La conciencia de seguridad es el conocimiento y la actitud que poseen los miembros de una organización con respecto a la protección de los activos físicos, y especialmente informativos , de esa organización. Muchas organizaciones exigen una formación formal de concienciación sobre la seguridad para todos los trabajadores cuando se incorporan a la organización y, posteriormente, periódicamente, normalmente una vez al año. [1]
Cobertura
Los temas cubiertos en la capacitación de concienciación sobre seguridad incluyen:
- La naturaleza del material sensible y los activos físicos con los que pueden entrar en contacto, como secretos comerciales , preocupaciones de privacidad e información clasificada del gobierno .
- Responsabilidades de los empleados y contratistas en el manejo de información confidencial, incluida la revisión de los acuerdos de no divulgación de los empleados
- Requisitos para la manipulación adecuada de material sensible en forma física, incluido el marcado, la transmisión, el almacenamiento y la destrucción.
- Métodos adecuados para proteger la información confidencial en los sistemas informáticos , incluida la política de contraseñas y el uso de autenticación de dos factores.
- Otros problemas de seguridad informática, incluidos malware , phishing , ingeniería social , etc.
- Seguridad en el lugar de trabajo, incluido el acceso a los edificios, el uso de insignias de seguridad , la notificación de incidentes, artículos prohibidos, etc.
- Consecuencias de la falta de información adecuada protección, incluyendo la posible pérdida de empleo, consecuencias económicas para la empresa, los daños a las personas cuyos registros privados son su difusión, y la posible civiles y criminales sanciones
Ser consciente de la seguridad significa que comprende que existe la posibilidad de que algunas personas roben, dañen o hagan mal uso deliberado o accidentalmente de los datos almacenados en los sistemas informáticos de una empresa y en toda su organización. Por lo tanto, sería prudente apoyar los activos de la institución (información, física y personal) tratando de evitar que eso suceda.
Según la Agencia Europea de Seguridad de las Redes y de la Información, "la conciencia de los riesgos y las salvaguardias disponibles es la primera línea de defensa para la seguridad de los sistemas y redes de información". [2]
“El enfoque de la consultoría de Conciencia de Seguridad debería ser lograr un cambio a largo plazo en la actitud de los empleados hacia la seguridad, al mismo tiempo que se promueve un cambio cultural y de comportamiento dentro de una organización. Las políticas de seguridad deben verse como habilitadores clave para la organización, no como una serie de reglas que restringen el funcionamiento eficiente de su negocio '.
Medir la conciencia de seguridad
En un estudio de 2016, los investigadores desarrollaron un método para medir la conciencia de seguridad. [3] Específicamente, midieron "la comprensión acerca de eludir los protocolos de seguridad, interrumpir las funciones previstas de los sistemas o recopilar información valiosa y no ser atrapados" (p. 38). Los investigadores crearon un método que podía distinguir entre expertos y novatos al hacer que las personas organizaran diferentes escenarios de seguridad en grupos. Los expertos organizarán estos escenarios basados en temas de seguridad centralizados donde los principiantes organizarán los escenarios basados en temas superficiales.
Ver también
Referencias
- ↑ Assenza, G. (2019). "Una revisión de los métodos para evaluar las iniciativas de concienciación sobre la seguridad" . Revista europea de investigación en seguridad . doi : 10.1007 / s41125-019-00052-x .
- ^ "Directrices de la OCDE para la seguridad de los sistemas de información, 1992" .
- ^ Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). "La medida de evaluación de la experiencia en seguridad (SEAM): desarrollo de una escala para la experiencia de los piratas informáticos". Computadoras y seguridad . 60 : 37–51. doi : 10.1016 / j.cose.2016.04.001 .