Conciencia y educación sobre la seguridad de la información
La conciencia de la seguridad de la información, por sà sola, no es suficiente. Existe una gran diferencia entre lograr que las personas tomen conciencia de que existe una necesidad de seguridad y conseguir que los usuarios del sistema comprendan que tienen un papel especÃfico que desempeñar para lograrlo. El primero es un deseo a medio formar. Este último es un atributo de una cultura de seguridad.
Formar a las personas para que tomen conciencia de las partes que deben desempeñar a fin de garantizar el acceso a la información de una empresa y responsabilizarle de sus roles es esencial para una cultura de seguridad intencional. Hay que tomar una decisión positiva al asignar responsabilidades o una función en particular. La conciencia ocurre en múltiples niveles dentro de un estado o estructura. Alguien, en una posición de autoridad relativamente alta, debe establecer que una función de tal nivel tiene un conjunto de responsabilidades. Esta persona puede ser el campeón o champion security, o alguien influenciado por el campeón. Este nivel de campeón lo hemos mencionado en otras intervenciones.
Esencialmente, un campeón de seguridad es alguien en su equipo de desarrollo de software que asume la responsabilidad de coordinar y rastrear los problemas y esfuerzos de seguridad. No son responsables de implementar todas las funciones de seguridad en sus productos o servicios, sino que ayudan a liderar los esfuerzos. Informan a los lÃderes de equipo sobre el estado de los problemas de seguridad. También hacen recomendaciones y / o ayudan a tomar decisiones de seguridad que afectan sus productos y servicios.
Los gerentes que reciben el mandato de las funciones deben aceptar que tienen la responsabilidad designada, y los miembros del personal también deben ser consultados sobre sus funciones. La brecha entre el rencor y la aceptación incondicional la llena una cultura de seguridad. Es la cultura que crea conciencia y no al revés.
Por supuesto, que alguien tenga una responsabilidad no significa que el individuo sepa cómo cumplirla; por lo tanto, la persona debe ser educada. Esto se puede obtener de varias maneras, incluida la capacitación formal, la literatura profesional, el entrenamiento, el uso de consultores o la delegación a especialistas en los roles asignados. Lo más probable es que el proceso educativo incorpore todas estas alternativas de aprendizaje.
No puedes protegerte contra algo que no estás consciente de su existencia. Por lo tanto, debes ser realmente consciente de la existencia de las amenazas a la seguridad fÃsica y de la información. Esta es la única forma en que puedes prevenirlos. Y no puedes lograr esto, excepto con una educación de conciencia de seguridad.
Debido a la creciente necesidad de que las organizaciones, sean estas empresas, universidades o negocios, mantengan cierta información lo más confidencial y segura posible, los solicitantes que deseen tener un base sólida en la conciencia
de seguridad son preferibles a los que no cuentan con este conocimiento Por lo tanto, si alguien se inscribió para instruirse en un programa de capacitación en seguridad, tiene grandes posibilidades de ser contratado por bancos y otras instituciones que manejan un gran volumen de información confidencial.
Si a estas alturas, todavÃa consideras que la conciencia y educación en materia de seguridad es un tema trivial, te estás haciendo un gran perjuicio. Preguntémosle a quienes han sido vÃctimas de robo de identidad, robo de automóviles, suplantación de identidad, estafadores y piratas informáticos en el pasado, y te darás cuenta rápidamente de lo importante que es estar atento a la seguridad de la información.
La autora, es profesora de la Facultad de Informática, Electrónica y Comunicación del Departamento de Informática
