El documento trata sobre la importancia de la concienciación en seguridad de la información. Explica que es necesario informar, formar y motivar a los empleados sobre buenas prácticas, cumplimiento de políticas y peligros. También destaca la necesidad de gestionar la responsabilidad, medir el comportamiento y aplicar el principio de necesidad de conocer, separación de funciones y supervisión.

1. Mas Allá
De la Concienciación
Octubre, 2006 Vicente Aceituno
23 de febrero 2006 Infosecurity Iberia 2006 1

2. Concienciación
Octubre 2006 2

3. Concienciación
•Buenas Prácticas.
•Cumplimiento de Políticas.
•Peligros.
•Informar para
•Conocer y Comprender.
Octubre 2006 3

4. Concienciación
•Enseñar.
•Convencer.
•Motivar.
Octubre 2006 4

5. Amenazas
Octubre 2006 5

6. Amenazas Humanas
•Fraude.
•Estafa.
•Corrupción.
•Chantaje.
Octubre 2006 6

7. Amenazas Humanas
•Cortesía al abrir puertas.
•Visitas incontroladas.
•Peticiones de información por correo o
teléfono.
•Documentos en Impresoras, Fax, etc.
•Confianza en los uniformes.
Octubre 2006 7

8. Amenazas Técnicas
•El usuario debe llegar donde el sistema no puede
•Hoax, Spam, Virus, Phising, Spyware.
•Copias de seguridad.
•Compartición de medios de autenticación.
•Información desechada no se elimina.
•...pero los sistemas deberían ayudar.
Octubre 2006 8

9. Errores
Octubre 2006 9

10. Errores
Octubre 2006 10

11. Errores
180
Octubre 2006 11

12. Errores
•Se pidió señal automática de puertas abiertas, no se dio.
•El ayudante que tenia que cerrar las puertas estaba
dormido.
•El oficial que tenia que comprobar el cierre no pudo, había
poco personal y estaba haciendo otra cosa.
•El barco se diseño para otra ruta y tenia la rampa
demasiado alta, por lo que llevaba lastre. Este no se pudo
achicar porque no daba tiempo.
•Por la falta de tiempo, el capitán salió a toda velocidad, lo
que causo la ola que lo hundió.
Octubre 2006 12

13. Irracionalidad
Octubre 2006 13

14. Actitud
•Honradez.
•Lealtad.
•Profesionalidad.
•Escepticismo saludable.
Octubre 2006 14

15. Irracionalidad
•Lotería.
•Experimentos de Milgram y de Asch:
•Respeto a la autoridad.
•Obediencia sin cuestionar.
•Respuesta a la presión de grupo.
•Uniformes.
•Conformismo.
•Caso Kitty Genovese.
•Hacer públicas las decisiones las refuerza.
Octubre 2006 15

16. Información
Octubre 2006 16

17. Informar
• “Escucho y olvido, veo y recuerdo, hago y
aprendo” Confucio (551-479 BC)
•Los mensajes positivos se recuerdan y
asimilan mejor que los negativos.
•Errores frecuentes:
•Exceso de información.
•Información demasiado técnica.
Octubre 2006 17

18. Informar
•Medios de Comunicación.
•Pósteres.
•Correos.
•Reuniones.
•Etc.
Octubre 2006 18

19. Formación
Octubre 2006 19

20. Formar
Octubre 2006 20

21. Formar
Octubre 2006 21

22. Formar
•Comprobar que el mensaje se ha recibido.
•Exámenes.
•Encuestas.
•Resultados.
Octubre 2006 22

23. Motivación
Octubre 2006 23

24. Motivación - Recompensas
•Acciones desagradables: Mejor sin premio
o con uno pequeño.
•Acciones agradables: Pierden motivación si
se premian.
•Recompensas:
•Premio.
•Reconocimiento.
Octubre 2006 24

25. Motivación - Castigos
•Son más efectivos cuanto más
garantizados, no cuanto más graves.
•Castigos:
•Sanciones.
•Ridículo.
Octubre 2006 25

26. Motivación - Persuasión
•Es mucho más probable que alguien
haga algo si es decisión propia.
•Es mucho más probable que se tome una
acción si se está convencido de esta.
•Convencer es más eficaz que
recompensar y que castigar, pero mucho
más difícil.
Octubre 2006 26

27. Responsabilidad
Octubre 2006 27

28. Responsabilidad
Octubre 2006 28

29. Responsabilidad
•Comprender la distribución de
responsabilidades.
•Asumir la responsabilidad individual.
•Establecer barreras para reunir información
y para conspirar.
Octubre 2006 29

30. Responsabilidad
•Transparencia.
•Particionado.
•Separación.
•Rotación.
•Supervisión.
Octubre 2006 30

31. Medición
Octubre 2006 31

32. Medición
•Medir la información – Actividad realizada.
•Medir la formación – Cuestionarios.
•Medir la confianza – (No se puede)
•Medir el comportamiento – Ensayos.
Octubre 2006 32

33. Resumen
•Informar.
•Formar.
•Motivar.
•Gestionar.
•TPSRSR.
Octubre 2006 33

34. Creative Commons Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author credit.
No Derivative Works. You may not alter, transform, or build upon this
work.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of
this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Octubre 2006 34

35. www.fistconference.org @
Vicente Aceituno
Madrid, Octubre 2006
GRACIAS
Octubre 2006 35