Conciencia de seguridad

La conciencia de seguridad es el conocimiento y la actitud que poseen los miembros de una organización con respecto a la protección de los activos físicos y, especialmente , de información de esa organización. Sin embargo, es muy difícil de implementar porque las organizaciones no pueden imponer dicha conciencia directamente a los empleados, ya que no hay formas de monitorear explícitamente el comportamiento de las personas. Dicho esto, la literatura sugiere varias formas de mejorar dicha conciencia de seguridad. ^[1] Muchas organizaciones requieren una capacitación formal sobre conciencia de seguridad ^[2] para todos los trabajadores cuando se incorporan a la organización y periódicamente a partir de entonces, generalmente anualmente. ^[3] Otra fuerza principal que se ha encontrado que tiene una fuerte correlación con la conciencia de seguridad de los empleados es la participación en seguridad de la gerencia. También vincula la conciencia de seguridad con otros aspectos organizacionales. ^[4]

Cobertura

Los temas que se tratan en la capacitación sobre concientización sobre seguridad incluyen: ^[5]

La naturaleza de los activos físicos y materiales sensibles con los que pueden entrar en contacto, como secretos comerciales , preocupaciones sobre la privacidad e información clasificada del gobierno.
Responsabilidades de los empleados y contratistas en el manejo de información confidencial, incluida la revisión de los acuerdos de confidencialidad de los empleados
Requisitos para el manejo adecuado de material sensible en forma física, incluidos el marcado, la transmisión, el almacenamiento y la destrucción
Métodos adecuados para proteger información confidencial en sistemas informáticos , incluida la política de contraseñas y el uso de autenticación de dos factores
Otros problemas de seguridad informática, incluidos malware , phishing , ingeniería social , etc.
Seguridad en el lugar de trabajo, incluido el acceso a edificios, el uso de placas de seguridad , la notificación de incidentes , artículos prohibidos, etc.
Consecuencias de no proteger adecuadamente la información, incluida la posible pérdida de empleo, consecuencias económicas para la empresa, daños a personas cuyos registros privados se divulgan y posibles sanciones civiles y penales

La conciencia de seguridad implica comprender que existe la posibilidad de que algunas personas roben, dañen o utilicen indebidamente, de manera deliberada o accidental, los datos almacenados en los sistemas informáticos de una empresa y en toda su organización. Por lo tanto, sería prudente proteger los activos de la institución (información, físicos y personales) tratando de evitar que eso suceda.

Según la Agencia Europea de Seguridad de las Redes y de la Información, «el conocimiento de los riesgos y las salvaguardas disponibles es la primera línea de defensa para la seguridad de los sistemas y redes de información». ^[6]

"El objetivo de la consultoría de concienciación sobre seguridad debe ser lograr un cambio a largo plazo en la actitud de los empleados hacia la seguridad, al tiempo que se promueve un cambio cultural y de comportamiento dentro de la organización. Las políticas de seguridad deben considerarse como facilitadores clave para la organización, no como una serie de reglas que restringen el funcionamiento eficiente de su negocio". ^[7]

Medición de la conciencia de seguridad

En un estudio de 2016, los investigadores desarrollaron un método para medir la conciencia de seguridad. ^[8] Específicamente, midieron "la comprensión sobre cómo eludir los protocolos de seguridad, interrumpir las funciones previstas de los sistemas o recopilar información valiosa y no ser descubierto" (p. 38). Los investigadores crearon un método que podría distinguir entre expertos y novatos al hacer que las personas organicen diferentes escenarios de seguridad en grupos. Los expertos organizarán estos escenarios en función de temas de seguridad centralizados, mientras que los novatos organizarán los escenarios en función de temas superficiales.

Véase también

Referencias

^ Hwang, Inho; Wakefield, Robin; Kim, Sanghyun; Kim, Taeha (4 de julio de 2021). "Conciencia de seguridad: el primer paso en el comportamiento de cumplimiento de la seguridad de la información". Revista de sistemas de información informática . 61 (4): 345–356. doi :10.1080/08874417.2019.1650676. ISSN 0887-4417.
^ Capacitación sobre concientización sobre seguridad marítima
^ Assenza, G. (2019). "Una revisión de los métodos para evaluar las iniciativas de concienciación sobre seguridad". Revista Europea de Investigación en Seguridad . 5 (2): 259–287. doi :10.1007/s41125-019-00052-x. S2CID 204498135.
^ Hwang, Inho; Wakefield, Robin; Kim, Sanghyun; Kim, Taeha (4 de julio de 2021). "Conciencia de seguridad: el primer paso en el comportamiento de cumplimiento de la seguridad de la información". Revista de sistemas de información informática . 61 (4): 345–356. doi :10.1080/08874417.2019.1650676. ISSN 0887-4417.
^ "Los 20 mejores temas de formación sobre concienciación en seguridad para 2024".
^ "Directrices de la OCDE para la seguridad de los sistemas de información, 1992".
^ Vacca, John R. (5 de noviembre de 2012). Manual de seguridad informática y de la información. Newnes. ISBN 978-0-12-394612-6.
^ Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). "La medida de evaluación de la experiencia en seguridad (SEAM): desarrollo de una escala para la experiencia de los hackers". Computers & Security . 60 : 37–51. doi :10.1016/j.cose.2016.04.001.

Enlaces externos

Sitio de educación, capacitación y concientización sobre seguridad del ejército
El ciclo de concientización sobre seguridad
Comparación de empresas de formación en concienciación sobre seguridad