Realizado: Herlees Enrique Guadalupe Temas: Concientizacin del Personal FabTech
INFORME SOBRE SEGURIDAD DE LA
INFORMACION EN FABTECH 1 INTRODUCCION A SEGURIDAD DE LA INFORMACION Cuando se habla de informtica, se tiende a asociar este concepto con nuevas tecnologas, equipos y aplicaciones (recursos informticos). Sin embargo, se suele pasar por alto el componente base que hace posible la existencia de dichos elementos: la informacin. La gran mayora de los usuarios, desconoce sobre temas de seguridad de la informacin y, en especial, el alcance del rea. Quin no ha escuchado alguna vez las preguntas; pero cmo, seguridad de la informacin tambin se encarga de la seguridad fsica? Qu tiene que ver seguridad de la informacin con los papeles impresos? Cmo, seguridad de la informacin no es lo mismo que seguridad informtica? El desarrollo de un plan y campaa de concientizacin (Awareness Training) del personal de nuestra compaa es fundamental para mantener altos ndices de seguridad. De nada sirve contar con las ltimas tecnologas de antivirus, firewalls, bloqueo de USB, etc., si la educacin del principal consumidor, el usuario, no es llevada a cabo. Hoy, ms del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivacin, carencia de entrenamiento organizacional) y a travs de la ingeniera social. Esto se debe a que resulta ms fcil obtener la contrasea de un usuario si lo llamamos como si furamos el Help Desk para corroborar sus datos, que vulnerar los sistemas de seguridad y cifrado de los sistemas. Asimismo, con tan slo recorrer un par de puestos de trabajo podremos encontrar las contraseas (contenidas en un post-it) pegadas en la pantalla o debajo del teclado. Existen diferentes mtodos para implementar nuestras ideas, si fallamos en la eleccin, seguramente el objetivo de la concientizacin no cumplir nuestras expectativas. Es por ello que se deber colocar nfasis en este punto. Sin lugar a dudas, las charlas persona a persona son las que poseen mayor llegada al usuario final, pero dependiendo del tamao de nuestra organizacin, esto no siempre ser factible. Las alternativas ms utilizadas son: 1. Reuniones, charlas o desayunos de trabajo. 2. Cartelera. 3. Folletera 4. Uso de la Tecnologa. De acuerdo a los canales de comunicacin utilizados definiremos otro de los tems fundamentales, el temario a considerar en cada alternativa. En el caso de reuniones presenciales, podemos tratar conceptos ms generales e introductorios para luego enumerar las buenas prcticas a seguir: 1. Objetivo del Negocio. 2. qu es la seguridad de la informacin? Realizado: Herlees Enrique Guadalupe Temas: Concientizacin del Personal FabTech 3. Objetivo y alcance del rea. 4. Riesgos y Amenazas asociados a la informacin. 5. Situacin actual de la compaa 6. Buenas prcticas de seguridad. Si decidimos instalar carteles en lugares estratgicos o repartir folletos, debemos nombrar solamente las buenas prcticas adoptadas, al igual que para la opcin tecnolgica, donde podemos optar entre correo electrnico, protector de pantalla, pop-up, logon script, Intranet o newsletter mensual. 1. Acorde la criticidad de los activos de la informacin, debemos incluir los temas bsicos vinculados a los usuarios, tales como: 1. Manejo de contraseas seguras. 2. Log-off y bloqueo de Pc. 3. Virus y Spam. 4. Escritorio limpio. 5. Dispositivos mviles 6. Destruccin de la informacin sensitiva. Para finalizar el ciclo, es conveniente recibir feed-back por parte de nuestros usuarios, utilizando algn tipo de encuesta o mtrica. De esta forma tendremos herramientas para realimentar y mejorar nuestro plan de concientizacin y continuar la campaa. Recordemos que un cambio de cultura no se lleva a cabo en poco tiempo, por lo que tendremos que: 1. Ser perseverantes y pacientes; 2. Desarrollar e implementar polticas, procesos, procedimientos, normas y estndares acordes con la estructura organizacional, y alineados al negocio; 3. Entrenar y comunicar en forma continua; 4. Contar, de manera especial e incondicional, con el apoyo de la alta gerencia, para que nuestras acciones tengan el respaldo, soporte y grado de aceptacin que ameritan.