"Aquello que no te mata... debería hacerte más fuerte" ;)
InfoSecMan Blog
Securiy Awareness: ¿Conocimiento de la Seguridad… Inmediato?
18 September 2007Leyendo los artículos publicados en el evento HAISA: Human Aspects of Information Security and Assurance, al que debería haber asistido pero que unos problemas de salud importantes a última hora no me permitió ir, he encontrado uno bastante intresante de H. Mauwa y R. Von Solms. en el que ofrecen una aproximación alternativa a la clásica hacia el “conocimiento de la seguridad”, en inglés security awareness.
Comentan los autores, que todos los estándares y códigos de buenas prácticas recomiendan esta acción basándose en las políticas de seguridad y procedimientos existentes en la organización y que por tanto, deben desarrollar las mismas. Pero existe un importante problema a la hora de llevar a cabo esta difusión del conocimiento de la seguridad en muchas organizaciones, especialmente en pequeñas y medianas empresas, y es que un número importante de estas compañías aún no tienen ni tan siquiera una política de seguridad sobre la que desarrollar este programa de concienciación o formación. De hecho se ha comprobado que por ejemplo, sólo 1/3 de las organizaciones en el Reino Unido tienen definida una política de seguridad.
¿Quiere esto decir, por tanto, que no pueden iniciar un programa de concienciación o formación en seguridad? En absoluto. Los autores recomiendan iniciar una aproximación alternativa (y complementaria) a la tradicional basada en la existencia de políticas y procedimientos, y formar y concienciar a los usuarios y empleados paralelamente al desarrollo de estas políticas, que habitualmente son distintas y locales para cada compañía, centrándose en puntos comunes de “concienciación” o “formación” que pueden ser llevados a cabo incluso sin una política inicial existente, como podrían ser, entre otros, los siguientes:
- Copias de seguridad y almacenamiento
- Ingeniería Social
- Seguridad de los trabajadores remotos, móviles o teletrabajadores
- Seguridad en las palabras clave (passwords)
- Seguridad en el correo electrónico
- Seguridad física y del entorno
- “Ética informática”
- Privacidad y Confidencialidad
- etc….
El artículo se titula “Information Security Awareness: Towards a Generic Programme” y puede obtenerse a través de los resultados del simposio HAISA 2007 que podéis solicitar (previo pago) aquí.
Cuando tenga tiempo iré comentando aquí algún otro artículo interesante de este simposio.
| Posted in Documentos, Mercado, Normativas, Sociedad | del.icio.us |
Últimas entradas
- Año Nuevo… ¿Más de lo Mismo?
- ¡Tengo hambre y me dais caviar!
- El Futuro de la Privacidad
- II Encuentro Nacional de la Industria de la Seguridad en España
- Nuevo Site ISO27002.es Disponible
- SANS London 2008: La Mejor Formación en Seguridad
- ¿Suerte, Bondad o Falta de Información?
- Nuevos Retos en la Dirección de la Seguridad de la Información
- Cerrado por Vacaciones
- NETinVM: una Red completa en una única Máquina Virtual
No comments yet. Be the first.
Leave a reply