BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Lo bueno, lo malo y lo demás de Windows 10
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Asegure sus sistemas Windows con un programa de conciencia de seguridad

Para generar una exitosa política de seguridad de TI, las organizaciones deben invertir tiempo y esfuerzo para incluir a los empleados de todos los niveles.

En cualquier momento dado, hay usuarios en la red haciendo cosas que no deberían estar haciendo. ¿Su empresa tiene un sólido programa de concienciación de seguridad para que sean conscientes de su comportamiento?

Una reciente encuesta de NetWrix llamada “Las 10 principales cosas que los administradores de sistemas realmente odian” encontró que los “usuarios tontos” estaban en la parte superior de la lista. Casi la mitad de los encuestados indicó que las mismas personas a las que deben apoyar se les meten bajo la piel. Estoy de acuerdo en que los usuarios son una gran parte de los desafíos en TI, especialmente en lo que se refiere a la seguridad. Pero, ¿de quién es la culpa cuando los usuarios no saben qué hacer o qué se espera de ellos y pasan cosas “tontas”? ¿Es de ellos? Después de todo son adultos que deberían saberlo, ¿verdad? ¿Es culpa de la gerencia por no apoyar la formación adecuada para los empleados? O, tal vez, ¿es un poco culpa de TI, como en el síndrome de Nick Burns?

Al final, no importa de quién es la culpa. Todo depende de TI y de los profesionales de la seguridad, junto con un fuerte apoyo de la dirección –es decir, de recursos humanos– para asegurar que todo está configurado para el éxito. Los siguientes elementos encarnan un sólido programa de concienciación sobre la seguridad:

• Establece expectativas.

• Está diseñado para mantener la seguridad en la mente de todos de manera periódica y constante en el tiempo.

• Mediante incentivos, consigue que la seguridad personal de cada empleado se traduzca en buen comportamiento.

Sin embargo, estas mismas cosas a menudo están ausentes. Si va a hacer un adecuado programa de concienciación sobre seguridad, entonces asegúrese de que el programa tiene prioridades claras, tiene motivos de negocio que lo sustentan y que se mantiene a flote. Simples políticas y proclamas no hacen ningún bien a largo plazo. Un programa de concienciación de seguridad puede ser tan simple como un almuerzo-capacitación trimestral mezclado con correos electrónicos periódicos o videos. O bien, podría ser algo tan formal como una aplicación Web interna o basada en la nube que ofrezca formación profunda, a modo de clases que también evalúe a los empleados para asegurar que entienden la información. Al final, el programa de concienciación sobre seguridad tiene que ser adaptado a su cultura empresarial y a sus necesidades específicas. El objetivo final debe ser mantener a la gente en el saber y establecer y construir confianza con los empleados.

Hay un montón de recursos y herramientas disponibles para desarrollar una política de seguridad de TI. Algunos son gratuitos y otros tienen costo. Mis favoritos incluyen:

The Security Awareness Company

Idea verde

Wombat Security Technologies

Capacitación de la conciencia de suplantación de identidad del Departamento de Defensa de Estados Unidos

Publicación especual del NIST 800-50: La construcción de un Programa de Capacitación y Concienciación de Seguridad y Tecnología de la Información

Constrúyalo y dele seguimiento

A medida que desarrolla su programa de concienciación sobre la seguridad, tenga en cuenta que la conciencia no es la última solución de seguridad. Al igual que con la gestión de parches y las pruebas de vulnerabilidad, es parte de algo mucho más grande. En un mundo donde podría decirse que la mayoría de las infracciones se inicia a nivel de usuario, hay que hacer algo en el lado de la gente para mantener el entorno de Windows bajo control.

Todo comienza con la voluntad. Deje de marcar la casilla de la conciencia de la seguridad de TI como algo ya realizado. Deje de ser parte de la multitud y de despilfarrar buen dinero en conciencia de seguridad que sólo se muestra [pero no se hace]. Desarrolle un programa y ejecútelo como cualquier otra función crítica para el negocio. Eso va a requerir que ayude a que el programa se inicie y luego salga del camino y deje que recursos humanos haga su trabajo. Establezca metas para el programa y designe a algunos ejecutivos, y a usted mismo, como responsables para llevarlas a cabo.

Si hace el esfuerzo adecuado, puede minimizar los riesgos basados en el usuario. Incluso cuando se produce un evento de red o una vulnerabilidad, un sólido programa de reconocimiento de seguridad de la información le pondrá en una posición mucho mejor para demostrar –y defender– qué estaba haciendo y qué decisiones se tomaron.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close