¿Cómo hacer cumplir las Políticas de Seguridad de mi organización?

Hace tiempo leí un post de cioal.com, donde una encuesta arrojó que «Más del 50% de los empleados no siguen las políticas de seguridad de sus empresas«, al leer ese titular comencé a meditar sobre ¿qué se puede hacer para lograr que se cumplan las Políticas de Seguridad de la Información (PSI) dentro de las organizaciones?, no fue difícil determinar la respuesta a este predicamento, la cual se resumen en dos palabras «educación y control«(no estoy contando el conector «y»).

Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona «que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía»; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.

Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir «que cumplimos con los estándares», se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que «se les olviden a los usuarios» las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte,  se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.

En cuanto al control, sucede que en muchas organizaciones  se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que «un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía», es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.

Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.

¿Qué otras estrategias o técnicas se les ocurre para hacer cumplir las Políticas de Seguridad de la Información? Déjame tus comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *