El peor riesgo para la seguridad puede resultarle útil
Cómo ayudar a sus empleados a adquirir mejores hábitos de seguridad
Actualizado: 8 de Octubre de 2006
Por Scott Plamondon
En lo que respecta a la seguridad de la información, los equipos informáticos no constituyen necesariamente la vulnerabilidad más grave. Pero los usuarios sí. Cada día, los empleados cometen errores terribles, como anotar sus contraseñas en lugares visibles, descargar y abrir datos adjuntos de correo electrónico que pueden contener virus y dejar el equipo encendido por la noche. Los errores humanos, y no las deficiencias de los sistemas, son la causa principal de infracciones de seguridad graves, según el estudio “Committing to Security Benchmark Study”, dedicado a este tema y patrocinado por la CompTIA (Computing Technology Industry Association).
Las acciones de los usuarios tienen un impacto enorme en la seguridad de los equipos, de modo que la educación de los empleados, así como la de los miembros del departamento de TI y la dirección, es un requisito fundamental para que reconozcan el carácter prioritario de la seguridad y desarrollen buenos hábitos al respecto. Contrate los servicios de un asesor externo, si cree que el ejercicio daría mejores resultados. Existen organizaciones dedicadas a proporcionar este tipo de formación que ofrecen sus servicios a empresas de todo el mundo.
En esta página
Formación general de usuarios: destaque la importancia del cumplimiento de la normativa.
“Uno de los aspectos críticos de la formación consiste en adaptar el mensaje a audiencias específicas”, dice John O'Leary, director de educación en el Computer Security Institute, que facilita sesiones de formación, grupos paritarios y conferencias sobre seguridad informática. “No se puede hablar a la dirección del mismo modo que a los miembros del departamento técnico.”
Por ejemplo, el usuario medio no necesita saber cómo funcionan los servidores de seguridad de la red. “Al usuario final basta con decirle lo que tiene que hacer para realizar sus tareas diarias con eficacia”, dice O'Leary, que lleva 30 años trabajando en el campo de la seguridad informática. “¿Qué incidencia tiene esto en mi capacidad para procesar transacciones de reclamaciones? ¿Cómo afecta esto a mi capacidad de mantener en funcionamiento una línea de producción?”
Según O'Leary, la gente necesita razones, tanto positivas como negativas, para modificar su comportamiento. En el ámbito de la seguridad, esto conlleva la necesidad de explicar el modo en que los buenos hábitos de seguridad benefician tanto a los empleados como a la empresa, al igual que los malos hábitos les causan problemas a ambos. Entre los beneficios se cuentan las redes que funcionan sin complicaciones y permiten a los empleados cumplir con su trabajo de forma satisfactoria. Finalmente, esto contribuye al incremento general de la productividad de la compañía. “Básicamente, la seguridad equivale a una buena filosofía administrativa que, a su vez, se traduce en mejoras de todos los aspectos de la empresa”, dice.
En cuanto a las consecuencias negativas, O'Leary propone el uso de ejemplos reales. Por ejemplo, si el PC que utiliza tiene un virus, no podrá usarlo y, por lo tanto, le será imposible realizar tareas importantes. Además, es necesario explicar a los empleados que las infracciones de seguridad individuales tienen efectos que repercuten en toda la compañía. Entre los efectos negativos pueden incluirse un nivel de servicio al cliente poco satisfactorio y posibles pleitos judiciales. “Hoy día, los abogados se frotan las manos sólo con pensar en las posibilidades de lo que se ha dado en llamar ‘responsabilidad descendente’. Si se le olvida aplicar una actualización de software y alguien utiliza su red informática para atacar a un tercero, podría interponerse una demanda contra su compañía”, explica.
Cuando se disponga a educar a los empleados, tenga presente que las reafirmaciones positivas son más eficaces que las reprimendas. O'Leary asegura que los comentarios negativos constantes no producirán los efectos deseados en los empleados.
Enfatice que la seguridad informática implica la práctica de buenos hábitos diariamente. En su Guía de Sentido Común para el Comité de Dirección, “Common Sense Guide for Senior Managers”, la Internet Security Alliance destaca la relevancia de que el empleado entienda algunos temas de seguridad importantes antes de confiarle una contraseña. Estos temas incluyen la protección de contraseñas, el uso seguro de Internet, la identificación de engaños de privacidad y seguridad en línea y la observación, en todo momento, de las políticas de privacidad de la empresa.
John Venator, director ejecutivo de CompTIA, recomienda incluir sesiones de formación sobre seguridad como componente clave en el programa de orientación para empleados nuevos. Adicionalmente, O'Leary aconseja la formación individualizada ante las estaciones de trabajo de los usuarios para mostrarles prácticas comunes de seguridad. Además, recomienda la distribución de documentación escrita a los empleados, que podrán utilizarla como referencia para resolver cualquier duda de seguridad que les surja en el futuro.
