Hace tiempo leí un post de cioal.com, donde una encuesta arrojó que «Más del 50% de los empleados no siguen las políticas de seguridad de sus empresas«, al leer ese titular comencé a meditar sobre ¿qué se puede hacer para lograr que se cumplan las Políticas de Seguridad de la Información (PSI) dentro de las organizaciones?, no fue difícil determinar la respuesta a este predicamento, la cual se resumen en dos palabras «educación y control«(no estoy contando el conector «y»).
Comencemos por la educación, aunque también son usado los terminos concientización o concienciación, a mi me gusta más decir que es educación, por ser más completo. En el artículo antes citado, menciona «que un 21% de los trabajadores ni siquiera conocen las medidas de seguridad de su compañía»; en muchas organizaciones las PSI (aquellas que tienen) son aprobadas en una reunión con los directivos de la organización, donde solo ellos conocen el contenido de esos documentos y los mismos son almacenados hasta el momento de una auditoría.
Es en este punto donde entra la educación a los usuarios, más allá de la aprobación formal de una de las PSI y que se tengan para decir «que cumplimos con los estándares», se deben establecer calendarios para dar charlas y talleres, a los que son responsables de cumplir y hacer cumplir estas normas. También, tenemos los casos donde sí se dan las capacitaciones, pero la rotación del personal y otras causas hacen que «se les olviden a los usuarios» las PSI, por eso la importancia de realizar estas actividades de forma periódica. Por otra parte, se debería realizar encuestas internas para evaluar la comprensión y conocimiento de las PSI vigentes.
En cuanto al control, sucede que en muchas organizaciones se implantan las PSI, se realizan charlas y talleres periódicamente, y se mantiene un proceso constante de educación a los usuarios; pero en el día a día, las cosas no marchan de acuerdo a lo planeado. En la encuesta realizada se arroja un resultado interesante en cuanto a este aspecto, donde dicen que «un 33% de los empleados no siguen de forma estricta las políticas de seguridad de su compañía», es decir, que conocen las PSI y son conscientes de su contenido pero no las siguen.
Para velar por el cumplimiento de las PSI se deben establecer mecanismos para medir el cumplimiento o no de las medidas implantadas, es decir, indicadores que me reflejen cómo es el estado de la implantación de los controles de cada una de las PSI. Y lo más importante de esto, es hacerle un seguimiento constante a los procesos, ya que en muchas ocasiones la falta de seguimiento conlleva a caer nuevamente en los hábitos poco seguros por parte de usuarios.
¿Qué otras estrategias o técnicas se les ocurre para hacer cumplir las Políticas de Seguridad de la Información? Déjame tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.