Implantar un sistema de gestión de la seguridad de la información requiere de requisitos comunes relativos a los planes de comunicación comunes a cualquier programa que pretenda introducir cambios o mejoras en una organización:
La comunicación es tan importante que es una de las claves del éxito del proyecto ISO 27001.
Plan de comunicación ISO 27001
La norma ISO 27001 incluye requisitos en relación a la comunicación de la política de seguridad en una empresa. Se nos pide dar una respuesta a:
- Quien debe comunicar los aspectos de seguridad
- A quienes debe llegar la comunicación
- Cuál es el contenido
- En qué momento ha de realizarse la comunicación
- Que medios utilizaremos
Podríamos afirmar que detrás de un despliegue exitoso de un SGSI, se encuentra un plan de comunicación interno bien diseñado y aplicado de manera efectiva. El cumplimiento de ISO 27001 y el sentido común sugieren que los componentes clave de este plan deben incluir:
Comunicación a toda la organización de la visión de seguridad de la información que incida en
- Por qué es necesario el SGSI.
- Cuáles son las responsabilidades legales de la organización.
- Cómo afecta a cada empleado y sección de la empresa cuando el programa esté implantado.
¿Cómo documentar el plan de comunicación del SGSI?
Para comunicar las prioridades del SGSI y las responsabilidades a toda la organización deberemos analizar los objetivos y la complejidad de la organización. EN empresas pequeñas quizás sea bastante con una comunicación simple de apenas unos cuantos párrafos. En organizaciones más complejas con responsables independientes para seguridad de accesos y compras por ejemplo deberemos tener mucho más cuidado a la hora de establecer un plan de comunicación ya que se trata de implicar a responsables de área en un objetivo común y que no siempre es fácil meterse en competencias de otros sin causar problemas de comunicación y de implicación.
Para ello deberemos tener una estrategia y un plan de comunicación independiente y documentado donde se reflejen los objetivos de implicación para cada área y se pueda medir el grado de implicación de cada responsable en el establecimiento de lo que podríamos llamar cultura de la seguridad en una organización
Hacia la cultura de la seguridad
El éxito de la comunicación sobre los objetivos de seguridad en una organización compleja pasa por realizar un análisis de los distintos niveles de una organización
Nivel 1 La estructura de la empresa en la Cultura de la seguridad de la información
Para diseñas un plan de comunicación del SGSI deberemos reflexionar en cómo nos organizamos para realizar nuestra actividad teniendo en cuenta los procesos y estructuras organizacionales. "Todo aquello que realmente sucede en una organización” pues de ello depende la distribución de responsabilidades, la definición de roles y tareas así como la forma de motivar la participación de todos los implicados en las tareas de la seguridad de la información.
Identifica áreas de dificultad
Es sumamente importante identificar qué áreas serán más difíciles de concienciar en su integración en un sistema de gestión de la seguridad de la información. Estos puntos son claves para obtener buenos resultados ya que no podemos sin más pretender auditar áreas que funcionan de forma independiente a órganos de la empresa y no van a reconocer en principio la autoridad definida para el SGSI.
Es típico que los que gestionan la seguridad de accesos se crean propietarios del CPD o la dirección de compras se considere la única dueña de los criterios establecidos en la selección de proveedores.
Definir estrategias integradoras donde el SGSI y la política de la empresa se integran en la incorporación de mejoras en estas áreas es vital para obtener el éxito y no un fracaso temprano de la integración del SGSI en toda la organización.
Nivel 2 Los valores de una organización y la Seguridad de la Información
Los valores en una organización se pueden determinar cómo las razones o motivos que mueven a los empleados a realizar sus tareas de una determinada forma. Estos valores a menudo se expresan en la documentación de la organización sobre la visión, los principios, la ética y los valores de la organización.
La dirección de la empresa juega un papel importante o más bien protagonista en la difusión y adquisición de los valores de la organización.
Los valores típicos de una organización normalmente van enfocados al trabajo en equipo y a involucrar a todo el personal en los procesos de toma de decisiones.
