¿Por qué es importante la capacitación en seguridad

Seguridad de la información

entrenamientoJohn Harrison de SAINT (Alianza para la Seguridad de Internet y las nuevasTechnologies) tiene una nueva mirada a algunos de los temas de formación en relación conde seguridad y proporciona asesoramiento y una visión de lo que una organización puede hacer para abordar eficazmente sus necesidades de formación de seguridad.

¿Por qué es importante la capacitación de seguridad?Esto puede parecer una pregunta obvia, pero es importante tener en cuenta cuáles son los problemas de formación de seguridad es probable que abordar de manera eficaz. La formación es una "cuestión de personas" - de nuevo, una afirmación obvia, pero tan a menudo pasamos por alto lo obvio. El SANS Institute realizó una encuesta en 1999 entre 1.850 expertos en seguridad informática y administradores a identificar a los siete errores de gestión superior que conducen a las vulnerabilidades de seguridad informática . En la parte superior de esta lista se encontraron con que la gestión de "asignar personas no entrenadas para mantener la seguridad y proporcionar formación ni el tiempo que sea posible hacer. El trabajo" Las cosas han cambiado desde 1999, por lo que debemos hacer mejor que esta - o somos? Para que usted pueda juzgar, visite el sitio web de SANS Institute en www.sans.org / newlook / recursos, donde se enumeran los siete errores, y te preguntas: ¿alguno de estos se aplican en mi organización? El primer mensaje fundamental, que es tan cierto hoy como lo fue en 1999, es que el entrenamiento de seguridad de la información debe involucrar a todos, y se extienden mucho más allá de las necesidades del departamento de TI. Más cerca de casa y, más recientemente, el DTI patrocinó la Encuesta de las brechas de seguridad2002 (www.security-survey.gov.uk), lo que indica que la seguridad de la información no ha sido nunca una prioridad más alta a nivel del consejo (73 por ciento en comparación con el 53 por ciento en 2000), pero las empresas son relativamente pocos los traducir esta prioridad en efectivo acción. La encuesta fue a revelar el nivel de falta de inversión en seguridad de TI, con sólo el 27 por ciento de las empresas del Reino Unido de invertir más de un uno por ciento de su presupuesto en medidas de seguridad, mientras que la referencia a nivel mundial es de tres a cinco por ciento . Quizá el resultado más revelador es que sólo el 27 por ciento de las empresas del Reino Unido tiene una política de seguridad, que es un aspecto fundamental de la seguridad de la información buena. El estudio incluye el asesoramiento sobre las diez principales acciones de la Junta, con el tema viñetas primero de ellos la ' asegúrese de que su negocio se crea una cultura de la seguridad tanto de educar al personal sobre los riesgos de seguridad y sus responsabilidades ». Este es otro apoyo para la capacitación de seguridad y la sensibilización.

Seguridad de la formación y la concienciación sobre la seguridad - ¿Cuál es la diferencia?

¿Quién debe ser capacitado, cómo y qué deben ser formación en? Las respuestas al "quién", "cómo" y "qué" preguntas dependerá de la persona y en las necesidades de su negocio, pero los siguientes puntos son relevantes.

¿Quién debe ser capacitado?No es simplista decir que todo el mundo en una organización en algún momento u otro debería recibir algún tipo de formación en seguridad. En algunas organizaciones, no es raro para todos los empleados a tener un elemento de seguridad relacionados en su descripción de trabajo y, en su caso, tener objetivos específicos personales pertinentes. Sé de una organización en la que más de 80.000 empleados tenían un objetivo de una formación de seguridad, que por razones logísticas y de costos fue entregado por una combinación de vídeo y un ordenador interactivo curso en la que fue evaluada y discutida en su evaluación anual. El asesoramiento Por lo tanto, para examinar su propia estructura organizativa y de revisar la formación de las necesidades de seguridad de cada función dentro de la empresa. Para garantizar la pertinencia, es importante entender el "qué" aspecto de la formación, que se discutirá más adelante.

