Hagamos
de cuenta que como todo CISO tenemos
todos los mecanismos de control, políticas
y procedimientos claros que garanticen
Seguridad de Información en
la organización, de pronto
nos encontramos parados frente a la
puerta de la siguiente incógnita:
¿la gente que trabaja en la
compañía conoce al menos
aspectos básicos de seguridad
de información?
Es
ahí donde los conceptos de
información y sus principios,
así como las bases sólidas
de las políticas de seguridad
y los procedimientos son probados
en toda su esencia.
Quisiera
compartir con ustedes mi experiencia.
La tarea más difícil
que tuve en estos tres años
como CISO en una institución
del gobierno fue únicamente
la de “evangelizar” seguridad
de información. Definamos la
palabra evangelizar; su raíz
proviene del griego que quiere decir
“Buena Noticia” o “Buena
Nueva”, sin embargo me gusta
mucho más la siguiente acepción
que dice: “Dar a conocer a TODOS
las buenas noticias”.
Es
primordial para la seguridad de las
organizaciones formar esa conciencia
en el personal (lo cual incluye a
terceros), logrando la adquisición
de buenos usos y conductas.
Cada
vez son más las organizaciones
que optimizan su actividad dotando
a sus sistemas e infraestructuras
informáticas de políticas
y medidas de protección más
adecuadas que garanticen el continuo
desarrollo de sus actividades.
Sin
embargo, de nada sirve implantar sistemas
o mecanismos de control y seguridad
que brinden protección ante
eventuales “amenazas”
si es que la gente no conoce el significado
y los riesgos que encierra esa palabra.
La
formación de la gente en aspectos
de seguridad de información
no sólo es rentable a mediano
plazo, sino que se convierte en un
buen hábito en la organización.
Para
una adecuada evangelización
de seguridad de información
es recomendable partir por la identificación
de niveles de usuarios a ser capacitados
- no olvidemos que debemos dar a conocer
a TODOS las buenas noticias –
Tres
niveles son identificados fácilmente:
Nivel Ejecutivo: representado por
la cúpula de Ejecutivos de
la organización; Nivel Operativo:
representado por la mayor parte de
la gente que trabaja en la organización
y Nivel de Apoyo Administrativo: representado
por la gente contratada para realizar
trabajos específicos como los
de limpieza, mensajería o seguridad
física. Observando bien los
tres niveles descritos, se requiere
de una sutileza especial con el nivel
ejecutivo, ya que debemos conseguir
respaldo total, hacer notar la importancia
de implantar seguridad de información
e invertir en ella. Conseguido ese
fin, con los siguientes niveles sólo
nos quedaría imitar la actitud
paciente y perseverante de Jesucristo,
enseñar, transformar y conseguir
que crean en nuestras palabras, repetidas
veces, las que sean necesarias hasta
que veamos el fruto en ellos y por
supuesto en la organización
que ha conducido al “factor
humano” a una senda segura.
Esa es la meta a la que debemos llegar.
