cp-sin-pla-04-v01 - metodología del plan de ... · las entrevistas, cuestionarios, cumplimiento de...

METODOLOGÍA DEL PLAN DE

CONCIENTIZACÓN EN SEGURIDAD DE LA

INFORMACIÓN

Plan

Código: CP-SIN-PLA-04-V01

Sector: Seguridad Informática

Proceso: Metodología del Plan de Concientización en Seguridad de la Información

Fecha: 25/02/2013 Preparó: C.B. OGP

2

CONTROL DE VERSIONES

VERSIÓN PROCESO CAMBIO FECHA

V1 CP-SIN-PLA-04 – Metodología del Plan de Concientización en Seguridad de la Información

Primera edición del documento 25/02/2013





3

ÍNDICE

I. OBJETIVO 4

II. ALCANCE 4

III. DEFINICIONES Y ABREVIATURAS 4

IV. ANTECEDENTES NORMATIVOS Y FORMULARIOS A UTILIZAR

1. Antecedentes Normativos 2. Formularios a utilizar

4

4 4

V. DESARROLLO

1. Conceptos 2. Etapas 3. Mecanismos de Comunicación 4. Comparativas 5. Evaluación del Plan 6. Indicadores 7. Retroalimentación 8. Repetir el Ciclo 9. Responsabilidad Social Institucional (RSI)

5

5 7

10 12 12 12 13 13 13

VI. FORMULARIOS

15

VII. FLUJOGRAMAS

15

VIII. ANEXOS

15





4

I. OBJETIVO:

El objetivo de este documento es servir de marco teórico de referencia para el análisis, diseño, implementación y retroalimentación de cada Plan anual de concientización y definir la terminología a utilizar.

Su objeto principal es lograr que los individuos estén conscientes de la importancia de la seguridad de la información y de los beneficios que la misma aporta al trabajo diario y al negocio; de esta forma existirá la apertura y por consiguiente el convencimiento de que las actividades que deberán realizar de forma adicional a su trabajo diario traerán como consecuencia mejores resultados. Este esfuerzo incide en actitudes y deseos de mejoras.

Esta Metodología se encuentra incluida en el Manual de Políticas y Normas de Seguridad de la Información, en la Norma de Concientización a Usuarios.

II. ALCANCE:

Este documento pretende ser la base para el desarrollo de Planes de Concientización en temas de Seguridad de la Información, estructurando las actividades mediante la calendarización de las mismas y definiendo las temáticas de sus ciclos de vida.

III. DEFINICIONES Y ABREVIATURAS: No aplica.

IV. ANTECEDENTES NORMATIVOS Y FORMULARIOS A UTILIZAR:

1. Antecedentes Normativos No aplica 2. Formularios a utilizar

No aplica.





5

V. DESARROLLO: 1. Conceptos 1.1 A continuación se enumeran los distintos conceptos que son utilizados en el

presente documento:

Público

Son todos aquellos participantes de los planes de concientización, separados en grupos de interés para la Institución. Se distinguen las siguientes categorías:

Colaboradores.

Matriculados.

Proveedores y prestadores.

Sociedad.

Equipo de Trabajo

Se define a los organizadores y responsables de ejecutar las tareas como parte del equipo de trabajo y posibles expositores en temáticas especificas:

Gerencia de Seguridad Informática.

Gerencia de Sistemas.

Gerencia de Recursos Humanos y Servicios.

Gerencia de Asuntos Legales.

Comité de Sistemas.

Comisión de Tecnología de la Información.

Especialistas Externos.

Mensajes a Difundir

Los mensajes que se difunden en los planes de concientización están relacionados a temas de seguridad de la información en todos los ejes que tenga injerencia, gestionando el desafío de mantenerlos actualizados ante los cambios culturales y tecnológicos que se fueran produciendo.





6

Calendarización

Por cada Plan se establece la calendarización de su ciclo anual, según el período del ejercicio económico definido para la Gerencia de Seguridad Informática, se planifica el mismo luego de recibida la retroalimentación de la ejecución del Plan del año anterior, siendo excepcional el primer Plan ya que no recibe retroalimentación alguna. A continuación se definen las diferentes etapas que conforman la calendarización de cada Plan Anual:

Análisis: se toma en cuenta el avance de los proyectos en curso y futuros

planificados para el año; también se analiza la información recibida de evaluaciones del último Plan finalizado; además son herramientas de análisis las entrevistas, cuestionarios, cumplimiento de indicadores y sugerencias recibidas de Usuarios, otras Gerencias y público en general, como así también el estado del arte en nuevas tecnologías.