Formación de técnicos informáticos: destaque la importancia de los estándares
Cuando se dirija al departamento informático para tratar asuntos de seguridad, seleccione a un miembro del equipo o a un asesor para que le ayude durante la formación. La persona que elija debería ser capaz de responder todas las preguntas técnicas de los empleados del departamento. “Si cometes un error técnico delante de estos empleados, pierdes credibilidad al instante”, comenta O'Leary.
El departamento técnico debe asegurarse de que la perspectiva aplicada a la formación de los miembros de esta sección sobre tecnologías y asuntos de seguridad se presenta en cumplimiento de las directrices y estándares del sector, establecidos por las organizaciones de seguridad relevantes en el país específico. “En muchas compañías, a los especialistas técnicos contratados no sólo se les exige formación, sino una certificación formal de seguridad, ya se trate de una certificación otorgada por la CompTIA, Microsoft o cualquier otro ente acreditado”, explica Venator.
“Sin embargo, incluso antes de recibir formación, los empleados de TI pueden mejorar la seguridad inmediatamente mediante la instalación de servidores de seguridad y revisiones o actualizaciones de software antivirus”, comenta Randall Palm, director de TI de CompTIA. Esto es particularmente importante en referencia a usuarios de redes remotas. “Asegúrese también de conocer las funciones de seguridad integradas en sus productos de software y consulte a su proveedor sobre el modo de utilizarlas eficazmente”, aconseja Venator.
Formación del comité de dirección: destaque la importancia del liderazgo
La dirección juega un papel elemental en la seguridad de la información, ya que tiene la capacidad de establecer prioridades y convencer a los empleados de toda la organización para que observen las directrices de seguridad. Con el fin de conseguir el apoyo de la directiva, O'Leary propone destacar la urgencia relaccionada con a la adopción de procesos de seguridad uniformes. “Claro que hablamos de dinero, pero debemos mencionar igualmente el objetivo de la organización y las consecuencias, posiblemente engorrosas, de las infracciones de seguridad para la compañía”, dice.
Además de recibir las sesiones de formación estándar, los miembros del comité de dirección necesitan recibir sesiones especiales sobre la protección de información confidencial de la empresa como, por ejemplo, los archivos de los clientes. “Del mismo modo, los ejecutivos que utilizan equipos portátiles en sus traslados deberían aprender a utilizar software de cifrado”, asegura O'Leary.
Formación de seguridad con un presupuesto limitado
O'Leary sugiere el uso de recursos internos para mantener un nivel de costes reducido. “El departamento de formación podría crear un vídeo de una duración de 10 minutos”, dice. “O quizás alguno de los técnicos se presente voluntario para dar una charla en las reuniones departamentales.” “Pídales que empleen 10 minutos para explicar el uso del cifrado o parar tratar algún otro tema de seguridad.” Para mantenerse al día en relación con amenazas de seguridad en su sector y país específicos, consiga la participación frecuente de sus técnicos en grupos de usuarios dedicados a la seguridad de la información.
La seguridad como hábito
Para no correr riesgos, es necesario convertir la seguridad en un hábito constante y diario. Tras completar la formación de los empleados en prácticas de seguridad óptimas, compruebe si se han producido realmente los cambios de comportamiento deseados, dice O'Leary. ¿Son más seguras las contraseñas que utilizan los usuarios? En cuanto a los ejecutivos que se desplazan, ¿Utilizan herramientas de cifrado? ¿Se producen menos incidentes de daños serios que puedan evitarse, relacionados con códigos maliciosos?
En la publicación “Common Sense Guide for Senior Managers”, se aconseja a las empresas crear, reforzar y revisar sus políticas de seguridad con frecuencia. Para lograrlo, la guía recomienda el uso de herramientas de supervisión de redes y sistemas junto con procedimientos de análisis e informes.
Asimismo, los canales de comunicación estándar de la compañía pueden facilitar la transformación de la seguridad en un hábito. O'Leary enumera algunos métodos que pueden resultar útiles: recordatorios por correo electrónico, carteles, alertas de incidentes e, incluso, publicaciones de seguridad trimestrales. “Un sitio Web de intranet para la seguridad de TI también puede convertirse en una valiosa herramienta de concienciación. Pueden organizarse concursos con premios, acertijos y juegos para atraer a los usuarios al sitio”, añade.
Finalmente, todo el mundo debe reconocer que la seguridad de la información forma parte esencial de una empresa moderna. Las amenazas de seguridad contra la red son reales y pueden acabar en cuestión de un instante con su capacidad de servicio a los clientes. Palm explica claramente: “El peor error que se puede cometer es sentirse seguro y, por consiguiente, relajar las tareas de optimización diaria del modelo de seguridad de la compañía.”
