Educacion Interactiva Videos Fotolog Encuestas Aprender + Proyectos Seguridad Medio Ambiente Salud Salud Ocupacional Ergonomía Sociedad Tecnología Educación Vial

Capacitación y Concientización de Seguridad en Organizaciones

Cristian Borghello
Licenciado en Sistemas, CISSP
5/5 (14 votos)

Sin duda uno de los temas más preocupantes cuando hablamos de Seguridad es la Capacitación, o mejor dicho la falta de ella.

Esto se debe en gran medida a que el usuario en general no es consciente de la importancia de la información que maneja a diario, lo que puede hacer con ella, la utilidad que le puede dar un tercero y las consecuencias de ello.
Cuando hablamos de educación en Seguridad de la Información en realidad estamos hablando de dos conceptos: Capacitar y Concientizar.

El primero de los términos se refiere a dar a conocer y educar sobre una temática determinada.
En cambio concientizar va más allá y está referido a que el concepto sobre el que se está trabajando forme parte, realmente se arraigue y llegue a ser un sentimiento en la persona. Muchas veces también se utiliza el termino evangelizar para reflejar este concepto.

En Sistemas y, más específicamente en Seguridad, realizar estas dos acciones adquiere mayor relevancia ya que generalmente el público al que irá dirigida nuestra "prédica" tenderá a tildarnos de locos esquizofrénicos y paranoicos salidos de la Matrix (quizás con razón).

Lo primero que debemos plantearnos es: como nos caería que un apicultor (nada personal con ellos) venga a explicar técnicamente como se inflama una picadura de la abeja Lonchura Punctulata debido a que es un insecto himenóptero.
Por eso, en un primer contacto, la capacitación que se brinda debe ser en un lenguaje ameno, lejos de los tecnicismos y anglicismos clásicos de nuestra profesión.

Es importante tener indicadores y estadísticas para controlar el antes y después de la capacitación. Estos serán el reflejo del éxito o del fracaso de la capacitación y nos indicará que debemos incluir, mejorar o eliminar de la misma. Además en principio estos indicadores nos marcarán los temas de las primeras capacitaciones. Por ejemplo si existe un alto índice de infecciones víricas o un alto porcentaje de passwords prestadas, estos serán buenos candidatos de temas a tratar.

Es conveniente comenzar con temas críticos o de alto impacto dentro de la organización. Por ejemplo podría comenzarse con una charla sobre Ingenieria Social en donde un simple llamado telefónico o un mail engañoso sirve de ejemplo para introducir el concepto y demostrar el alto impacto que puede tener la obtención de información por este medio.

El contenido a tratar debe seleccionarse cuidadosamente y cada capacitación debe referirse a un tema específico sin introducir demasiados conceptos nuevos; aprovechando para refrescar temas comunes.

La teoría debe ser la justa y la necesaria para introducir el tema pero luego deben abundar los ejemplos prácticos, anécdotas de experiencias y demostraciones de causa-efecto que, cuanto más impactantes sean, mayor será el resultado obtenido.
El tiempo dedicado a capacitar no debe exceder la capacidad de concentración media de una persona ya que los temas muchas veces suelen ser pesados y hasta aburridos (aunque me duela admitirlo).

Cabe mencionar que en el primer tiempo, luego de la capacitación, las acciones consideradas "ataque interno" se verán incrementadas en nuestros indicadores. Esto es normal y es producto de que muchas personas quieren vivir en "carne propia" como es "ser hacker" por lo que probarán herramientas y acciones tendientes a burlar la seguridad de la propia empresa. Estas acciones generalmente son limitadas pero deberán vigilarse y controlarse.

Otra forma en que suele encararse la capacitación es dejando información en una Intranet, con envío de mails periódicos que traten algún tema específico o cartelera con consejos simples. Hay que tener en cuenta que este tipo de capacitación depende del usuario ya que, por ejemplo, si quiere puede eliminar el mail sin leerlo o nunca ingresar a la Intranet.

Lo más importante y a remarcar es que está capacitación debe ser permanente en el tiempo. Será con esto con lo que, en última instancia, logremos "convertir" una simple capacitación en concientización.

Rodrigo Nazer 13-05-2008, 21:01:04
Cristian muy buena nota y concuerdo con casi todo el grupo de usuarios, CAPACITAR es la herramienta que nos permite prevenir, en tanto y en cuanto tengamos politicas correctas de seguridad. Te felicito y gracias por tu participaciób activa en el portal.
Gerardo Marquez 25-04-2008, 12:47:33
La clave es la capacitacion, de una forma u otra el mundo nos pide eso. Las empresas deberian tomar mayor conciencia en capacitar a usuarios.
Rubén Martinez 02-04-2008, 10:38:23
Lic. gracias por continuar brindando sus notas para el conocimiento de todos. Concuerdo con muchos usuarios que la capacitación es fundamental en los tiempos que corren. Felicitaciones y sigo esperando mas notas suyas.
Esteban Murillo 01-04-2008, 19:26:04
Excelente nota, la verdad que es asi. La capacitacion es imprescindible en estos dias y sobre todo en seguridad informatica.
Walter Nangullo 15-03-2008, 14:19:23
Si concuerdo con casi todos, la capacitación es fundamental en estos días y en todos los órdenes. Gracias Licenciado por vuestra participación.
Ruben Larin 18-02-2008, 16:05:23
Excelente nota, lastima que a veces no todos lo ponen en practica. Gracias por tus consejos sobre seguridad y prevencion informatica.
Adrian Valdez 13-12-2007, 08:40:13
Muy buena nota, gracias Licenciado por su informacion sobre este tema. felcitaciones
Maria Gabriela Altibar 11-12-2007, 10:13:34
Excelente Nota Licenciado, le agrademos el compartirla con toda la comunidad. Gracias por sus notas, estan muy buenas.
Cristian 08-12-2007, 11:26:17
Gracias por los comentarios y me alegra que sea útil. A quien le interese el tema puede darse una vuelta por nuestro sitio www.segu-info.com.ar en donde encontrará información relacionada.
Martín Javier Peña Loza - Perú 06-12-2007, 22:09:41
Licenciado, me ha gustado mucho su nota y la manera en que ha explicado el tema. Esperamos contar con mas notas y su aporte indiscutible en estas cuestiones de seguridad tecnologica.
Martina Esteinberg 06-12-2007, 22:01:57
Concuerdo con Ud. con el tema de que la concientizacion y la capacitacion deben ir a la par. Educar en seguridad es eso, la formacion del criterio del individuo para la toma de conciencia en sus actos mas simples y complejos al tomar contacto con la tecnologia. Lo felicito por la nota y le agradezco que la haya publicado para toda la comunidad del portal. Esto tambien es prevenion!!!
Sergio Orlandi 06-12-2007, 21:39:24
Muy buena nota, la capacitacion hoy es una herramienta fundamental para el crecimiento individual y corporativo, lo felicito Lic. por su comentario. Gracias por compartir sus conocimientos con nosotros.
Marta Gimenez 06-12-2007, 21:37:54
Creo que la capacitacion es importantisima y mas en estos tiempos donde la tecnologia forma parte de nuestras vidas. Gracias Licenciado por la nota.
JorgeManzur 06-12-2007, 21:30:48
Gracias Cristian por brindar tus conocimientos para toda la comunidad del Portal.

Votar articulo:

Nombre:


Comentar: