Capture

 “Una cadena es tan fuerte como lo es su eslabón más débil” dijo Thomas Reid en 1785.  Este pensamiento se ha convertido en una máxima en el área de seguridad de la información y debe ser el criterio básico en el despliegue de la estrategia de protección de información en una organización, cuyo objetivo es el de gestionar el riesgo de forma homogénea y trasversal en todos los elementos que la componen. Lamentablemente, muchas veces se realiza la implementación de controles en el entorno de TI de la organización para la protección de dispositivos y de los datos almacenados, procesados y transmitidos pero no se tiene presente el elemento clave de todo este proceso: el ser humano, que sin la formación y concienciación necesaria se puede convertir en el eslabón débil, transformándose en una vulnerabilidad explotable dentro del entorno. La ingeniería social, el phising y el spyware son solamente algunas de las técnicas que los delincuentes pueden utilizar para vulnerar la confianza y el desconocimiento de los controles de los usuarios de la empresa.

La vinculación en las actividades de seguridad por parte del personal que explota, administra y opera la información corporativa ha sido un dolor de cabeza para los responsables de seguridad, ya que tanto los empleados como los clientes y proveedores suelen interpretar los controles de seguridad como una carga adicional al trabajo diario sin comprender su verdadero sentido. Para gestionar este inconveniente y los potenciales riesgos asociados al mal uso o desconocimiento de las salvaguardas y contramedidas implementadas es imprescindible complementar  los controles de seguridad físicos, lógicos, administrativos y documentales con un plan de formación/concienciación en seguridad  que haga partícipe a cada empleado dentro de la estrategia de seguridad global y lo integre de forma proactiva con la necesidad de protección de la información corporativa, haciendo énfasis en el sentido de pertenencia y participación e importancia de cada uno dentro del modelo de seguridad, independientemente del cargo y acceso a los datos que se pueda tener.

Dentro de los controles establecidos por el estándar PCI DSS para la protección de datos de tarjetas de pago se ha contemplado la formación continua en seguridad de la información como uno de los controles básicos asociados a la gestión de recursos humanos:

Requerimiento 12.6: Implemente un programa formal de concienciación sobre seguridad para que todo el personal tome conciencia de la importancia de la seguridad de los datos del titular de la tarjeta.

Con el fin de ofrecer una guía adaptada hacia la definición de un plan de formación efectivo en seguridad de la información y centrado en la protección de datos de tarjetas, en noviembre de 2014  el PCI SSC publicó el documento “Information Supplement: Best Practices for Implementing a Security Awareness Program” en el cual se describen una serie de pautas para cumplir con el objetivo del requerimiento 12.6, dentro de las cuales – en términos generales – se encuentran:

  • Creación de un equipo encargado de la definición y mantenimiento del plan de concienciación en seguridad que integre personal de diferentes áreas
  • Determinación de los roles y grupos de personal objetivo en la formación en seguridad, lo cual permitirá la definición de contenidos a medida y focalizados en las necesidades y responsabilidades de cada empleado con base en sus funciones y en la necesidad de saber (“need to know”)
  • Establecer los niveles mínimos de formación en seguridad que recibirá todo el personal de la organización
  • Determinar el contenido y aplicabilidad de la formación en seguridad en función de los roles y controles que le apliquen a cada grupo de usuarios

Así mismo, se indica la importancia en el uso de otros medios logísticos adicionales a la formación presencial que se pueden usar para enfatizar y distribuir el contenido de la formación de forma óptima: notificaciones por correo electrónico, cursos online (e-learning), carteles informativos, notificaciones empleando la intranet corporativa o redes sociales, etc.  Por otra parte, en dicho suplemento informativo se listan una serie de ejemplos de métricas operativas y del programa de formación que permiten la medición de la efectividad del contenido y su impacto dentro de la operativa diaria.

Finalmente, el documento incluye una lista de verificación (“Checklist”) para ser empleado antes y durante la ejecución del programa de concienciación y un anexo en el cual se relacionan los diferentes roles de formación con los controles del estándar.

EL documento puede ser descargado directamente del sitio web del PCI SSC en el siguiente link: Information Supplement: Best Practices for Implementing a Security Awareness Program. Esta información se puede complementar con el “Kit de concienciación” del Instituto Nacional de Ciberseguridad de España (INCIBE) que ofrece múltiple material para el desarrollo de un plan de formación y concienciación en seguridad en idioma español y puede ser un buen inicio para el cumplimiento del requerimiento 12.6 de PCI DSS. Material de concienciación adicional también puede ser encontrado en el sitio web de la European Union Agency for Network and Information Security (ENISA):

 

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.