¿Cómo hacer cumplir las Políticas de Seguridad de mi organización?

Hace tiempo leí un post de cioal.com, donde una encuesta arrojó que “Más del 50% de los empleados no siguen las políticas de seguridad de sus empresas“, al leer ese titular comencé a meditar sobre ¿qué se puede hacer para lograr que se cumplan las Políticas de Seguridad de la Información (PSI) dentro de las organizaciones?, no fue difícil determinar la respuesta a este predicamento, la cual se resumen en dos palabras “educación y control“(no estoy contando el conector “y”).

Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona “que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía”; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.

Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir “que cumplimos con los estándares”, se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que “se les olviden a los usuarios” las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte,  se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.

En cuanto al control, sucede que en muchas organizaciones  se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que “un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía”, es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.

Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.

¿Qué otras estrategias o técnicas se les ocurre para hacer cumplir las Políticas de Seguridad de la Información? Déjame tus comentarios.

¿Quieres aprender más sobre este tema o deseas implementarlo en tu organización?

  • Agenda una sesión, gratutita, de Coaching/Mentoría de 15 minutosaquí, donde te podré dar algunos consejos y orientaciones en relación a la seguridad de la información.
…”Mantente seguro mi amigo”… Chao... CC Esta obra está bajo una Licencia Creative Commons Atribución-Compartir Igual 4.0 Internacional

Deja un comentario

soysoliscarlos