Las noticias sobre delitos cibernéticos muestran que al factor humano en la gestión de la seguridad de TI se le da muy poca importancia, sin embargo, la capacitación débil de los colaboradores también puede desencadenar prácticas riesgosas.
Este hecho lleva a la pregunta ¿cómo se puede desarrollar y mantener una cultura integral de seguridad de TI dentro de una organización? Algunos aspectos clave a considerar.
- Tener el soporte de la alta gerencia. La alta gerencia necesita apoyar y facilitar los programas para generar la cultura de seguridad informática y debe insistir en el cumplimiento de los lineamientos de seguridad.
- Configurar los lineamientos de seguridad. La definición de roles y responsabilidades de todas las partes interesadas proporciona la base para un comportamiento de conformidad.
- Conciencia sobre Seguridad TI. Sólo si las personas están conscientes de los riesgos y las consecuencias de la interacción con los sistemas de TI, se puede reducir el riesgo general de seguridad. Los lineamientos de seguridad comunicados y actualizados aumentan esta conciencia.
- Entrenamiento. Para una cultura saludable, la capacitación adecuada para los miembros de la organización debe realizarse regularmente, simplemente porque el marco de seguridad de TI cambia continuamente.
- Analizar riesgos de seguridad. Analizar y comparar el riesgo de seguridad por supuesto ayuda a estimar el daño potencial, pero también promueve una cultura de seguridad de TI.
Para garantizar una adaptación constante del marco para una cultura de seguridad de TI sana se puede utilizar el método PDCA (Plan Do Check Act):
- Plan. En primer lugar, se requiere un análisis de la situación actual, además de la definición del estado objetivo identificado para delinear medidas.
- Do. En esta fase, las medidas definidas deberán realizarse. Una comunicación clara, proactiva y el apoyo de la alta dirección, es muy importante en esta fase.
- Check. Esta es la fase de control de las medidas implementadas. Es importante verificar si se alcanzó el objetivo utilizando los mismos métodos que en la fase de planificación para identificar la situación actual.
- Act. En la última fase, los cambios realizados con éxito se deben comunicar y compartir los aprendizajes. Esta fase también permite correcciones menores de la implementación.
No sólo se reduce el riesgo de esta forma, sino que se ve facilitado por una comunicación clara. Además hace que los empleados sean más conscientes y, por lo tanto, fortalece la cultura de seguridad de TI.
Colaborador: David Montoya