Diseño: en esta instancia se determinan los ejes temáticos, se establecen

las fechas de cada actividad a realizar, definiendo el público al que es dirigido y los responsables de cada actividad.

Ejecución: es la manera de desarrollar cada una de las actividades luego de

ser diseñadas y planificadas.

Evaluación: cada actividad debe disponer de un ítem de control y evaluación

de las partes y material, para recibir una adecuada retroalimentación de las mismas.

Por otra parte, ya existen fechas que pueden ser utilizadas como referencia o apoyo a las actividades planificadas, siendo algunas de ellas las siguientes:

Mayo 10 - International Emergency Response Day.

Septiembre 8 - Computer Virus Awareness Day.

Noviembre 30 - International Computer Security Day.

ANÁLISIS DISEÑO EJECUCIÓN EVALUACIÓN





7

2. Etapas 2.1 A continuación se enumeran las distintas etapas del Plan de Concientización:

Concientización

Dentro del contexto de este documento, se entiende como concientización al “proceso de aprendizaje que busca modificar actitudes y percepciones, tanto organizacionales como individuales, con el fin de desarrollar en los usuarios una idea sobre la importancia de la seguridad, así como demostrar los grandes problemas que acarrea el desconocimiento o la desobediencia de las normas de seguridad”. Por ende, la concientización es la primera etapa del proceso orientada a despertar en los individuos la importancia de la seguridad de la información. Por tal motivo, forma parte de esta etapa la participación en el proceso de inducción junto a representantes de la Gerencia de Recursos Humanos y Servicios. Esta ese una tarea que nos permite, desde el ingreso de los nuevos colaboradores, generar en ellos la inquietud por la seguridad de la información que administran, permitiendo establecer un vínculo con la seguridad desde sus primeros pasos en la Institución. Como evidencia y para su posterior seguimiento se debe completar la planilla de capacitación correspondiente.

Entrenamiento

El entrenamiento es considerado como una etapa posterior a la concientización; es decir, “es una manera formal de construir el conocimiento con el propósito de aumentar las capacidades de una persona para desarrollar sus funciones de manera más eficiente”. En esta etapa se definen los usuarios y sectores que requieren de mayor necesidad de conocimientos, dado que al haber diferentes y variadas funciones hacen que las necesidades de profundizar algún tema en particular no sean idénticos para todos. Por lo tanto, se hace necesaria una segmentación o diferenciación de audiencias, de tal forma que se envíen los mensajes claves o necesarios relacionados con la seguridad para cada uno de los grupos, en el lenguaje que manejen. Entre otros posibles, a continuación se mencionan algunos de los talleres inherentes a profundizar el conocimiento en temas específicos:





8

Talleres de capacitación.

Participación en Ciclos de Actualización.

Ley 25.326 de Protección de Datos Personales.

Ley 26.388 de Delitos Informáticos.

Ley 26.529 de Derechos del Paciente.

Es de mencionar que los Ciclos de Actualización constituyen una oferta de educación continua para los Profesionales en Ciencias Económicas y comprenden materias de corta duración, como también de dictado más extenso, según la temática a desarrollar. Estos Ciclos de Actualización están abiertos a todos los Profesionales en Ciencias Económicas, incluyendo a los Matriculados de otros Consejos Profesionales. Las principales áreas temáticas que comprenden son las siguientes:

Contabilidad y Auditoría.

Tributaria.

Judicial.

Sociedades.

Administración.

Informática.

Economía y Finanzas.

Temas Especiales.

Idiomas.

En particular, es en el área de Informática donde se propondrán actividades educativas para ser desarrolladas, no obstante se intentará contar con información que incluya posibles necesidades del resto de las áreas temáticas.

Educación

Esta etapa también es considerada como una forma avanzada de entrenamiento, cuyo objetivo es “mejorar y desarrollar el conocimiento, destrezas y habilidades del público destinatario”; intentando brindar al Colaborador las habilidades y herramientas necesarias para desempeñarse mejor en sus funciones dentro de la Organización.





9

En esta etapa, como público destinatario, se define la creación de grupos de Facilitadores, con similar funcionamiento al de los grupos de Facilitadores de Gestión de la Calidad, solicitando a cada Gerente la designación de sus colaboradores, para poder capacitarlos en los temas inherentes a la Seguridad de la Información, recibiendo una capacitación continua en la temática e intentado que alcancen a ser factores de cambio en los Sectores/Áreas donde se desempeñen. Se propone, en primera instancia, que sean compuestos por los integrantes definidos como Soporte Técnico Primario, y el personal de Soporte Técnico y Mesa de Ayuda de la Gerencia de Sistemas. A continuación se esquematizan en un cuadro las tres etapas definidas:

Elementos de Comparación

Concientización Entrenamiento Educación

Atributo ¿Qué? ¿Cómo? ¿Por qué?

