¿De qué sirve realizar grandes inversiones en proteger los sistemas de información cuando no se capacita a las personas?

Teniendo como base un paper realizado por INCIBE, podemos decir que la respuesta es, simplemente de nada. ¿Por qué? Debido a que, si una persona comete un error en esta cadena, de manera directa toda la seguridad se verá comprometida. Es decir que, en otras palabras, la tecnología nunca será suficiente para proteger enteramente a una corporación.

Es más que usual que haya errores humanos en dicha materia cuando no hay un equipo bien instruido para sortear inconvenientes de este grado, perjudicando de esta manera a la seguridad de la información de una empresa. 

Hay una frase célebre que, en pocas palabras, resume la vitalidad de capacitar a los usuarios: “EL USUARIO ES EL ESLABON MÁS IMPORTANTE DE LA CADENA DE SEGURIDAD”

Entonces, un fallo humano, se comporta como un dominó. Cuando se cae una ficha, el resto se ven comprometidas y caen con la misma.

Se ha percibido en el paso del tiempo, que las empresas no realizaban grandes inversiones en dicho tema debido a que al no ser productivo, no se veía reflejado el retorno de la inversión, lo cual, es cierto, los esfuerzos destinados a la seguridad de la información no traen ganancia, pero, si la seguridad se ve violada o violentada, se pueden perder no solo  millones sino también base de datos e información confidencial. Es un costo a pagar muy elevado, ¿no?

4 pasos claves para crear una Cultura de Seguridad Informática

Para que se reduzca el porcentaje de errores humanos en materia de seguridad de la información es primordial una cultura de seguridad. Es tan importante como una cultura de respeto, inclusión y trabajo en equipo.

Por la naturaleza del tema en cuestión, establecer a la misma, no es tarea fácil, ya que viene acompañada de complejidades.

Para comenzar a desarrollar este objetivo, se debe tener en cuenta los plazos de tiempo. Tal como cualquier otra campaña interna que se realice en una corporación. Se debe entender que, para que los empleados puedan internalizar esta nueva cultura se requiere de diversas acciones que sean sostenidas al largo plazo. ¿Para qué? Para que las cosas se hagan bien en materia de seguridad de la información.

Un estudio realizado por INCIBE, Instituto Nacional de Ciberseguridad de España, aconseja tomar las siguientes acciones para una correcta inserción de dicha cultura:

Se debe:

• REALIZAR ACCIONES DE FORMACIÓN EN SEGURIDAD PARA EMPLEADOS.
• ESTABLECER POLÍTICAS, NORMATIVAS Y PROCEDIMIENTOS DE SEGURIDAD.
• SUPERVISAR QUE SE CUMPLEN LAS BUENAS PRÁCTICAS EN SEGURIDAD.
• REALIZAR ACCIONES DE SENSIBILIZACIÓN Y CONCIENCIACIÓN EN SEGURIDAD PARA EMPLEADOS

Dentro de las acciones mencionadas queremos detenernos en la última: Realizar acciones de sensibilización y concienciación en seguridad para empleados.

A pesar de seguir pasos básicos como la definición de una estructura organizativa de seguridad, como un sistema de normas y procedimientos estandarizados y detallados, se debe de manera cuasi obligatorio, imponer a dicha cultura como una filosofía organizacional. Y es por esto la importancia de implicar  de todos los empleados en la seguridad de la información.

Es de vital importancia las acciones de concientización para el mantenimiento de los niveles de seguridad adecuados y de esta manera hacerle entender a los colaboradores que gestionan y manejan información sensible que, ante un desperfecto en la cadena de seguridad de la información se puede, muy fácilmente, transformarse en una crisis organizacional, ya que no solo poseen información propia de la corporación sino también de terceros, como por ejemplo de proveedores.

Es fundamental que los colaboradores se sientan importantes en dicho proceso, de lo contrario el porcentaje de posibilidades ante el fracaso es alto. Por eso es esencial que se sientan  protagonistas y no como espectadores. Que cumplan con un rol activo y no secundario, es lo que marcará la diferencia en los niveles de seguridad.

Aquí entra en juego la capacitación a todo el talento humano de una empresa en materia de «información sobre seguridad». En la misma se informa a los colaboradores cómo aplicar ciertos aspectos relacionados con la seguridad en el desempeño cotidiano de sus funciones.

Tal como dice el estudio realizado por INCIBE ¨la concientización incrementa el nivel de seguridad de la organización. Si incrementamos la seguridad corporativa mejoramos nuestra imagen como empresa ante nuestros clientes (…) Por tanto, CONCIENTIZAR EN SEGURIDAD DE LA INFORMACIÓN ES RENTABLE PARA LA EMPRESA.

Fuente: Desarrollar Cultura en Seguridad (incibe.es)