Cómo educar en seguridad informática, su importancia, sus consecuencias..?

Cómo educar en seguridad informática, su importancia, sus consecuencias..?

En mi opinión considero que el proceso de concientización de los usuarios/funcionarios es  fundamental, el dilema para muchos de nosotros que nos enfrentamos a estos procesos y la laboramos en áreas de TI  es lograr la atención y dar a entender a las personas de una forma fácil estos temas, entre algunos de los tips que puedo mencionar están:

- Identificar el alcance de las charlas o capacitaciones.

- Seleccionar un tema especifico y no querer en una sola charla incluir todos los temas (esto hace que el personal se confunda).

- Establecer el personal o los usuarios a los cuales va dirigidas las charlas.

- Escoger un buen material (videos, Ejemplos, imágenes) que logre la atención del público.

- Dar ejemplos prácticos y no enfocarse mucho en la teoría o conceptos.

- Usar un lenguaje sencillo que todos puedan entender.

- Motivarlos con Juegos o concursos.

Les quiero compartir una experiencia relacionada con el Diseño de una estrategia de abordaje de seguridad haciendo uso de los recursos disponibles en la entidad, es decir sin generar costos adicionales:

Objetivo General: Concientizar a los funcionarios en  la adopción de buenas prácticas de seguridad sobre el uso de correo electrónico institucional.

Objetivo Especifico: Dar a conocer a los funcionarios tips sencillos sobre como identificar un correo fraudulento o Spam; Explicar a través de una charla las vulnerabilidades o riesgos a los cuales estamos expuestos mediante este tipo de ataques; Solucionar dudas sobre las medidas planteadas.

Alcance: Esta estrategia fue dirigida a un grupo especifico de funcionarios de la Entidad, y la cual busca concientizarlos sobre la aplicación de  buenas prácticas en el uso del correo electrónico institucional con el fin de evitar correos SPAM o fraudulentos, a través de una charla y difusión de material grafico a través del correo y los fondos de pantalla de sus equipos de computo.

Mensaje clave y mensajes generales: Identifica, reconoce y se responsable con el uso del correo institucional. No se deje engañar, sea cuidadoso e informe cualquier anomalía.

Públicos objetivo: Funcionarios de la entidad  (sede central), recepcionistas que revisan diariamente los correos de las dependencias y/o jefes.

Acciones y actividades desarrolladas de socialización: Piezas graficas para ubicar en los de fondos de pantalla  de los computadores, Charlas con el grupo objetivo, Envió a través de correo electrónico el manual o guía sobre tips para evitar coreos fraudulentos

Conclusiones: Se concluye que la mayoría de los funcionarios desconocían algunas prácticas o Tips que son importantes para evitar ser víctimas de correos fraudulentos o SPAM, además se evidencio bastante interés en el tema; ya que como ellos mismo lo planteaban, estos temas de seguridad son tan importantes, que  dicho conocimiento adquirido también se aplican en su vida personal, como en el caso de las cuentas de correo personales, las redes sociales y los mismos mensajes a través de  celulares.

Fue muy productivo ya que este público objetivo demostró el interés en el tema y nos permitió llegar a las personas que en realidad más dificultades presentan y de esta manera también la charla fue solicitada por otras dependencias.

¿Cómo de concienciados estas vuestros usuarios o "clientes" de las instituciones públicas para seguir con las políticas que fijáis?

Estoy de acuerdo con la mayoría de las opiniones y es la realidad el hecho de generar unas políticas de seguridad no es tan complicado, incluso en nuestra entidad realizamos este proceso como parte de una investigación de mi postgrado en SEGURIDAD INFORMÁTICA: se realizo el inventario de activos, su valoración, así como también el análisis de las vulnerabilidades y amenazas, el impacto, la frecuencia y el análisis del riesgo y se fijo un documento con las Políticas; pero el gran  reto surge en lograr que los funcionarios adopten y pongan en práctica dichas políticas; y como lo hemos mencionado la dificultad empieza desde el compromiso de la Alta dirección, porque en realidad ellos son nuestro respaldo para su cumplimiento y así como también para la inversión que se debe realizar en cuanto a infraestructura tecnológica en el tema de Seguridad.

En resumen les cuento que la experiencia ha sido un tanto complicada pero ya llevamos varios meses y se ha dado cumplimiento de la gran mayoría de las políticas, ha sido necesario las capacitaciones que son fundamentales para lograr concientizar a los funcionarios, los cuales  representan una amenaza mayor en cuanto a las malas prácticas en seguridad informática.

La mejor forma de sensibilizar al personal es de forma interactiva las clases magistrales estan mandadas a recoger les comparto un video que realizamos para consientizar a nuestro personal.

https://www.youtube.com/watch?v=wIe01QIFA8Q

Hola

Claro, ese es el problema, cuando los presidentes/gerentes/directivos ven la seguridad como un gasto que no

aporta nada de beneficio.

En ese caso hay que hacer ver a los altos cargos que no es una inversión perdida, que la inversión en seguridad

genera dinero.

Creo que lo mejor en los casos en los que los directivos no esten alineados con la inversión clara en ciberseguridad

es hacer un informe interno dando a conocer los problemas que pueden surgir en la entidad, por ejemplo, intrusiones,

troyanos, ramsonware...  claro, proponer una inversión a medio plazo para arreglar todos eso y demostrar

que los problemas tienen un coste elevado para las entidades. secuestro/cifrado de la información, ataques de denegación de servicio... si no ven un retorno de la inversión no es importante invertir o dedicar una partida de

los presupuestos.

Ahora que se están preparando los presupuestos para el año que viene !!es un buen momento !!

¿Cómo de concienciados estas vuestros usuarios o "clientes" de las instituciones públicas para seguir con las políticas que fijáis?

...