Siempre se ha comentado la debilidad del eslabón humano en materia de Seguridad de la Información, y no sin razón, pues no se trata de un comentario realizado a la ligera sino fácilmente verificable en la experiencia diaria de cada uno en su propio entorno de trabajo.
En general, el nivel de cultura de Seguridad en las empresas de nuestro país oscila entre bajo e inexistente pero también es cierto que muchas veces se realiza esta afirmación sin pararse a pensar en qué se puede hacer para incrementar esos niveles y se ve poca iniciativa para ello.
En nuestra opinión, quizás se esté dejando demasiado la pelota en el tejado de los usuarios, esperando que por obra del paso del tiempo, esa cultura vaya aumentando de forma natural y en paralelo a la propia evolución de las tecnologías de la información y las comunicaciones.
Y en realidad, ¿por qué habría un usuario medio de preocuparse de la seguridad de los activos de información de la empresa o entidad en la que trabaja? Algunos de esos usuarios podrán ser entusiastas de la tecnología en general y de la Seguridad de la Información en particular, pero es evidente que son una clara minoría que ni siquiera tiene la capacidad de influir en el resto de sus compañeros. Si, esos a los que ve como bárbaros la persona que sí es consciente de los riesgos que a diario sufre la información.
No nos engañemos, a la mayor parte de las personas la Seguridad de la Información les sigue pareciendo algo propio de personas exageradas y catastrofistas. La principal preocupación de esa mayoría es que las cosas funcionen y que no se le añadan trabas a su trabajo diario. Si a esto le añadimos que la empresa en la que trabajan no considera la seguridad de su información como un objetivo a perseguir y mantener, nos encontramos con el caldo de cultivo perfecto para los más graves y diversos incidentes de Seguridad.
Las herramientas de la formación y la concienciación son un arma muy poderosa a disposición de las empresas para evitar tales incidentes, o al menos para minimizar su impacto. Y deben realizarse en este orden, ya que no es posible concienciar alguien sobre algo que le resulta completamente desconocido. Una vez formado el personal sobre Seguridad de la Información podremos empezar con la importante tarea de concienciar a ese mismo personal acerca de la importancia de seguir unas buenas prácticas en su trabajo diario.
Sin duda para lograr el objetivo, que es que nuestro personal esté realmente convencido de las ventajas de la Seguridad, debemos empezar por hacerle comprender los beneficios que le proporciona, por ejemplo, guardar siempre la información en los servidores corporativos, o los perjuicios que le puede causar compartir su contraseña con sus compañeros o directamente tenerla apuntada en su mesa de trabajo.
En definitiva, sólo podremos fortalecer al eslabón débil si somos capaces de hacerle ver las bondades de ese fortalecimiento. Se podrá
No nos engañemos, a la mayor parte de las personas la Seguridad de la Información les sigue pareciendo algo propio de personas exageradas y catastrofistas. La principal preocupación de esa mayoría es que las cosas funcionen y que no se le añadan trabas a su trabajo diario. Si a esto le añadimos que la empresa en la que trabajan no considera la seguridad de su información como un objetivo a perseguir y mantener, nos encontramos con el caldo de cultivo perfecto para los más graves y diversos incidentes de Seguridad.
Las herramientas de la formación y la concienciación son un arma muy poderosa a disposición de las empresas para evitar tales incidentes, o al menos para minimizar su impacto. Y deben realizarse en este orden, ya que no es posible concienciar alguien sobre algo que le resulta completamente desconocido. Una vez formado el personal sobre Seguridad de la Información podremos empezar con la importante tarea de concienciar a ese mismo personal acerca de la importancia de seguir unas buenas prácticas en su trabajo diario.
Sin duda para lograr el objetivo, que es que nuestro personal esté realmente convencido de las ventajas de la Seguridad, debemos empezar por hacerle comprender los beneficios que le proporciona, por ejemplo, guardar siempre la información en los servidores corporativos, o los perjuicios que le puede causar compartir su contraseña con sus compañeros o directamente tenerla apuntada en su mesa de trabajo.
En definitiva, sólo podremos fortalecer al eslabón débil si somos capaces de hacerle ver las bondades de ese fortalecimiento. Se podrá argumentar que hay una vía mucho más eficaz que es la de castigar los comportamientos anti-seguros. Desde Áudea Seguridad de la Información consideramos que debe apostarse siempre por la vía del incentivo, sin olvidar que ciertamente debe ser conocido en la organización que el contravenir las normas de Seguridad no sale gratis y tiene consecuencias. Pero, si el personal esta debidamente formado y concienciado, lo más probable es que nos podamos evitar que haya que llegar a imponer medidas disciplinarias.
Áudea Seguridad de la Infromación
Departamento de Gestión