ISO 27001 – ¿Cómo confeccionar un plan de concienciación sobre la Seguridad de la Información?
ISO 27001
ISO 27001 se instala en las organizaciones para proteger la información que éstas manejan de posibles amenazas que puedan aparecer, y garantizar a todas sus partes interesadas confianza y seguridad.
Cuando se implanta un Sistema de Gestión de la Seguridad de la Información no acaba todo con la certificación del mismo, hay que preguntarse, ¿está el personal de la organización preparado y concienciado para mantenerlo?
Llegados a este punto se hace necesario crear un plan de concienciación sobre Seguridad de la Información. Lo primero de todo es aclarar algunos aspectos como qué concienciar, cómo hacerlo y por qué. Los medios que se pueden utilizar son vídeos, periódicos, posters, debates, charlas… Se trata de algo más que concienciación, más bien de educación en materia de Seguridad de la Información e ISO-27001.
Si planteamos el trabajo, podemos establecer una serie de actividades a seguir para cumplir nuestro objetivo.
- Estudiar las necesidades de la organización.
Es una tarea previa e imprescindible para alcanzar el objetivo de este plan. Para concienciar al personal se debe conocer antes qué necesitan, para ello se puede usar:
- Encuestas para analizar problemas.
- Reuniones con determinados representantes.
- La política de seguridad, que será el eje principal sobre el que girará la concienciación.
- Información sobre otros incidentes con la información ocurridos.
- Desarrollar y definir el plan de concienciación.
El plan debería incluir elementos como:
- A quién se dirige el plan. Cuando ya se han conocido los requisitos de la organización ya es conocido quien necesita mayor atención respecto a formación y concienciación.
- Ley o norma que nos obliga, en caso de haberla. La concienciación a los trabajadores en materia de Seguridad de la Información puede ser una obligación legal o un requisito de una norma voluntaria.
- Objetivos para cada uno de los apartados del programa. Deben estar muy claros estos objetivos para después poder medir si las tareas que estamos ejecutando sobre concienciación han sido efectivas o no.
- Instrucciones sobre cómo se va a concienciar. Sobre todo qué medios se van a usar, pueden ser algunos de los descritos anteriormente u otros.
- Repetición o frecuencia. La concienciación no puede ser algo puntual, debe repetirse con cierta frecuencia y esa frecuencia ha de estar detallada previamente.
- Planificar un calendario.
- Preparar el material.
El material debe responder siempre a los aspectos de la organización que queramos mejorar.
Cabe resaltar algunos de los aspectos que se deben tratar en este plan de concienciación:
- Uso de contraseñas.
- Protección contra los virus.
- Respetar la política de seguridad.
- Instrucciones al uso del correo electrónico.
- Buen uso de internet.
- Backup de los datos.
- Pasos a seguir en caso de incidentes.
- Ingeniería social.
- Seguridad para los dispositivos USB.
- Indicar medidas se seguridad para el envío de información sensible o confidencial.
- Software permitido y no permitido.
- Seguridad de los equipos.
La Plataforma Tecnológica ISOTools apuesta por estos planes de concienciación, son vitales para el buen funcionamiento del Sistema de Gestión de la Seguridad de la Información implantado con ISO 27001. ISOTools es un plataforma segura en la que se pueden intercambiar documentos dentro de la organización con total confianza.