de la cultura de la empresa, la industria en la que opera la empresa, el entorno regulatorio y los tipos de información confidencial procesada o almacenada.

Mientras que el director del proyecto es responsable de coordinar las actividades del proyecto, es el líder del proyecto quien proporciona la visión y el apoyo de gestión para la conciencia de seguridad. Según Microsoft, los defensores de ISATP son «…generalmente personas que se sabe que tienen la máxima autoridad y responsabilidad por la seguridad de la información en toda la organización».

El equipo del proyecto debe estar formado por todas las partes interesadas apropiadas. Debe incluir representantes del equipo que proporcionen información sobre el diseño de ISATP. La Figura 2, de NIST SP 800-50 (Establecimiento de programas de capacitación y seguridad de la tecnología de la información), brinda información sobre las posibles fuentes de entrada de contenido de capacitación.

Publicaciones relacionadas

Figura 2: Entradas para la planificación y el diseño de ISATP

determinar el contenido

Profundizando en cada categoría representada en la Figura 2, use las siguientes pautas basadas en NIST para obtener el nivel de detalle necesario para documentar y priorizar los temas de concientización propuestos:

  • eventos recientes – Una evaluación de incidentes de seguridad recientes (dentro de los últimos uno o dos años) puede proporcionar información sobre las debilidades de conocimiento de los empleados en procesos generales o principios de seguridad.
  • Asuntos reglamentarios – Los programas de concientización son una gran herramienta para complementar los esfuerzos de capacitación en cumplimiento normativo.
  • preocupaciones del personal – Muchos empleados ya conocen los conceptos básicos de seguridad. Pueden ser una buena fuente de información sobre cuestiones cotidianas relacionadas con la protección de los activos de información.
  • asuntos Gerenciales – La visión de la dirección suele ser más operativa o estratégica. Se pone más énfasis en el bienestar general de los inversores, proveedores, clientes y empleados. Los comentarios de la gerencia ayudan a refinar la descripción de los problemas de seguridad interna.
  • preocupaciones del cliente – Con las crecientes tasas actuales de robo de identidad, los consumidores están cada vez más preocupados por cómo las empresas protegen su información. Resolver los problemas de los clientes no solo es un buen negocio, sino también lo correcto.
  • preocupaciones de los inversores – El nivel de confianza de los inversores en la capacidad de su organización para proteger información confidencial (PI, información financiera, PII, etc.) está directamente relacionado con su nivel de capital de trabajo. Asegúrese de considerar el nivel de protección de su empresa desde la perspectiva de un inversionista.

Las fuentes internas específicas de esta información incluyen:

  • dirección ejecutiva
  • Servicio de información
  • La seguridad
  • Marketing
  • Todas las unidades de negocio afectadas o responsables del cumplimiento
  • Oficial de seguridad de HIPAA
  • oficial de cumplimiento
  • Atención al cliente/Mesa de ayuda de TI
  • Finanzas
  • auditoría
  • tren

Las demostraciones gratuitas de capacitación de Microsoft ISATP Toolkit, como las de los usuarios comerciales, son un buen punto de referencia para identificar información clave.

medicion en planta

Además de identificar el contenido de la capacitación, también debe definir objetivos de capacitación medibles e identificar su público objetivo. Los objetivos de capacitación medibles incluyen:

  • Cambio anual en la incidencia de incidentes comunes de seguridad
  • Use cuestionarios en línea u otras herramientas para medir cuánto absorben realmente los empleados conscientes
  • Use herramientas como Phishme para probar la vulnerabilidad de los empleados al phishing y otros tipos comunes de ataques

El seguimiento de estas u otras métricas depende de sus objetivos comerciales. Asegúrese de proporcionar evidencia de que lo que está haciendo realmente está cambiando el comportamiento de los empleados. De lo contrario, debe volver a mirar su ISATP.

Conoce a tu audiencia

En cuanto a las consideraciones de la audiencia, cuando pasa de un salón de clases de usuarios comerciales a un salón de clases lleno de personal de TI, lo que dice y cómo lo expresa cambia. Hay otro cambio al entrar a una sala llena de gerentes. Por ejemplo, la formación de los usuarios empresariales debe centrarse en cómo realizar de forma segura las tareas cotidianas, incluida la comprensión de las políticas generales de uso aceptable. Los gerentes no solo deben estar al tanto de los estándares y pautas de uso aceptables. También deben comprender todas las políticas relacionadas con la seguridad operativa y cómo afectan sus decisiones. También debe enfatizar a los gerentes la importancia de integrar la seguridad en todos los procesos comerciales. Finalmente, el personal y los gerentes de TI deben comprender todo lo anterior y tener una comprensión firme de cómo se ven afectados los procesos de producción y las construcciones tecnológicas.

La última oración

La formación de sensibilización debe estar diseñada para satisfacer las necesidades específicas de su empresa. Esto solo se puede hacer con aportes de todas las áreas de la organización, con una cierta participación en el proceso. Tan importante como la capacitación sobre el tema correcto es medir el efecto real de un programa de capacitación. Cambiar el comportamiento humano no es fácil. Es posible que se requieran uno o más ajustes en su enfoque antes de que los empleados «vean la luz».

LEER  REvil continúa el ataque de ransomware con la adquisición del fabricante de computadoras portátiles Acer
0 0 5 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba