Conoce si estás en la dirección correcta para alcanzar los objetivos de seguridad de tu organización sabiendo cómo identificar la madurez de tu Programa de Concientización de Seguridad
El factor humano es el principal vector de ataque de los
incidentes de seguridad. Estudios recientes, indican que el error humano
representa más del 90% de las brechas de seguridad en las organizaciones.
Un plan de concientización de seguridad de usuarios puede
ayudar a incorporar las prácticas de seguridad necesarias y reforzar la cultura
de seguridad de la organización. Esto puede hacer la diferencia entre una
organización saludable y exitosa, y aquella que tiene sus operaciones de
negocio y reputación afectada significativamente. La formación en
concientización de seguridad se ha convertido en la forma más eficaz de
identificar, combatir y superar estos riesgos.
Modelo de Madurez de Concientización de Seguridad
Con el objetivo de ayudar a su organización a construir,
mantener y medir el programa de concientización de seguridad, un grupo de más
de 200 profesionales de seguridad de la información colaboraron para
desarrollar el Modelo
de Madurez de Concientización de Seguridad coordinados por el SANS Institute.
Este modelo permite a las organizaciones identificar
fácilmente dónde se encuentra actualmente su programa de concientización de
seguridad de usuarios, definir hacia dónde quiere o puede llegar, y describe el
camino para llegar a destino. El modelo se basa en cinco etapas distintas, cada
una de las cuales se apoya en la etapa anterior:
Los 5 Niveles de Madurez
- Inexistente: el programa no existe. La fuerza laboral no tiene
idea de que es un objetivo, no conoce ni comprende las políticas de seguridad
de la organización y puede fácilmente ser víctima de ataques o de sus propios
errores.
- Centrado en el cumplimiento: el programa está diseñado
principalmente para cumplir con requisitos específicos de auditoría o
conformidad. La capacitación se limita a un entrenamiento anual o específico.
La fuerza laboral no está segura de las políticas de la organización, su papel
en la protección de los activos de información de la organización y cómo
prevenir, identificar o informar un incidente de seguridad.
- Promoción de concientización y cambio de comportamiento: el programa define los temas de
capacitación que tienen el mayor impacto en el apoyo a la misión de la
organización y se enfoca en esos temas clave. El programa va más allá de la
capacitación anual e incluye un refuerzo continuo durante todo el año. El
contenido se aborda de una manera atractiva y positiva que fomenta el cambio de
comportamiento en el trabajo y en el hogar. Esto ayuda a la fuerza laboral a
comprender y seguir las políticas de la organización y a reconocer, prevenir e
informar activamente los incidentes.
- Sostenibilidad a largo plazo y cambio cultural: el programa cuenta con procesos y recursos
para un ciclo de vida a largo plazo, que incluye (como mínimo) una revisión y
actualización anual tanto del contenido de la capacitación como de los métodos
de comunicación. El programa va más allá de solo cambiar comportamientos y
comienza a cambiar la cultura de la organización.
- Marco de métricas robusto: el programa tiene un marco de métricas
sólido para monitorear el progreso y medir el impacto. Como resultado, el
programa mejora continuamente y puede demostrar el retorno de la inversión.
Beneficios de un Programa de Concientización de Seguridad
- Desarrollar una cultura centrada en la Seguridad donde se refuerzan buenos hábitos y se dispone de una actitud proactiva de protección
- Empoderar a los colaboradores para realizar su trabajo de forma más productiva y segura
- Proteger los activos que más importan
- Mantenerse actualizado de las amenazas y riesgos de las tecnologías emergentes
- Estar en Conformidad con Leyes y Regulaciones
Fuente: CiberSergei
No hay comentarios.:
Publicar un comentario