¿Cómo debería llevarse a cabo la formación?Un ejemplo de cómo llevar a cabo la formación ya se ha dado en la enseñanza a distancia se utilizó de manera eficaz. Los cursos de formación son también muy eficaces, tanto externa como internamente, y en algunos de los más formación técnica es importante para proporcionar práctica en centros de formación. Hay muchos fabricantes específicos de los cursos de formación técnica, y empresas de consultoría se pueden emplear para los cursos organizados en casi todos los aspectos de la seguridad de la información. En algunos casos, los vendedores proporcionan road shows en los que ofrecen formación gratuita en diversos lugares del país, con el fin de desmitificar los aspectos de seguridad de sus productos y, por tanto, ayudar a construir la confianza y la confianza en ellos. Autoayuda formación corre a cargo los numerosos sitios web que ofrecen guías de seguridad, muchos de los cuales serán presentados y vinculados a la página web SAINT en www.intellectuk.org / santo.

Un buen ejemplo de auto-ayuda directrices, escrito en Inglés simple y principalmente para el mercado de las PYME, son las directrices de seguridad Web AEB, que se puede encontrar en www.intellectuk.org/ publicaciones / business_guidance_papers / web_sec_guidelines.pdf. Estas directrices son complementarias a la norma ISO / IEC 17799 y proporcionar un marco para el desarrollo y la aplicación de medidas de seguridad eficaces para gestionar los riesgos de seguridad que podría afectar a un sitio web y los procesos empresariales electrónicos. Otro buen ejemplo es la guía de los EE.UU. National Cyber Security Alliance, que se puede encontrar en www.staysafeonline.info, una vez más ofrecer orientación en un lenguaje sencillo para los ciber-ciudadano y la pequeña empresa. ¿Cómo se gestiona esta formación es otra consideración importante, y un buen vehículo para esto sería dentro de los inversionistas en general en las personas norma de ser adoptado por muchas organizaciones. Más información sobre esta norma de calidad se puede encontrar en www.iipuk.co.uk.

¿Qué capacitación se necesita?

¿Qué estructura de la formación sería la más eficaz en la

a largo plazo?En esta sección se propone una estructura eficaz para la formación de seguridad debe ser uno que se basa en nueve principios descritos en las directrices de la OCDE. Estas directrices establecen que: "Todos los participantes recibirán la ayuda de la conciencia, la educación, el intercambio de información y formación que pueden conducir a la adopción de un mejor entendimiento de la seguridad y las prácticas." Las directrices de la OCDE no están detalladas en este artículo, lo que se recomienda que las siguientes sección, en relación con las directrices (de los nueve principios son claros y concisos, que se describe en tres páginas).

Principio 1 - SensibilizaciónLa necesidad de conciencia de seguridad ya ha sido descrito en detalle en las secciones iniciales de este documento. Las directrices de expansión en la importancia de la conciencia de riesgo como la primera línea de defensa y de las personas la comprensión de las consecuencias derivadas del uso indebido de los sistemas de información y redes. Lloviendo, por tanto, garantizar que las personas en todas las funciones de entender claramente estos riesgos, y lo que necesitan para hacer para mitigarlos.

Principio 2 - ResponsabilidadEsto ha sido tocado antes en términos de la inclusión de la importancia de la seguridad de la información dentro de los objetivos personales de un individuo y la descripción de trabajo. Las normas promueven buenas prácticas de gestión en términos de garantizar que los individuos son conscientes de su responsabilidad y rendición de cuentas. La formación debe ser siempre para ayudar a asegurar que las personas tengan las habilidades y los conocimientos necesarios para poder cumplir con esta responsabilidad.

Principio 3 - RespuestaSe reconoce que los incidentes de seguridad se produce y que es importante responder a ellas de manera cooperativa y oportuna. Esto plantea un punto importante en términos de cooperación, porque lo ideal sería la formación necesidad de informar sobre las desgracias de los demás - es decir, aprender de los errores de los demás. Sin embargo, el intercambio de información se reconoce como difícil debido a la posible pérdida de reputación se derivan de los riesgos de los medios de comunicación simpatizan presentación de informes. La formación debe tratar de incluir el contenido de la información compartida sobre cuestiones delicadas como los incidentes. La introducción de Intercambio de Información y Análisis de Centros (ISACS) en los EE.UU. es un intento de hacer esto (consulte la página https: / / www.it-isac.org) como un ejemplo en el sector de TI.