Supuestos tácitos o rutinas
Cuando la cultura de la organización es asumida de forma que determina comportamientos rutinarios o valores compartidos que se convierten en elementos ya asumidos y dados por hecho entonces hablamos de “Supuestos tácitos compartidos”
La Cultura de la seguridad de la información
La seguridad de la información requiere un nivel superior a lo que ya hemos descrito.
Comunicacion de valores y cultura de la Seguridad de la Información
La figura anterior quiere mostrar como el conocimiento relacionado con el trabajo que desempeña cada función o trabajador dentro de la empresa es fundamental para poder cumplir con los objetivos de la Seguridad de la Información.
Los empleados necesitan tener los conocimientos necesarios para realizar sus tareas cotidianas de forma segura.
Explicado de otra forma
El éxito de la Seguridad de la información depende de que los empleados sean conscientes de por qué es necesario un cierto control o acción tiene la motivación necesaria para cumplir algo que de otra forma puede no parecer razonable o necesario.
Creando una cultura de la seguridad de la Información en mi empresa
Toma de conciencia
La costumbre de “Hacer las cosas de una determinada manera” normalmente es el primer obstáculo para establecer una cultura de la seguridad en cualquier organización
El punto de partida
Un cambio en la cultura corporativa actual requiere, en la práctica, desaprender, o modificar, las creencias actuales de los empleados de la organización.
La implementación de la seguridad de la información debe comenzar sin duda con la alta dirección y administración de la empresa u organización y continuar hacia abajo en la jerarquía.
Para ello sugerimos un enfoque en 4 etapas:
- El compromiso de la alta dirección con la seguridad de la información,
- La comunicación con los miembros de la organización,
- La formación y educación de los miembros de la organización en seguridad de la información y
- El compromiso de los empleados
No debe pasar por alto…
… que la formación en gestión de la seguridad de la Información es un capítulo al que deben sumarse si o si los altos cargos de la empresa y los puestos de responsabilidad, pues si los que deben convencer al resto de los trabajadores no se involucran y conocen de primera mano las necesidades de la seguridad de la información, luego no podrán convencer a los demás ni apoyar la implantación de una cultura de la Seguridad de la Información desde el desconocimiento real de sus necesidades.
Para cumplir con los objetivos propuestos en el párrafo anterior deberemos en primer lugar establecer una serie de políticas sobre la seguridad de la información con el fin de:
- Establecer los cauces para las acciones en favor de la seguridad de la información
- Dotarnos de los principios rectores o procedimientos que se consideren necesarios para la seguridad de la información
- Transmitir a los empleados las expectativas de la dirección sobre cómo deben actuar
Una buena política de la Seguridad de la Información.
- Requiere una gestión estructurada y sistemática. Si es necesario debe dividirse en distintos documentos donde se abordan temas específicos relacionados con la seguridad de la información (Por ejemplo: “uso del correo electrónico”, “manejo de datos” etc.)
- Mantiene un enfoque de procesos
- Debe mantenerse, revisarse y actualizarse cuando sea necesario
- Debe integrar los objetivos y las acciones para conseguirlos
- Incluye los roles y responsabilidades del personal en relación a la seguridad de la información
- Promueve y planifica la formación del personal
- Define procedimientos para el tratamiento de datos protegidos
- Contempla una estrategia o plan para prevenir y recuperarse ante desastres
- Nos informa de las consecuencias y repercusiones en caso de descuidar su aplicación
Un modelo para implementar una cultura de la seguridad
Información Clave
Conocer las políticas es solo la mitad de la ecuación, el personal debe saber cómo deben cumplir, desde una perspectiva de procedimiento
En este punto que nos proponemos abordar es el establecimiento de un modelo de comunicación y “educación” en amplio sentido de la palabra para establecer una cultura de la seguridad en una organización
CASO PRACTICO:
El modelo que nos proponemos se basa en la creación de tres niveles en la definición de la política sobre la seguridad de la información
Niveles en las políticas de la Seguridad de la Información
Política Ejecutiva o de alto nivel
Aprobada por el CEO de la organización, son políticas que garanticen la credibilidad y apoyan el cumplimiento de las normas o pautas para la seguridad de la Información por lo que no debería ser demasiado específico o técnico, sino algo conceptual y que pueda ser estable en el tiempo
- Políticas especiales o secundarias
Se trata de políticas secundarias de carácter más dinámico y con bastante detalle. Se trata de directivas técnicas y reglamentaciones relativas a la infraestructura de TI y de cualquier aspecto relacionado con la seguridad de la información - Manuales o Indicaciones practicas
El propósito de estos manuales o indicaciones prácticas es aumentar el cumplimiento y la colaboración de los empleados en la Seguridad de la Información Se trata de una serie de procedimientos simplificados, basados en el nivel ejecutivo y las políticas secundarias
Las indicaciones prácticas deben ser como indica su nombre algo fácilmente comprensible evitando en lo posible el lenguaje puramente técnico. Se trata de facilitar una forma de trabajo segura en el ámbito del tratamiento de la información.