Nivel Información Conocimiento Visión interna detallada

Objetivo de Aprendizaje

Reconocimiento y retención

Destrezas Entendimiento

Ejemplos de Metodología de Enseñanza

Medios (videos, cartas, afiches)

Instrucción práctica

(lecturas, casos de estudio,

pruebas prácticas)

Instrucción práctica

(seminarios, grupos de discusión,

investigación)

Exámenes o pruebas de medición

Falso/Verdadero, elección múltiple

Resolución de problemas

Ensayos

Marco de tiempo para resultados

Corto plazo Mediano plazo Largo plazo





10

3. Mecanismos de Comunicación 3.1 Entre los medios y mecanismos de comunicación que pueden ser utilizados,

se encuentran los siguientes:

Correo electrónico: hoy por hoy, es el medio de mayor cobertura en la mayoría de las organizaciones que cuentan con tecnología. Es eficaz, económico, ágil y permite alcanzar a las áreas o empleados que se encuentran geográficamente dispersos y que fueran virtualmente inalcanzables por otros medios.

Intranet: es otro recurso tecnológico importante. Tiene la ventaja, sobre el correo electrónico, de favorecer la posibilidad de utilizar documentos más ricos en contenido, incluyendo aquellos en multimedia, sin afectar de manera importante los recursos y el funcionamiento de la red.

Página de Internet y redes sociales: es un recurso de gran difusión hacia todo tipo de público.

Carteleras y volantes: si bien cada día las compañías soportan más y más procesos en tecnología, no todos los empleados son usuarios de las mismas. Pese a esta limitación, la información concierne a todos. Las carteleras y volantes son medios de comunicación que permiten llegar a aquellos usuarios que no tienen acceso a la tecnología, con quienes no se podría utilizar otro tipo de medios o mecanismos. Para aquellos que sí lo tienen, deben considerar las carteleras y volantes como un complemento de dichos medios o mecanismos de comunicación.

Login de acceso a la red: dado que este es el punto central de acceso a los recursos tecnológicos de la Organización, constituye un recurso que puede ser explotado exitosamente. La restricción que impone es el tamaño de los mensajes que se pueden difundir a través de este medio. Su importancia radica en el hecho de que se puede forzar a todos los empleados a recibirlo y la frecuencia con la cual se entregan los mensajes.

Concursos y desafíos: constituyen una forma de despertar el interés y la sana competencia. Si se pueden explotar, generalmente permiten alcanzar niveles muy altos de éxito y pueden contribuir a lograr un clima organizacional de cooperación y trabajo en equipo. Posee la desventaja que habitualmente sólo participan de ellos usuarios que ya tienen ciertas habilidades en el manejo de las herramientas informáticas, decidiendo no





11

hacerlo aquellos que por limitaciones o cohibiciones propias no desean exponerse.

Reuniones y conferencias: con la participación de expertos en la temática se puede consolidar el trabajo realizado por los empleados de la Organización, y llamar la atención de los más reacios para vincularlos al proceso.

Memorandos y documentos de comunicación interna: si bien no constituyen el medio por excelencia para esta clase de objetivos, no deben ser desestimados. Su importancia radica en el carácter formal, el cual genera un mayor nivel de compromiso por parte de todos los involucrados. Si se utilizan, debe tenerse especial cuidado de no abusar de ellos. Dentro de este ítem se encuentran los Procedimientos, Instructivos y Guías de Uso.

Artículos y publicaciones especializadas: comprende la confección de artículos con recomendaciones de seguridad, innovaciones y advertencia de las amenazas existentes; además, artículos especializados para los usuarios de tecnología con conocimientos más profundos en el tema. Su propósito debe ser reforzar el trabajo realizado con otros medios y mecanismos de comunicación.

Wiki de información relacionada: es una publicación de un sitio wiki, entendiendo por wiki un sitio web que permite compartir contenido y en cada página las palabra claves que estén marcadas como tales, pertenecerán a algún otro título de la página wiki. La mayor parte de las implementaciones de wikis indican en el URL de la página el propio título de la página, facilitando el uso y comprensibilidad del link fuera del propio sitio web. Además, esto permite formar en muchas ocasiones una coherencia terminológica, generando una ordenación natural del contenido. También permite recuperar fácilmente cualquier estado anterior y ver qué usuario hizo cada cambio, lo cual facilita enormemente el mantenimiento conjunto y el control de usuarios nocivos. Habitualmente, sin necesidad de una revisión previa, se actualiza el contenido que muestra la página wiki editada.

