InfoSecMan Blog

Leyendo los artículos publicados en el evento HAISA: Human Aspects of Information Security and Assurance, al que debería haber asistido pero que unos problemas de salud importantes a última hora no me permitió ir, he encontrado uno bastante intresante de H. Mauwa y R. Von Solms. en el que ofrecen una aproximación alternativa a la clásica hacia el “conocimiento de la seguridad”, en inglés security awareness.

Comentan los autores, que todos los estándares y códigos de buenas prácticas recomiendan esta acción basándose en las políticas de seguridad y procedimientos existentes en la organización y que por tanto, deben desarrollar las mismas. Pero existe un importante problema a la hora de llevar a cabo esta difusión del conocimiento de la seguridad en muchas organizaciones, especialmente en pequeñas y medianas empresas, y es que un número importante de estas compañías aún no tienen ni tan siquiera una política de seguridad sobre la que desarrollar este programa de concienciación o formación. De hecho se ha comprobado que por ejemplo, sólo 1/3 de las organizaciones en el Reino Unido tienen definida una política de seguridad.

¿Quiere esto decir, por tanto, que no pueden iniciar un programa de concienciación o formación en seguridad? En absoluto. Los autores recomiendan iniciar una aproximación alternativa (y complementaria) a la tradicional basada en la existencia de políticas y procedimientos, y formar y concienciar a los usuarios y empleados paralelamente al desarrollo de estas políticas, que habitualmente son distintas y locales para cada compañía, centrándose en puntos comunes de “concienciación” o “formación” que pueden ser llevados a cabo incluso sin una política inicial existente, como podrían ser, entre otros, los siguientes:

- Copias de seguridad y almacenamiento

- Ingeniería Social

- Seguridad de los trabajadores remotos, móviles o teletrabajadores

- Seguridad en las palabras clave (passwords)

- Seguridad en el correo electrónico

- Seguridad física y del entorno

- “Ética informática”

- Privacidad y Confidencialidad

- etc….

El artículo se titula “Information Security Awareness: Towards a Generic Programme” y puede obtenerse a través de los resultados del simposio HAISA 2007 que podéis solicitar (previo pago) aquí.

Cuando tenga tiempo iré comentando aquí algún otro artículo interesante de este simposio.