Principio 4 - La éticaEsto es fundamental para cambiar la cultura en términos de hacer que las personas reconocen que su acción o inacción puede perjudicar a otros. En los EE.UU., seguridad de la información está siendo enseñado en la escuela a fin de cambiar la percepción de que "la piratería es genial". Las organizaciones también están promoviendo códigos de conducta ética y el Instituto de Directores (IOD), en particular, han publicado un código de ética relativas a la seguridad de la información. La formación debe ser proporcionada en los códigos como estos y entregado a todas las personas en una organización. Un buen lugar para comenzar es la formación de inducción.

Principio 5 - DemocraciaEsto a menudo puede darse por sentado en el Reino Unido, pero se aborda la necesidad de seguridad de la información para ser compatible con los valores esenciales de una sociedad democrática. Un aspecto de esto se relaciona con la intimidad y el derecho de un Estado para acceder a información sobre un individuo. Dos piezas de legislación del Reino Unido que se refieren a este aspecto son la Ley de Protección de Datos de 1998 y el Reglamento de la Ley de Facultades Investigadora de 2000. La formación debe ser siempre para ayudar a la gente a entender la legislación pertinente, tanto en términos de sus derechos y lo que es ilegal.

Principio 6 - Evaluación de riesgosLos participantes están invitados a realizar evaluaciones de riesgos en esta sección de las directrices. El riesgo es un término usado por muchos, pero, posiblemente, entendida por pocos. Por ejemplo, ¿cuál es la diferencia entre la evaluación del riesgo y gestión del riesgo, y cómo llevarlas a cabo? La formación debería darse en el riesgo y cómo se relaciona con el papel del individuo en la organización. Yo diría que este es un tema fundamental y que debe ser enseñado en todos los niveles y para todas las funciones dentro de una organización, ya que es un motor hacia una cultura de la seguridad consciente.

Principio 7 - Diseño de seguridad y aplicaciónYo diría que este es uno de los principios más fundamentales de las directrices de la OCDE, donde se afirma que los sistemas, las redes y las políticas deben estar correctamente diseñado, implementado y coordinado para optimizar la seguridad. Creo firmemente que este ofrece una de las mayores oportunidades de mejora por lo que este principio se olvida a menudo - lo demuestra la encuesta de seguridad DTI, que declaró "Sin embargo, sólo el 14 por ciento de las empresas del Reino Unido (32 por ciento de las grandes empresas) siempre documentar cómo los requisitos de seguridad se están abordando en eldiseñar de proyectos de TI y el 25 por ciento (8 por ciento de las grandes empresas nunca) hacer ". Se debe impartir capacitación sobre cómo la seguridad se pueden diseñar en los sistemas de TI y redes, así como en la implementación y mantenimiento de una manera segura. Los proveedores y los usuarios deben enseñar a sus funcionarios cómo hacerlo, y los clientes deben enseñar a sus funcionarios cómo conseguir sistemas y servicios que sean seguros.

Principio 8 - Gestión de la seguridadLas directrices establecen que los participantes deberían adoptar un enfoque global de la gestión de la seguridad. El candidato obvio en que el presente puede basarse en 7799 es el código de BS de la práctica para la gestión de seguridad de la información, que se discute brevemente al principio de este artículo y en otras partes de este artículo. La formación debería impartirse en el contexto de la estructura y el enfoque de la buena información la gestión de la seguridad tal como se describe en la norma BS 7799 parte 1 (ISO / IEC 17799:2000).

Principio 9 - Nueva evaluaciónEsto se refiere a la transición de la etapa 4 a 1 en el ciclo de aprendizaje se ha descrito anteriormente, que nos recuerda que las nuevas y cambiantes amenazas y vulnerabilidades están continuamente se descubren, lo que provocó la necesidad de revisar continuamente las contramedidas adecuadas. Formación de Seguridad debería, por tanto, no se un evento único para cualquier individuo, pero debe ser proporcionado continuamente para satisfacer las necesidades del entorno cambiante. Esto se aplica también a la conciencia de seguridad, ya que es importante que continuamente re-hacer cumplir la necesidad de buena práctica de seguridad. De lo contrario se corre el riesgo de la autocomplacencia, sobre todo si no se producen incidentes de importancia.

Conclusión

---

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "¿Por qué es importante la capacitación en seguridad", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.

---