27 - Capacitación y Concientización de Seguridad en Organizaciones - 12/03/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar



Sin duda uno de los temas más preocupantes cuando hablamos de Seguridad es la Capacitación, o mejor dicho la falta de ella.
Esto se debe en gran medida a que el usuario en general no es consciente de la importancia de la información que maneja a diario, lo que puede hacer con ella, la utilidad que le puede dar un tercero y las consecuencias de ello.
Cuando hablamos de educación en Seguridad de la Información en realidad estamos hablando de dos conceptos: Capacitar y Concientizar.


El primero de los términos se refiere a dar a conocer y educar sobre una temática determinada.
En cambio concientizar va más allá y está referido a que el concepto sobre el que se está trabajando forme parte, realmente se arraigue y llegue a ser un sentimiento en la persona. Muchas veces también se utiliza el termino evangelizar para reflejar este concepto.


En Sistemas y, más específicamente en Seguridad, realizar estas dos acciones adquiere mayor relevancia ya que generalmente el público al que irá dirigida nuestra "prédica" tenderá a tildarnos de locos esquizofrénicos y paranoicos salidos de la Matrix (quizás con razón).


Lo primero que debemos plantearnos es: como nos caería que un apicultor (nada personal con ellos) venga a explicar técnicamente como se inflama una picadura de la abeja Lonchura Punctulata debido a que es un insecto himenóptero.
Por eso, en un primer contacto, la capacitación que se brinda debe ser en un lenguaje ameno, lejos de los tecnicismos y anglicismos clásicos de nuestra profesión.


Es importante tener indicadores y estadísticas para controlar el antes y después de la capacitación. Estos serán el reflejo del éxito o del fracaso de la capacitación y nos indicará que debemos incluir, mejorar o eliminar de la misma. Además en principio estos indicadores nos marcarán los temas de las primeras capacitaciones. Por ejemplo si existe un alto índice de infecciones víricas o un alto porcentaje de passwords prestadas, estos serán buenos candidatos de temas a tratar.


Es conveniente comenzar con temas críticos o de alto impacto dentro de la organización. Por ejemplo podría comenzarse con una charla sobre Ingenieria Social en donde un simple llamado telefónico o un mail engañoso sirve de ejemplo para introducir el concepto y demostrar el alto impacto que puede tener la obtención de información por este medio.


El contenido a tratar debe seleccionarse cuidadosamente y cada capacitación debe referirse a un tema específico sin introducir demasiados conceptos nuevos; aprovechando para refrescar temas comunes.


La teoría debe ser la justa y la necesaria para introducir el tema pero luego deben abundar los ejemplos prácticos, anécdotas de experiencias y demostraciones de causa-efecto que, cuanto más impactantes sean, mayor será el resultado obtenido.
El tiempo dedicado a capacitar no debe exceder la capacidad de concentración media de una persona ya que los temas muchas veces suelen ser pesados y hasta aburridos (aunque me duela admitirlo).


Cabe mencionar que en el primer tiempo, luego de la capacitación, las acciones consideradas "ataque interno" se verán incrementadas en nuestros indicadores. Esto es normal y es producto de que muchas personas quieren vivir en "carne propia" como es "ser hacker" por lo que probarán herramientas y acciones tendientes a burlar la seguridad de la propia empresa. Estas acciones generalmente son limitadas pero deberán vigilarse y controlarse.


Otra forma en que suele encararse la capacitación es dejando información en una Intranet, con envío de mails periódicos que traten algún tema específico o cartelera con consejos simples. Hay que tener en cuenta que este tipo de capacitación depende del usuario ya que, por ejemplo, si quiere puede eliminar el mail sin leerlo o nunca ingresar a la Intranet.


Lo más importante y a remarcar es que está capacitación debe ser permanente en el tiempo. Será con esto con lo que, en última instancia, logremos "convertir" una simple capacitación en concientización.




Buenos Aires, 12 de marzo de 2006



Actualidad

Virus-Antivirus