Un ejemplo de procedimientos simplificados son las acciones propuestas para usuarios finales.
Educando al Personal
Sin la colaboración de todo el personal los esfuerzos para la seguridad de la información pueden quedarse en buenas intenciones por lo que:
Los empleados debidamente capacitados y diligentes pueden convertirse en la baza más importante para fortalecer una organización frente a las amenazas para la seguridad de la información
Aquí no se trata de que todo el personal obtenga un certificado formal de estar capacitado en los temas de seguridad de la información, sino de conseguir que todos actúen según los postulados planteados por la dirección para que la información de la empresa esté debidamente protegida
Adquirir el conocimiento y ponerlo en práctica es el objetivo final de la política de la seguridad de la información
Para conseguir esto podríamos poner en práctica alguna de las siguientes recomendaciones
Algunas recomendaciones
- Establecer un programa continuo de concientización sobre la seguridad de la información para garantizar la capacitación inicial y actualizaciones y recordatorios periódicos
- Usar un marco adecuado para incorporar los principios e ideas generales de la dirección en documentos lógicos, no técnicos y bien estructurados.
- Los empleados no necesitan saber todo sobre la seguridad de la información. Debemos concentrar los esfuerzos en que los empleados conozcan los riesgos del trabajo que desempeñan y cómo minimizarlos
- Los aspectos técnicos de la seguridad de la información no deberían ser visibles para los usuarios
- Las descripciones de los procesos y las fallos en la seguridad de la información revelados en las auditorías internas o externas también se deben usar al planificar la capacitación de los empleados
- La educación en seguridad de la información debe considerar el impacto de la motivación en la experiencia de aprendizaje
- Las “presentaciones” deben centrarse en ejemplos prácticos en lugar de enumerar cosas que los empleados no pueden hacer.
Esencialmente, los empleados deben comprender cómo actuar y por qué.
Evaluar el cumplimiento
Visto el problema desde otro Angulo podemos decir que:
Los empleados representan la mayor amenaza para la seguridad de la información de una organización.
Es por ello que no podemos contentarnos con lo expuesto hasta ahora sino que nos queda como tarea el establecer un método de retroalimentación sobre el nivel en que nuestros empleados están cumpliendo con los principios de la política de la Seguridad de la información y sus reglas.
Una experiencia común es que a pesar de que las políticas y las reglas sobre la seguridad de la información estén vigentes, los usuarios finales siguen violando la seguridad de la información.
Para afrontar este reto no podemos simplemente pensar que los empleados son simplemente vagos o están poco formados, sino que tenemos que revisar los métodos por los cuales estamos motivando a nuestros empleados a cumplir con los requisitos que se esperan de el.
No olvidemos que el comportamiento del usuario depende de una ecuación económica simple. Se trata de una ecuación sencilla:
¿Cuáles son las ventajas y desventajas de cumplir con las reglas de seguridad de la información?
Si la respuesta es que la relación coste / beneficio no es lo suficientemente buena nunca podremos garantizar un comportamiento seguro en nuestra organización.
En este punto llegamos a la conclusión de que es necesario poder presentar a cada empleado las consecuencias de una actuación poco segura
Deberemos demostrar que vale la pena invertir tiempo en el cumplimiento de la seguridad de la información y los beneficios que obtendremos. Por ejemplo, podemos presentar los datos sobre cuántos intentos de intrusión se detuvieron debido a contraseñas seguras o cuántas víctimas crea una campaña de spam etc.
