2012/02/24

¿Cómo hacer cumplir las Políticas de Seguridad de mi organización?

Estaba leyendo un artículo en cioal.com, donde una encuesta arrojó que “Más del 50% de los empleados no siguen las políticas de seguridad de sus empresas“, al leer ese titular comencé a meditar sobre ¿qué se puede hacer para lograr que se cumplan las Políticas de Seguridad de la Información (PSI) dentro de las organizaciones?, no fue difícil determinar la respuesta a este predicamento, la cual se resumen en dos palabras “educación y control(no estoy contando el conector “y”).
Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona “que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía”; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.
Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir “que cumplimos con los estándares”, se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que “se les olviden a los usuarios” las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte, se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.
En cuanto al control, sucede que en muchas organizaciones se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que “un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía”, es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.
Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.
¿Qué otras estrategias o técnicas se les ocurre para hacer cumplir las Políticas de Seguridad de la Información? Déjame tus comentarios.
Imagen extraída de www.definicionabc.com

1 comentario:


  1. Ingeniero Richard hacker es el verdadero hackers, su tarjeta programada atm trabajo en cualquier máquina en todo el mundo. Todo sucede cuando estaba en quiebra porque perdí mi trabajo y no podía pagar mis cuentas, la vida era tan frustrante que no podía pensar en Qué hacer para ganar dinero. Así que navegar por Internet y vi un comentario sobre ingeniero Richard tarjeta atm en blanco que puede retirar el dinero de cualquier máquina atm y decido darle una try.I consiguió mi ya programado y blanqueado tarjeta de cajero automático para retirar el máximo de € 3000 al día . Estoy muy feliz por esto porque tengo el mío hace un mes y he podido retirar cerca de 78.000 €. Ingeniero Richard está dando la tarjeta sólo para ayudar a los pobres y necesitados, aunque es ilegal, pero es algo agradable y no es como otra estafa pretendiendo tener las tarjetas de cajero automático. Y nadie es atrapado cuando se utiliza la tarjeta. La tarjeta se programa de una manera que no es rastreable así que consiga el suyo de él. Simplemente envíale un correo electrónico (richardatmhacker@gmail.com) y sé feliz como yo.

    ResponderBorrar