La conciencia sobre la seguridad de la información es una parte en evolución de la seguridad de la información que se enfoca en crear conciencia sobre los riesgos potenciales de las formas de información en rápida evolución.y las amenazas en rápida evolución a esa información que tienen como objetivo el comportamiento humano. A medida que las amenazas maduraron y la información aumentó en valor, los atacantes aumentaron sus capacidades y se expandieron a intenciones más amplias, desarrollaron más métodos y metodologías de ataque y actúan por motivos más diversos. A medida que los controles y procesos de seguridad de la información han madurado, los ataques han madurado para eludir los controles y procesos. Los atacantes se han dirigido y explotado con éxito el comportamiento humano de las personas para violar las redes corporativas y los sistemas de infraestructura crítica. Las personas objetivo que desconocen la información y las amenazas pueden, sin saberlo, eludir los controles y procesos de seguridad tradicionales y permitir una violación de la organización. En respuesta, la conciencia sobre la seguridad de la información está madurando.directores de información (CIO), lo que expone la necesidad de contramedidas para el panorama actual de amenazas cibernéticas. [1] El objetivo de la concientización sobre la seguridad de la información es hacer que todos sean conscientes de que son susceptibles a las oportunidades y desafíos en el panorama de amenazas actual, cambiar los comportamientos humanos de riesgo y crear o mejorar una cultura organizacional segura.
La conciencia sobre la seguridad de la información es uno de varios principios clave de la seguridad de la información. La concientización sobre la seguridad de la información busca comprender y mejorar los comportamientos humanos de riesgo, las creencias y las percepciones sobre la información y la seguridad de la información, al mismo tiempo que comprende y mejora la cultura organizacional como contramedida para las amenazas que evolucionan rápidamente. Por ejemplo, las Directrices para la seguridad de los sistemas y redes de información de la OCDE [ 2 ] incluyen nueve principios generalmente aceptados: conciencia, responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implementación de seguridad, gestión de seguridad y reevaluación. En el contexto de Internet , este tipo de conciencia a veces se denomina seguridad cibernética.conciencia, que es el foco de múltiples iniciativas, incluido el Mes Nacional de Concientización sobre Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. [3] y la Cumbre de la Casa Blanca de 2015 del presidente Obama sobre Seguridad Cibernética y Protección del Consumidor. [4]
Los delitos informáticos no son algo nuevo para nosotros. Los virus han estado con nosotros durante más de 20 años; el software espía ha registrado más de una década desde los primeros incidentes; y el uso a gran escala de phishing se remonta al menos a 2003. Una de las razones por las que los investigadores coincidieron en que el ritmo de los sistemas de información está evolucionando y expandiéndose, el programa de concientización sobre seguridad entre los empleados se está quedando atrás. Desafortunadamente, sin embargo, parece que la rápida adopción de los servicios en línea no ha ido acompañada de la adopción correspondiente de la cultura de la seguridad. [5]
La conciencia sobre la seguridad de la información está evolucionando en respuesta a la naturaleza cambiante de los ataques cibernéticos, el aumento de los objetivos de la información personal y el costo y la escala de las violaciones de la seguridad de la información. Además, muchas personas piensan en la seguridad en términos de controles técnicos, sin darse cuenta de que ellos, como individuos, son objetivos y que su comportamiento puede aumentar los riesgos o proporcionar contramedidas a los riesgos y amenazas.
Determinar y medir la conciencia de seguridad de la información ha resaltado la necesidad de contar con métricas precisas. En respuesta a esta necesidad, las métricas de concientización sobre la seguridad de la información están evolucionando rápidamente para comprender y medir el panorama de amenazas humanas, medir y cambiar la comprensión y el comportamiento humanos, medir y reducir el riesgo organizacional y medir la efectividad y el costo de la concientización sobre la seguridad de la información como contramedida. [6]