Por ejemplo, para cada plataforma tecnológica utilizada en la Organización se podrá crear una Guía de Cambio de Contraseña y otra Guía de Uso en lo que respecta a la seguridad del aplicativo, en lo posible utilizando documentación multimedia que facilite el proceso educativo.





12

4. Comparativas 4.1 Se realizarán comparativas de Benchmarking con Planes implementados en

otras Instituciones en los casos que fuera posible, tomando como referencias Instituciones de similar envergadura o de carácter privado.

5. Evaluación del Plan 5.1 Medir y evaluar el desempeño de las técnicas, procedimientos y la

metodología que fueron empleados para difundir los conceptos y otros conocimientos sobre Seguridad de la Información, que permitan identificar puntos de mejora en futuras actividades.

5.2 Se evalúan con diferentes criterios:

Concientización.

Entrenamiento.

Educación.

5.3 Entre otros, algunos de los elementos que pueden ser usados para medir la

efectividad del Plan son:

Cuestionarios.

Observaciones.

Entrevistas con usuarios finales.

Tickets.

Incidentes de seguridad.

6. Indicadores 6.1 Son datos, esencialmente cuantitativos, que señalan cómo se encuentra un

aspecto de la realidad que interesa conocer, para medir la evolución y el alcance de las estrategias definidas en el Planeamiento Estratégico:

Promedio de horas de formación propuestas/brindadas al año por empleado (asistencia), desglosado por categoría de empleado.





13

Promedio de horas de capacitación brindada.

Evaluaciones en cuanto a conocimientos adquiridos (participantes).

Evaluaciones con respecto a las temáticas, ponentes y material (organizadores).

Porcentaje de alcance de Stakeholders (Colaboradores, Matriculados, Proveedores/Prestadores y Sociedad).

7. Retroalimentación 7.1 Recibido el feedback se deciden las mejoras a realizar, se definen los

aspectos sustentables y se valida la metodología utilizada en cuanto a su efectividad y ejecución.

8. Repetir el Ciclo 8.1 El esfuerzo realizado y el dinero invertido en el desarrollo de un programa de

cultura de seguridad, no debería ser “programa de una sola vez”. Las condiciones tanto al interior como al exterior de la organización son muy dinámicas y por lo tanto el programa debe revisarse periódicamente.

8.2 El programa debe contemplar tanto a empleados nuevos, al igual que

reafirmación y actualización para quienes ya lo recibieron. Tan solo este proceso, llevado a cabo en forma constante, puede garantizar el éxito en la lucha contra la inseguridad y amenazas que permanentemente atentan contra la información.

9. Responsabilidad Social Institucional (RSI) 9.1 La Institución adopta los conceptos internacionales que definen la RSI, los

cuales disponen de tres pilares que hacen al desarrollo sostenible: Medioambiental, Económico y Social. Por ser una Organización se tiene impacto en los tres ejes:

Medioambiental: no somos una Organización que produce un gran impacto en el entorno, es por eso que nuestros programas están más bien orientados al cuidado/prevención del uso de la energía, del agua, del papel, y la realización de buenas prácticas. De este modo, abordamos este eje desde la





14

RSI en forma de prevención más que con la finalidad de mitigar nuestros impactos (como por ejemplo sí lo hace una Organización dedicada a la explotación minera).

Económico: es nuestro pilar fundamental, dada la razón de ser del Consejo. Las acciones de RSI suponen un actuar que va más allá del ámbito de la obligatoriedad legal, la cual se cumple al ser un Organismo de Derecho Público. En consecuencia, desde RSI lo que se busca con los Programas es generar valor más allá de la actividad de raíz de la Organización.

Social: es el eje que más se ha ramificado, dado que es bastante abarcativo, (Inclusión - Salud - Educación y Formación – Derechos Humanos). Son todas las formas en que se impacta como Organización inserta en la Sociedad.

9.2 Nuestra Metodología de Concientización y, por ende, los Planes Anuales

correspondientes, se alinean claramente con las Políticas relacionadas a la Responsabilidad Social Institucional, en cuanto al eje Social, en Educación y Formación, nuestra participación abarca a todos los grupos de interés: Colaboradores, Matriculados, Sociedad y Gobierno.





15

VI. FORMULARIOS No aplica. VII. FLUJOGRAMAS No aplica. VIII. ANEXOS No aplica.

cp-sin-pla-04-v01 - metodología del plan de ... · las entrevistas, cuestionarios, cumplimiento de...

Documents