Guías

En mi práctica profesional he encontrado varias fuentes y documentos guía que he utilizado en algunos proyectos para encontrar respuestas a varias preguntas que me inquietaban relacionadas con este tema. Uno de ellos es NIST 800-50 Construcción de un Programa de Concientización y Entrenamiento de Seguridad de Tecnologías de Información, publicado por el Instituto Nacional de Estándares y Tecnología (NIST) y que proporciona una guía para la construcción de programas de seguridad de tecnologías de la información y soporte efectivos con requerimientos especificados en la Administración de Seguridad de la Información Federal (FISMA), pero que finalmente puede ser aplicable a cualquier tipo de entidad.

Dicho documento establece claramente la diferencia entre los tres componentes principales de un Programa para desarrollar la cultura en seguridad de la información: concientización, entrenamiento y educación, así:

Concienciación: Su propósito es enfocar la atención en seguridad de la información para posibilitar que el público objetivo reconozca los temas de interés estableciendo inicialmente qué comportamientos se quieren reforzar en dicho público, por ejemplo: mantener el escritorio limpio, uso adecuado de contraseñas, elaborar copias de respaldo,  usar el correo responsablemente, etc.

Entrenamiento: Se centra en producir habilidades y competencias en seguridad de la información relevantes y requeridas con el fin de que el público objetivo las aprenda y aplique en el día a día.

Educación: Integra habilidades de seguridad y competencias de las diferentes especialidades funcionales dentro de un cuerpo común de conocimientos enfocándose en producir especialistas en seguridad, por ejemplo: capacitación en sistemas de gestión de seguridad de la información o auditor interno ISO27001.

En este ciclo el aprendizaje es continuo, ya que inicia con concienciación y continúa con el entrenamiento y desarrollo a través de la educación hacia la creación de cultura de seguridad de la información.

NIST 800-50 describe 4 fases principales para el desarrollo de los planes de concientización y entrenamiento en seguridad de la información y sus tareas asociadas, las cuales se resumen en el siguiente gráfico:

El diseño, desarrollo e implementación de un programa de conciencia y entrenamiento en seguridad de la información exitoso requiere del compromiso y aprobación por parte de la alta dirección, la definición clara de un alcance, objetivos, responsables, entregables y fechas de compromiso, cubiertos en un marco de tiempo realizable en la organización, y la supervisión, evaluación y retroalimentación por parte del personal cubierto en el programa.

Qué hacer? 

Hay una gran variedad de actividades y entregables que dan respuesta a esta pregunta, y aunque el dinero es un recurso importante, el buen uso que se dé a este y la imaginación pueden hacer la diferencia entre un programa de concientización y entrenamiento que logre los objetivos y uno que no.

He conocido organizaciones con mucho dinero que creen que solamente con dar un par de charlas por parte de un consultor en seguridad de la información se cumple el objetivo. Igualmente he conocido otras organizaciones que con un poco de dinero y mucha creatividad han hecho actividades dinámicas, lúdicas y de alta recordación entre el personal involucrado.

Entre las actividades a llevar a cabo, a continuación se presenta una pequeña lista:

-          Definir una mascota o personaje para la campaña

-          Definir un slogan para la campaña

-          Elaborar pendones

-          Elaborar afiches

-          Elaborar protectores y/o fondos de pantalla    

-          Elaborar videos

-          Elaborar presentaciones animadas o en power point

-          Elaborar y entregar recordatorios, p. ej. llaveros, pocillos, lapiceros o tarjetas para construcción de claves seguras

-          Desarrollar trivias

-          Elaborar juegos como monopolio o álbum de figuras con temas relacionados por supuesto con seguridad de la información

-          Llevar a cabo concursos basados en pictogramas, trivias, etc.

-         Obras de teatro, stand up comedy o cuenteros (nuevamente con temas relacionados con seguridad de la información).

Son precisamente estas últimas actividades las que quedan grabadas más gratamente en la mente de las personas. La forma en que se hace llegar el mensaje al público influye o no para permear el subconsciente de las personas y genera un reto para los responsables de implementar el programa de concientización y entrenamiento de poder contar la misma historia pero de manera diferente y contribuir al proceso de cimentar la cultura de seguridad para la protección adecuada de la información. 

Recuerdo especialmente dos casos particulares que relato a continuación:

Caso 1 - Entidad del sector giros y pagos de dinero: El programa incluyó la definición de una mascota y un slogan, la elaboración de un video, posters con tópicos específicos de seguridad de la información y actividades lúdicas como llenar un álbum de figuras y juego de monopolio. Las sesiones finales de sensibilización para el personal de la empresa (grupos de 35 personas aproximadamente) incluyeron una presentación a cargo de un consultor con los temas de seguridad de la información relevantes para la organización, presentación de un video, un ataque de ingeniería social en vivo en el cual se recogieron contraseñas de acceso de algunos de los presentes a cambio de un premio y para finalizar, durante la última media hora, juego de monopolio de seguridad de la información en grupos de a 4 personas, como se muestra en la siguiente imagen:

Particularmente creo que los asistentes nunca olvidarán que mediante una sencilla práctica de ingeniería social, algunos me revelaron su contraseña delante de todo el grupo, habiéndoles indicado minutos antes que bajo ningún caso se debía revelar la contraseña a otras personas.   

Caso 2 – Entidad del sector aeronáutico: el programa incluyó la definición de un personaje y un slogan, la elaboración de un logosímbolo de la campaña, la elaboración de llaveros y plegables que incluían tips de seguridad de la información, la elaboración de un video, un salvapantallas para el  cual se diseñó una especie de radar con aviones que a medida que pasaban por un punto específico hacían aparecer/desaparecer tips de seguridad y un concurso lúdico basado en un pictograma con coordenadas en el cual aparecían caricaturizados algunos personajes de la entidad y en el que los participantes debían responder preguntas relacionadas con situaciones que comprometían la seguridad de la información.

En este segundo caso, especialmente el concurso atrajo la atención de buena parte de los empleados de la entidad y a quien enviara primero todas las respuestas con las coordenadas correctas, dentro del tiempo establecido, se le hizo entrega de un interesante premio.

Conclusión

Jugar a crear cultura de seguridad de la información no es una tarea sencilla. Soy un convencido de que crear cultura de seguridad de la información mediante el juego y las actividades lúdicas se hace más viable y despierta más interés y recordación entre el público, que si se hace de manera plana y desabrida.

En este, como en todos los aspectos de la vida, si las cosas se hacen con interés, imaginación y, por qué no, con pasión se producen mejores resultados y se logran los objetivos. 

En Gestionar Asesores ayudamos a las empresas a definir y desarrollar su programa de concienciación en seguridad de la información conforme sus necesidades.