PLAN DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA LA ENTIDAD ADRES

PLAN DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA LA ENTIDAD ADRES

OBJETIVO GENERAL

Diseñar una estrategia para fortalecer la cultura de la seguridad de la información mediante difusión y sensibilización a funcionarios y contratistas, con el fin de propiciar   el   compromiso,   la   toma   de   conciencia   y   la   responsabilidad respecto al mismo, brindando el apoyo para la sostenibilidad y continuidad de negocio de la entidad.

OBJETIVOS ESPECÍFICOS

• Lograr que todos los miembros que integran la entidad, entiendan y se comprometan con todos los aspectos relacionados con el Sistema de Gestión de Seguridad de la Información.

• Crear una cultura respecto a la integridad, confidencialidad y disponibilidad de la información en donde todos los miembros de la entidad comprendan la importancia de dar un tratamiento adecuado a la información.

• Concientizar a todo el personal, de los riesgos que se pueden presentar que podrían afectar tanto a ellas como la integridad de la entidad y su misión social.

ALCANCE

La estrategia del plan de sensibilización aplica para todos los contratistas y funcionarios internos de ADRES incluyendo a los directivos y niveles jerárquicos que produzcan, administren, custodien o que tengan acceso a la información de la entidad, de modo que se extienda la necesidad de  la  seguridad de la información de una  manera estructurada, que permita maximizar la interiorización de estos conceptos y  su aplicación en la cotidianidad laboral y personal.

RESULTADO ESPERADO

A través de esta estrategia de generación de conciencia en seguridad de la información, se espera que todos los funcionarios, contratistas y demás partes interesadas de ADRES, generen una cultura con respecto al uso y tratamiento responsable de la información, que se cambien los malos hábitos considerados como inseguros por comportamientos seguros respecto a la protección de la información institucional y de carácter personal.

DESCRIPCIÓN GENERAL

El plan de sensibilización en seguridad de la información, es una estrategia que busca que todos los funcionarios, contratistas y demás partes interesadas cumplan cabalmente las políticas de seguridad de la información en sus labores y generar buenas prácticas respecto al cuidado y custodia de la información, estás buenas prácticas actúan de manera preventiva ayudando a la entidad a salvaguardar sus activos de información.

¿Por qué es necesario una estrategia de sensibilización en seguridad de la información?

En la actualidad, no es raro encontrar que el personal de muchas entidades, tengan conceptos erróneos acerca del cuidado de la seguridad de la información; pensamientos como que no hay nada importante por proteger en su computador, o el concepto errado que la tecnología por si misma puede resolver los problemas de seguridad, sin percatarse de que continuamente se generan nuevos métodos mediante engaños, que buscan obtener información confidencial de la entidad haciéndola más vulnerable, a los riesgos que podrían ocasionar tanto las amenazas externas como internas.

Debido a esto, la estrategia del plan de sensibilización será diseñada e implementada con el fin de lograr conciencia a todos los funcionarios, contratistas y terceros, que conozcan todos los riesgos que podrían ocurrir y los diferentes tipos de incidentes en seguridad de la información que existen si se materializa cada uno de estos, además de que se promuevan las debidas precauciones  y recomendaciones a través de las diferentes actividades de concienciación y sensibilización.

DISEÑO DE LA ESTRATEGIA DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

Fase 1: Ataque dirigido por correo electrónico

En la primera fase de la estrategia, consistirá en que a través de un medio de servicio de consultoría especializada, se desplegará un ataque de Phishing controlado por medio del correo electrónico institucional, dirigido a los funcionarios y contratistas que simule un riesgo de seguridad el acceder al contenido del correo; este ataque será dirigido por el grupo de seguridad de la información de la Dirección de Gestión de Tecnologías de la Información y las Comunicaciones de la entidad.

Más detalladamente, consistirá en que a través de un correo electrónico desconocido pero imitando las presentaciones de los emails que se envían dentro de la entidad, se enviara un link, el cual, se pedirá por órdenes de la Alta Dirección, que accedan a éste, el cual, los enviará a un formulario que contendrá una serie de preguntas que tendrán como objetivo, la recolección de datos personales y contraseñas de acceso a los sistemas de información, que deben diligenciar.

El objetivo de este ataque es en primera medida, es recolectar información de la cantidad de personas que accederán a este correo y de los que lo omitirán o los que lo reportaran a la Dirección de TIC;  esto con el fin de analizar y medir el grado inicial de madurez de este tipo de riesgos informáticos a la entidad, tener un punto iniciar de referencia y a la vez de concientizar de la vulnerabilidad que existe y de las precauciones que se deben tener a la hora de confiar en los correos que se reciben.

Imagen 1: Phishing

[pic 1]

Fase 2: Imagen de la estrategia de sensibilización

Se creara e implementara un personaje tipo Superhéroe que representará al Sistema de Gestión de Seguridad de la Información, de tal forma que al verlo, los funcionarios de ADRES tengan presente los principios de la seguridad de la información y las buenas prácticas que se debe tener para el manejo adecuado de la información.

Esta imagen estará presente en todas las tácticas y actividades que conforman la estrategia de sensibilización de la entidad.

Imagen 2: Imagen Superhéroe de la estrategia de sensibilización del SGSI

[pic 2]

Fase 3: Tácticas en la generación de conciencia con la imagen de la estrategia

En esta fase se llevara a cabo una serie de tácticas y estrategias que tendrán como objetivo, llegar a la concientizar a cada funcionario, contratista y terceros involucrados, en la importancia de la seguridad de la información y los beneficios que se deben cumplir con relación a la política de seguridad del SGSI y sus lineamientos de acuerdo a los siguientes puntos:

1. Uso de contraseñas.
2. Protección contra los virus.
3. Respetar la política de seguridad.
4. Instrucciones al uso correcto del correo electrónico.
5. Buen uso de internet.
6. Backup de la información.
7. Pasos a seguir en caso de incidentes.
8. Ingeniería social.
9. Seguridad para los dispositivos USB.
10. Indicar medidas de seguridad para el envío de información sensible o confidencial.
11. Software permitido y no permitido.
12. Seguridad de los equipos.

Táctica 1: Folletos

Se elaboraran folletos diseñados de forma amigable, con la imagen de la estrategia de sensibilización, que incluirá información relativa acerca de las buenas prácticas que se deben tener presentes en la seguridad y privacidad de la información y gestión de riesgos, para todos los funcionarios, contratistas y demás partes interesadas internas de la entidad, esto con el fin de tener una lectura reflexiva y generadora de conciencia en la seguridad de la información tanto laboral como personal.

Imagen 3: Diseño Folleto

[pic 3]

Táctica 2: Videos Cortos y eficientes

Se enviaran a los correos institucionales de cada funcionario, contratista y demás partes interesadas internas, una serie de videos nos mayor a dos minutos, que estará diseñada con animaciones que serán agradables para todo el personal y tendrán como objetivo, la generación de conciencia de los diferentes riesgos, amenazas e incidentes de seguridad de la información, que podrían suceder tanto en la entidad como en la vida personal y los mejores hábitos en la seguridad de la información que se deben aplicar en el puesto de trabajo; también se podrá visualizar los beneficios e importancia tanto para el funcionario como para la entidad y el cumplimento de los lineamientos de la política de seguridad de la información.

...