La Electricidad Y La Electrónica Trabajo Tecnología.pdf
Educación y sensibilización en seguridad de la información
1. Educación y Sensibilización en
Seguridad de la Información
Unidad de Modernización y Gobierno Electrónico
Ministerio Secretaría General de la Presidencia
3. Si se quiere alcanzar una
real participación activa, se
debe
Difundir, Sensibilizar, Capaci
tar y Entrenar.
Principio de participación
4. Educación y Sensibilización en Seguridad
de la Información
Conceptos y conocimientos que apoyen a la
organización en el conocimiento y cumplimiento del
Marco Normativo desarrollado
o ¿Por qué sensibilizar en
Seguridad?
o Campaña de Sensibilización
o Definición
o Medición y Evaluación
o Modelo de Mejora
Continua
6. Educación y Sensibilización en Seguridad
de la Información
• Nivel estratégico debe asumir
responsabilidades; y no esperar a que ocurra
un incidente grave.
• Usuarios finales no reconocen su rol.
• Malas prácticas vulneran otros controles
implementados.
• Se designan “responsables” de seguridad, sin
las “competencias” suficientes.
7. Factores críticos de éxito de un ISMS
Incluyen aspectos de Sensibilización
• Un buen entendimiento de los requerimientos de
seguridad de la información;
• Marketing efectivo de la seguridad de la
información con todo los gerentes, empleados y
otras partes para lograr conciencia sobre el tema;
• Distribución de lineamientos sobre la política y los
estándares de seguridad de la información para
todos los gerentes, empleados y otras partes
involucradas;
• Proveer el conocimiento, capacitación y educación
apropiados;
ISO 27002
9. Campaña de Sensibilización
El conjunto estructurado de métodos y
actividades que permitan dar
visibilidad y credibilidad a las mejores
prácticas de la seguridad de la
información en la institución, que
permita lograr una participación activa
de todos los colaboradores.
10. Complementos para la Participación
Para lograr una adecuada y efectiva
Participación se requiere gestionar instancias
de:
• DIFUSIÓN
• SENSIBILIZACIÓN
• CAPACITACIÓN
• EJERCITACIÓN
11. Complementos para la Participación
• DIFUSIÓN
– Todo empleado y terceros deben
conocer el cuerpo normativo
general asociado a los controles y
protección de seguridad de la
información que utilizan.
– Consulta Básica:
• ¿Dónde se encuentra la versión
actualizada de la Política General
de Seguridad?
12. Complementos para la Participación
• SENSIBILIZACIÓN
– Entender el por qué de los controles de seguridad de la
información y actuar en consecuencia.
– Campaña de Sensibilización
– Medios y Actividades como:
• Charlas
• Paneles de Difusión
• Pantallas de Logon
• Merchandising
• …
13. Complementos para la Participación
• CAPACITACIÓN
– Dar a conocer los contenidos
de las normativas de
seguridad.
– Programar un curso formal de
Capacitación en Técnicas de
protección de Desarrollo de
aplicaciones Web
– Participar en curso de
Preparación a la Certificación
CISSP.
14. Complementos para la Participación
• EJERCITACIÓN
– Ejercitar las componentes prácticas
de los controles de seguridad.
– Ejemplo:
• Ejercitación con las actividades de
recuperación frente a
contingencias.
• Evacuación frente a Desastres
naturales.
• Pruebas prácticas de activación de
procedimientos de seguridad
particulares.