- Obtener enlace
- X
- Correo electrónico
- Otras aplicaciones
Autor:
Michelle Naomi Salto Jiménez
Awareness es el proceso
realizado para lograr una conciencia de Seguridad de la Información. El
Awareness debe lograr que los individuos reconozcan la seguridad, se preocupen
por ella y respondan adecuadamente. Este esfuerzo incide en actitudes y deseos
de mejora.
La Seguridad de la
Información no es un problema que pueda resolverse solamente con tecnología,
herramientas o infraestructura, es un problema que debe ser atendido por el
negocio, con especial atención en su organización y su gente.
Antes de iniciar el
desarrollo de cualquier estrategia o programa de Awareness debe obtenerse el
apoyo y patrocinio de la alta dirección.
Fase I. Inicio
Establecer la planeación de
la ejecución de cada una de las fases con sus etapas respectivas y la
definición de los roles y responsabilidades de las entidades involucradas,
dentro de un marco de tiempo y formas adecuados para obtener el resultado
esperado.
En esta etapa es fundamental
definir ¿Cuál es el objetivo?
Fase II. Diagnóstico
Obtener un estatus real del
nivel de concientización actual de los usuarios para una determinación del
nivel de vulnerabilidad organizacional en la gente, así como las preferencias
sobre los medios de comunicación utilizados en la organización para difundir
información oficial y autorizada.
La selección de técnicas
para recopilación de esta información suele ser muy variado, y va desde
cuestionarios automatizados en la Intranet, hasta sesiones de trabajo y en
algunos casos focus group, sin embargo, deberá analizarse la cultura
organizacional y los métodos establecidos, y con ello determinar si es posible
seguirlos en caso de que sean confiables, o bien establecer uno alterno para
lograr el objetivo deseado.
Fase III. Unificación de
Requerimientos y Definición de Medios
Determinar los rubros de
Seguridad de la Información hacia los cuales deberán enfocarse los esfuerzos de
Awareness, de acuerdo con la situación real que vive el negocio, considerando:
Análisis de Riesgos: Es
indispensable considerar esta entrada de información en caso de tenerla
disponible.
Normatividad existente: La
Normatividad no será utilizada en el proceso de Awareness, pero deber ser
estudiada para no contradecir ningún lineamiento existente respecto a
seguridad.
Fase IV. Definición de la
Estrategia
Integrar los elementos de la
estructura de la estrategia de Awareness y las herramientas que garanticen su
aplicación y desarrollo adecuado dentro de un marco de tiempo apropiado, a
través del uso de medios de comunicación de mayor preferencia y elementos
gráficos, ya sean electrónicos, impresos o presenciales.
Un factor indispensable en
la definición de la estrategia de Awareness, es lograr una adecuada definición
y clasificación de audiencias.
Fase V. Ejecución
Ejecutar, apegados al Plan
de Awareness, los programas y cronogramas de actividades elaborados durante la
Definición de la Estrategia.
Fase VI. Mecanismos de
Evaluación
Medir y evaluar el desempeño
de las técnicas, procedimientos y la metodología que fueron empleados para
difundir los conceptos y otros conocimientos sobre Seguridad de la Información,
para identificar los puntos de mejora.
Se pueden emplear los siguientes elementos:
-Entrevistas con usuarios
finales.
-Tickets del help desk.
-Incidentes de seguridad,
entre otros.
Fase VII. Retroalimentación
Identificar todas aquellas
propuestas de mejora a la estructura y desarrollo de la estrategia para
determinar su factibilidad de aplicación y ejecución.
Comentarios
Publicar un comentario