Avisos de seguridad

Buscador

Temas de interés

Preparar un programa de concienciación y formación

Cuando preparamos una campaña de concienciación orientada a los empleados debemos tener presentes diferentes aspectos para garantizar que quedan claros. Aunque cualquier acción es positiva, es realmente interesante contar con una planificación y un detalle claro de nuestros objetivos.

Preparar un programa de concienciación y formación
Los programas de "concienciación" no debe solo concienciar a las personas sino educarlas y contar con casos prácticos en los que se pueda apreciar la realidad.

Antes de comenzar a detallar como generar un programa de concienciación, comencemos por tener claro algunos aspectos.

CONCIENCIAR ENTRENAR EDUCAR
Da respuesta a: ¿Qué? ¿Cómo? ¿Por qué?
Objetivo: Ser capaces de identificar situaciones Entrenar habilidades Conocer los motivos
¿Cómo hacerlo?
  • Videos
  • Periódicos
  • Posters
  • Practicar
  • Casos reales
  • Debates
  • Charlas

Por lo tanto, nuestro programa de "concienciación" no debe solo concienciar a las personas sino educarlas y contar con casos prácticos en los que se pueda apreciar la realidad.


ACTIVIDAD 0: Estudiar las necesidades de la organización

El paso previo a la preparación del programa de concienciación debe ser contar con un pequeño estudio previo que nos oriente a la hora de definir los objetivos que queremos alcanzar en nuestra campaña. No debemos entrar en concienciar a los usuarios sin saber qué es lo que realmente necesitan. Para tener claro el alcance de nuestra formación podemos:

  1. Preparar una encuesta para analizar los problemas que más nos preocupan.
  2. Mantener reuniones con algunos representantes (dirección, sistemas, operadores, etc…)
  3. Verificar la existencia de material utilizado previamente.
  4. Revisar la política de seguridad de la organización ya que será la piedra sobre la que debería pivotar la concienciación.
  5. Recopilar información acerca de incidentes de seguridad previos. (ataques sobre nuestra infraestructura, robo, virus, etc…)

Una vez conocido el nivel de concienciación de nuestra organización y, sobre la base de la realidad de nuestra empresa, podremos trabajar en el diseño del plan de concienciación.


ACTIVIDAD 1: Desarrollar y definir el programa de concienciación

Este plan deberá contener estos elementos:

  1. ¿A quién va dirigido el plan? Una vez conocidos los requisitos de la organización, estamos en disposición de saber quien requiere mayor atención en nuestra formación y concienciación.
  2. ¿Estamos obligados por alguna ley o norma? No debemos perder de vista que concienciar a usuarios puede ser una exigencia legal (LOPD) o un requisito de alguna certificación voluntaria (ISO 27001).
  3. Objetivos para cada apartado del programa. Para cada apartado debemos tener muy claro cuál es el objetivo para, posteriormente, ser capaces de medir si la formación y concienciación efectuada ha sido realmente efectiva.
  4. ¿Cómo se concienciará? Deberemos definir qué método vamos a utilizar para concienciar: Charlas, envíos por correo de documentos, viñetas en tono de humor, etc…
  5. Frecuencia / repetición. Un aspecto que deberemos planificar es con qué frecuencia se volverá a realizar la concienciación. De poco o nada sirve hacer concienciaciones puntuales. Debemos ser capaces de incluir en la cultura empresarial la concienciación en seguridad como un elemento más.

ACTIVIDAD 2: Planificar un calendario

El calendario vendrá marcado por diferentes motivos como son, la disponibilidad del material y los recursos utilizados para la concienciación, el estado de la organización y el riesgo que esté asumiendo sobre la base de los resultados de los estudios previos.


ACTIVIDAD 3: Preparar el material

Una vez definidos los objetivos del programa, el desarrollo del material para la concienciación deberá ser capaz de dar respuesta a dos preguntas:

  • ¿Qué aspectos de la organización queremos mejorar?
  • ¿Qué actividades queremos enseñar a nuestros usuarios para que sean utilizadas en el día a día?
  • El compañero "espía" (Shoulder surfing): Prestar atención a las personas. Presta mucha atención a las personas que tienes a tu alrededor. No se trata de desconfiar de todas las personas, pero si prestar atención al introducir nuestra clave en los PCs, especialmente en sitios públicos, ya que cualquier persona puede estar interesada en conseguir nuestros datos para hacer un uso fraudulento.

Ejemplo de aspectos a tratar en un programa de concienciación

  1. Utilización de las contraseñas: ¿Cómo crearlas?, ¿con qué frecuencia cambiarla?, ¿cómo protegerla?
  2. Protección contra virus: La importancia de tener el antivirus activado, escaneos periódicos, etc.
  3. Cumplir la política de seguridad: Las implicaciones de su incumplimiento (tanto para el usuario como para la organización).
  4. Correo electrónico: Buenas prácticas respecto al envío de adjuntos, cómo actuar cuando se recibe correo electrónico de direcciones no conocidas, qué hacer con los adjuntos.
  5. Utilización de Internet: Qué está permitido y qué prohibido en la organización.
  6. Backup de los datos: Si la empresa no dispone de medios para hacer copias de seguridad, debería concienciarse a los usuarios de la importancia de hacer copia de los datos que utiliza en el día a día.
  7. ¿Qué hacer en caso de incidente?, ¿con quién contactar?, ¿qué debo hacer?
  8. Ingeniería social: Mediante ejemplos de correos electrónicos solicitando claves, etc…
  9. Seguridad de los dispositivos USB: Explicar la importancia que estos dispositivos tienen en las organizaciones.
  10. Envío de información sensible/confidencial: Indicar qué medidas de seguridad deben aplicarse para el envío de información sensible.
  11. Seguridad en los viajes: Prestar atención al equipo portátil, a las conversaciones, etc…
  12. Software permitido y no permitido: El software no permitido y no controlado instalado en los PCs puede poner en riesgo la seguridad de nuestras empresas.
  13. Seguridad de los equipos: Protectores de pantalla, bloqueo de PC…