Concientizar a los empleados sobre la importancia de la seguridad de la información es una tarea difícil y para la que hay que ser muy constante. Pero eso no ha impedido al CISO de una de las facultades de Harvard dejar de hacerlo durante años y tener, finalmente, éxito.
En el marco de la conferencia SecureWorld Boston, Jay Carter, director de seguridad de la información de la Facultad de Artes y Ciencias de la Universidad de Harvard, y Michael Ste.Marie, analista de seguridad de la información del Federal Home Loan Bank de Boston, compartieron con la audiencia sus logros a la hora de concientizar a los usuarios de sus organizaciones de la importancia de la seguridad de la información.
En la facultad de Harvard, Carter ha establecido un comité asesor con la facultad y el personal de la Universidad para garantizar que se atiende a las preocupaciones de los usuarios finales a través de las políticas de seguridad. “No puedo exagerar la importancia de establecer un diálogo bidireccional con tu comunidad”, señaló.
Además, se reúne periódicamente con los usuarios para mantenerles al día en cuestiones sobre políticas de seguridad y para enfatizar los principales puntos. También ha impreso folletos sobre Seguridad de la Información con un logo en el que puede verse el emblema de Harvard junto a un cerrojo y una llave, que según el CISO es un esfuerzo por crear conciencia de marca.
Posters, salvapantallas personalizados con mensajes de seguridad y otros mecanismos de comunicación también pueden utilizarse para divulgar el mensaje. En un trabajo anterior, Carter compró vídeos informativos, su equipo imprimió tickets que simulaban entradas de cine y proporcionaron pizza y palomitas a aquellos que asistieron a la sesión formativa. “Es una oportunidad para ser creativo”, explica, añadiendo que la comida siempre acapara la atención de la gente.
Asimismo, Carter advirtió que, cuando se escribe una política de seguridad, deben utilizarse un titular general y un teléfono o dirección de correo común en lugar de nombres y números particulares, pues el personal de seguridad TI va y viene.
El responsable de seguridad de la información de esta facultad, que ya había implantado programas de educación sobre seguridad en otras organizaciones antes de entrar en Harvard, afirmó que cuando sucede una brecha o hay una infección por malware, el departamento de seguridad TI debería utilizar el suceso como una oportunidad para enfatizar la realidad de las amenazas de seguridad y la importancia de aplicar unas mejores prácticas. “Si el equipo de gestión no sabe que te estás enfrentando a continuos retos, se preguntará por qué necesita un departamento de seguridad de la información”. “La transparencia es la mejor herramienta para promocionar la seguridad de la información”, sentenció Carter.
Por su parte, Michael Ste.Marie, del Federal Home Loan Bank de Boston, apuntó que introducir y mantener el interés de los empleados por la seguridad de la información es un gran reto que “no va a pasar de la noche a la mañana pues es un cambio cultural”.
En su caso particular, involucró a los empleados manteniendo sesiones con ellos sobre temas que pudieran afectarles en su vida personal, como la seguridad de un router inalámbrico, el robo de identidades, el phishing o la vigilancia de los niños cuando navegan por Internet. Además, les pasaba artículos de interés sobre estos temas. El resultado: una conversación de doble sentido. “Funcionó”, señaló Ste.Marie; “la gente habla conmigo todo el tiempo”.
CIO, España