ISO 27001: La importancia de capacitar y concienciar a los empleados
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 establece que las personas relacionadas con el Sistema de Gestión de Seguridad de la Información deben estar capacitadas y concienciadas. La falta de capacitación y concienciación es uno de los principales motivos de fracaso de los proyectos de Seguridad de la Información en las organizaciones.
La seguridad normalmente es una carga para las personas de la organización, ya que a nadie le gusta cambiar de contraseña con gran frecuencia, además de tener que recordar contraseñas mucho más complejas. Y esta actitud se repite en las demás reglas de seguridad.
Es por esto que si no se le explica a los trabajadores la necesidad de llevar estos pasos a cabo, es probable que busquen algunas formas de eludir dichas reglas. La manera de abordar este tema es explicándoles los beneficios que tendrá la organización con las medidas de protección adecuadas.
También es importante explicarles los beneficios que obtendrán los trabajadores con todos estos cambios. Si se utilizan contraseñas de alta seguridad, es menos probable que alguien pueda acceder sin permiso a las cuentas, ya que si esto ocurriese sería el propio empleado el que se tiene que hacer cargo de los daños que pueda producir el accidente.
La seguridad, normalmente, requiere de adquirir nuevas habilidades. Si en su empresa se implementó un Sistema de Gestión de Seguridad de la Información ISO27001, no espere que sus trabajadores comiencen a usarlo desde el inicio a la perfección. Es necesaria la capacitación para evitar posibles errores.
Para planificar todos los programas de capacitación y conciencias, hay que tener tres cosas claras:
- Ya que la seguridad no el único trabajo que tiene el departamento de TI, debe implantar programas para toda la organización. Se deben centrar en los trabajadores del sector comercial de la empresa ya que, por normal genera, estos perciben la Seguridad de la Información como trabajo de otra persona y no suyo.
- Cuando se implementan las nuevas medidas de protección, al mismo tiempo se deben planificar las sesiones de capacitación y concienciación. No se puede pretender que todos los empleados acepten la nueva regla con entusiasmo si el procedimiento se publicó hace seis meses y la organización se encuentra ahora intentando crear conciencia.
- No es suficiente hacer una solo sesión de capacitación y concienciación. Ya que se incorporan nuevo personal a la organización, los que ya estaban se olvidarán de lo que escucharon, las medidas de protección cambiarán, etc. Es por esto que la capacitación debe ser un proceso permanente a lo largo del tiempo, el jefe de Seguridad de la Información y el departamento de recursos humanos deben trabajar a conciencia para ello.
La seguridad es una historia sin fin
La implementación del Sistema de Gestión de Seguridad de la Información no es un paso más sino que se debe realizar un mantenimiento de forma permanente, para así conseguir que sea efectivo.
De una manera lamentable, hay muchas organizaciones que invierten mucho esfuerzo y recursos para que una vez finalizada la implementación del SGSI dejen de lado la política de seguridad, los procedimientos y la tecnología porque se quedaron obsoletas y ya no sirven. Este suele ser otro motivo por el que fracasan las organizaciones en Seguridad de la Información.
Para evitar estas situaciones las organizaciones deben centrarse en realizar las siguientes actividades para poder mantener y mejorar su Sistema de Gestión de Seguridad de la Información ISO-27001:
- Supervisión: todos los trabajadores que tengan ciertas responsabilidades determinadas sobre medidas de protección tiene que controlar el funcionamiento del sistema. Por regla general, esto se realiza de forma regular. Por ejemplo, un responsable del sistema puede verificar diariamente si las copias de seguridad se realizaron con éxito.
- Medición: la medición se realiza con menos periodicidad y la finalidad es determinar si se cumplen los objetivos del sistema. Hay al menos dos niveles de objetivos: los objetivos generales, que sirven para todo el sistema y los objetivos determinados, que sirven para cada control de forma individual.
- Escuchar sugerencias: todas las partes involucradas puede ser que sepan en que están fallando en su seguridad. Pero es necesario mantener abiertos todos los canales posibles de comunicación para que la información llegue a las personas indicadas dentro de la organización.
- Auditoría interna: a pesar de que muchas organizaciones perciben la auditoría como una pérdida de recursos económicos, en realidad, resulta bastante útil si se lleva a cabo de una forma correcta. La realidad es que muchos trabajadores buscan sortear las reglas para dedicarles el menor tiempo posible a las tareas que ellos creen que son intrascendentes. En muchos casos, los trabajadores se convencen de estar haciendo las cosas de una forma correcta, para después descubrir que es todo el contrario. Es muy difícil descubrir dichos desvíos, a no ser que alguien controle si todo el mundo cumple con las normas establecidas por la organización. Se tienen que llevar a cabo las auditorías a los proveedores y asociados que tengan suficiente acceso a la información crítica y al Sistema de Gestión de Seguridad de la Información ISO 27001. Una auditoría interna puede ser el mejor aporte para mejorar la Seguridad de la Información.
- Revisión por parte de la alta dirección: de forma trimestral los miembros de la alta dirección tiene que dedicar cierto tipo a controlar el estado de la Seguridad de la Información en su organización. Por regla general, esto se hace durante las reuniones de gerencia. A la hora de realizar la reunión la persona responsable de la Seguridad de la Información en la organización tiene que preparar cierto material que incluya: los resultados de mediciones, de auditorías internas, listas de incidentes, nuevas amenazas identificadas, inversiones necesarias, propuestas de cambio en políticas, etc. Con estos datos los gerentes de la organización tiene que tomar ciertas decisiones.
- Auditorías de certificación: estas auditorías pueden no ser obligatorias, pero son muy útiles a la hora de trabajar con fines comerciales.
- Mejora continua: las actividades que hemos mencionado se pondrán en una lista, y las cosas de la lista tendrán que ser implementadas poco a poco. Las normas ISO tiene una forma práctica de abordar las listas de forma sistemática: el concepto es el de medidas correctivas y preventivas.
Software para ISO 27001
El Software ISOTools Excellence para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.