Programa de culturización en seguridad de la información en TIGO Costa Rica.

Abstract

El constante crecimiento y los cambios rápidos de las tecnologías de la información, el acatamiento obligatorio a los requerimientos legislativos y leyes en temas relacionadas con la protección de los datos de clientes, del negocio y financieros, etc. Mantiene gran presión a las empresas de hoy en día. Se requiere mejorar aspectos relacionados con la gestión de la información, así como los conocimientos sobre las formas de implementar ambientes de protección ante las amenazas y vulnerabilidades que el ciberespacio expone en la actualidad. Las implementaciones de herramientas colaborativas en seguridad tecnológica como hardware, software y aún más, implementar mecanismos de control que apoyen al garantizar una adecuada administración y “Seguridad de la Información”. Esto sin importar el giro del negocio (público, privado, u otro). Este enorme crecimiento origina cada vez sistemas de protección tecnológica más complejos de administrar. Por consiguiente, existe un desmedido aumento en la exposición a los riesgos y amenazas a los que se enfrenta una organización, en conjunto con sus colaboradores y administradores. Las vulnerabilidades pueden tener una cantidad innumerable de factores que las ocasionan. De igual forma, soluciones para mitigar o bien disminuir la probabilidad de materialización de estos riesgos y que una persona con intenciones desconocidas, tome provecho de las mismas. Uno de los principales actores que está expuesto o bien que propicia vulnerabilidades, lo representa el personal que colabora en la obtención de las metas y objetivos de las organizaciones. Este en reiteradas ocasiones es señalado como “El eslabón más débil en la cadena de la seguridad”. Ellos por múltiples situaciones puede ser el causante de incrementar las amenazas y vulnerabilidades, además de aumentar los riesgos en las organizaciones. Muchas veces esto se debe principalmente a la falta de conocimiento en el manejo adecuado de la información que genera, o bien manipula día a día, en su posición de trabajo. En el presente trabajo, se mencionan algunas de las principales organizaciones, estándares y normas a nivel internacional que desarrollan guías, controles para la elaboración de programas y/o planes de concientización y entrenamiento para la difusión de la “Seguridad de la Información” empresarial. Asimismo, se pretende identificar cómo se debe inscribir un programa de un esquema de gestión de la “Seguridad de la Información”. Ya que la conciencia del riesgo y los métodos de defensa disponibles son la primera línea de defensa para la “Seguridad de la Información” y los sistemas conectados a nuestra red. Un programa de entrenamiento debe facilitar consejos prácticos sobre cómo formar conciencia sobre la “Seguridad de la Información” en los diferentes grupos receptores, especialmente en los colaboradores y usuarios de las diferentes tecnologías del negocio. Así cómo mejorar la conciencia de “Seguridad de la Información” al ilustrar los procedimientos necesarios para planificar, organizar y ejecutar iniciativas de sensibilización sobre la “Seguridad de la Información”. Para ello se dividirá el programa en etapas de planificación y evaluación; ejecución y administración: evaluación y ajuste.