Empresas deben lograr planes de concientización exitosos Vocero: Stanley Velando, director ejecutivo de la consultora kunak Consulting
¿Cuáles serían los principales pasos a seguir para lograr concientizar sobre la seguridad de información en las empresas?
Primordialmente compromiso de la Alta Gerencia. La gerencia debe saber que concientizar sobre seguridad de información es un proceso de suma importancia para cuidar uno de sus activos más valiosos: La información. En segundo lugar está contar con un Plan de Concientización que tenga identificados los puntos que hay que comunicar, a que grupos de personas queremos llegar y a través de qué medios (afiches, correos, charlas, etc.).
¿En quién recae esta responsabilidad?
Dependiendo de la organización, si se cuenta con un área de seguridad de información, entonces, la responsabilidad recae sobre el Oficial de Seguridad de Información. Si la empresa no cuenta con ésta área, pero cuenta con un área de Riesgos, la responsabilidad recae sobre el Oficial de Riesgos. Sólo de no contar con las dos áreas previamente mencionadas, se sugiere que la responsabilidad recaiga sobre el Jefe de TI o del Área de Sistemas.
¿Cuál es la razón por la cual, se pasa por alto estos temas?
Falta de conocimiento de los riesgos asociados. Se presumen muchas cosas: que la empresa no tiene información valiosa que deba ser protegida, que nadie tiene interés en sustraer dicha información, que nada malo pasa cuando se pierde un poco de información, etc. Todo se resume a desconocer que el robo de información es una actividad en voga y que causa pérdida de ingresos a las empresas que no la cuidan.
¿Qué capacitaciones existen para adquirir mayor conocimiento sobre el tema de seguridad en las empresas?
ISACA brinda muy buenas charlas y capacitaciones sobre seguridad de información en general. Si alguien está interesado en capacitarse debería intentar obtener la certificación CISM que es la certificación ideal para un Oficial de Seguridad de Información.
¿Cómo se logra un plan de concientización óptimo para la organización?
Primero, se debe contar con presupuesto, Luego, el plan debe ser anual y se debe repetir en el tiempo. Tercero, el plan debe incluir una identificación de carencias, Seguido, el plan debe incluir la identificación de los grupos objetivo a los que hay que concientizar. Finalmente, la difusión de los contenidos debe ser multi-medios (a través de charlas, afiches, boletines, correos electrónicos, merchandising, etc.).
¿Cuáles son los peligros más recurrentes al no contar con un plan de seguridad?
El riesgo más alto es que nuestro personal no esté al tanto de los riesgos de no proteger la información y por ende no tome acciones para protegerla.
¿Usted cree el interés por la seguridad de datos ha cambiado en los últimos años en nuestro país?
Claro que sí, hay un evidente cambio de pensar sobre la seguridad de los datos y la seguridad de la información en general. De hecho, nuestras consultorías se han duplicado del año anterior a este año, sin embargo se tiene todavía un largo camino por recorrer para poder decir que nuestras empresas están seguras y protegen su información como es debido.
¿Qué porcentaje de empresas pone en práctica estos planes?
Consideramos que un 20% de las empresas pone en práctica estos planes.
¿Qué rubro del mercado es el que le da mayor importancia al uso de planes de concientización sobre seguridad?
El rubro financiero (Bancos, Financieras, Edpymes, Seguros, AFPS), dado que es una industria regulada por la SBS. Las otras empresas que aplican estos planes son porque tienen matrices en Estados Unidos o Europa y, entonces, se convierte en una regulación corporativa.
Muchas gracias.