Formación y Concienciación en Seguridad de la Información

En los tiempos que corren no hay empresa (salvo casos particulares de pequeño comercio) que se precie que no use algún tipo de sistema de la información. Hemos sido “invadidos” por las nuevas tecnologías en cuestión de 10 años sin apenas darnos ni cuenta, imponiendo a muchas personas el uso de herramientas que desconocen. Me pongo en el ejemplo de un empleado de una oficina que antes usaba una máquina de escribir para hacer su trabajo y que luego guardaba todos sus documentos en papel en algún rincón de la oficina. Ahora su situación ha cambiado: tiene un ordenador con conexión a internet, tiene correo electrónico, navega por internet y guarda sus documentos más importantes dentro del disco duro del ordenador, pero nadie le ha contado qué es eso de los virus, los troyanos, las actualizaciones de seguridad, el spam, el phishing, la ingeniería social, etc etc etc…¿Problemas?, muchos:

Desconocimiento del usuario de las principales amenzas que “corren” por la red
Falta de formación en las nuevas tecnologías para hacer un correcto uso de las mismas
Falta de concienciación en seguridad de la información
Ignorancia de las consecuencias que puede tener para él y para su empresa la materialización de alguna de las amenazas
Desconocimiento del riesgo que se sufre internamente en las empresas y los problemas de seguridad que podría ocasionar: empleados descontentos, demasiada ambición por crecer en la empresa, problemas personales con otros empleados, envidias, …
Por todo esto se hace indispensable darle a nuestros empleados y usuarios de nuestros sistemas la formación necesaria para que cuando una de estas amenazas se materialice sepan cómo reaccionar.

El primer muro defensivo ante los nuevos riesgos tecnológicos somos nosotros mismos. Si conocemos el problema sabremos cómo solucionarlo, o al menos identificaremos que se trata de una amenaza y que tenemos que avisar al responsable de seguridad.

El otro factor importantísimo es la concienciación, que no es lo mismo que la formación: es más peligroso un usuario sin concienciación que un usuario sin formación. Ejemplo más vistoso: es más peligroso un conductor experto sin concienciación a la hora de llevar una conducción responsable ( y que ponga en peligro no sólo su vida si no las de los demás conductores) que un novato con la “L” que aunque no tiene mucha pericia al volante sabe de los riesgos que hay en la carretera y conduce de forma adecuada. En la informática pasa lo mismo: es más peligroso un usuario con conocimientos informáticos pero que no tiene ninguna prudencia en el uso de su equipo que un usuario sin conocimientos que es consciente de los peligros que acechan al otro lado del monitor.

Para poder acometer con garantías un plan de concienciación hay que tener en cuenta el público al que va dirigido, las circunstancias de la empresa en la que se va a implementar el plan, sucesos de seguridad anteriores que nos valdrán como ejemplo, hablar de medidas se seguridad básicas para usuarios, etc.

Hay muchas documentación al respecto en internet, por ejemplo un documento de ENISA sobre cómo elaborar planes de formación y concienciación, y del que ya hablamos aquí un día.
Referencias:
http://seguridad.crackvan.net/?p=51-Texto orignial.