Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CULTURA
EN SEGURIDAD
ÍNDICE
1- INTRODUCCIÓN.....................................................................................02
2- ¿CÓMO ESTABLECER UNA CULTURA DE SEGURIDAD
EN LA EMPRESA?........................................................................................03
2.1. REALIZAR ACCIONES DE FORMACIÓN EN SEGURIDAD PARA EMPLEADOS....... 04
2.1.1. Personal técnico................................................................................................. 05
2.1.2. Usuarios finales.................................................................................................. 07
2.2. ESTABLECER POLÍTICAS, NORMATIVAS Y PROCEDIMIENTOS DE SEGURIDAD.. 09
2.3. SUPERVISAR QUE SE CUMPLEN LAS BUENAS PRÁCTICAS EN SEGURIDAD........ 11
2.4. REALIZAR ACCIONES DE SENSIBILIZACIÓN Y CONCIENCIACIÓN EN
SEGURIDAD PARA EMPLEADOS........................................................................................ 13
3- REFERENCIAS.........................................................................................18
ÍNDICE DE FIGURAS
Ilustración 1: ¿Qué hacer para establecer una cultura de seguridad en la empresa?..... 03
Ilustración 2: Formación para personal técnico................................................................ 05
Ilustración 3: Formación para usuarios............................................................................. 08
Ilustración 4: Documentos de seguridad por niveles en la organización...................... 10
1
Desarrollar cultura en seguridad
1. INTRODUCCIÓN
2
Desarrollar cultura en seguridad
2. ¿CÓMO ESTABLECER UNA CULTURA
DE SEGURIDAD EN LA EMPRESA?
Ilustración 1
¿Qué hacer para establecer
una cultura de seguridad en la empresa?
3
Desarrollar cultura en seguridad
2.1. REALIZAR ACCIONES DE FORMACIÓN
EN SEGURIDAD PARA EMPLEADOS
4
Desarrollar cultura en seguridad
2.1.1. PERSONAL TÉCNICO
Ilustración 2
Formación para personal técnico.
5
Desarrollar cultura en seguridad
Además, la vertiginosa evolución de la tec-
nología exige que nuestro personal técnico
deba estar en un continuo proceso de for-
mación, sobre todo si nuestra organización
tiene una alta dependencia de la tecnología.
No sólo eso, sino que en muchos casos este
personal se convierte, a falta de un provee-
dor de servicios especializado, en asesor de
los usuarios finales de la organización en el
uso de la tecnología y sus necesidades de
seguridad, incluyendo por ejemplo el uso
de herramientas para gestionar informa-
ción en la nube [2].
6
Desarrollar cultura en seguridad
2.1.2. USUARIOS FINALES
7
Desarrollar cultura en seguridad
En definitiva, todo el personal
de la organización con acceso
Bla APRENDER A RECONOCER UN ATAQUE DE a los sistemas de información
INGENIERÍA SOCIAL Y A EVITARLO, DE corporativos debe recibir for-
FORMA QUE SE GARANTICE QUE NO
PROPORCIONAN INFORMACIÓN mación relacionada con bue-
CORPORATIVA A PERSONAS NO
AUTORIZADAS. nas prácticas en materia de
seguridad en su puesto de tra-
bajo y en el desempeño de sus
funciones.
PROTEGER ADECUADAMENTE SU PUESTO DE
TRABAJO, EN RELACIÓN CON EL ANTIVIRUS,
ACTUALIZACIONES, CORREO ELECTRÓNICO,
ETC.
Ilustración 3
Formación para usuarios.
8
Desarrollar cultura en seguridad
2.2. ESTABLECER POLÍTICAS, NORMATIVAS
Y PROCEDIMIENTOS DE SEGURIDAD
9
Desarrollar cultura en seguridad
en materia de seguridad que contemple la y objetivos que la organización marca en
filosofía y cultura de la empresa, de mane- cuanto a Seguridad de la Información y
ra consensuada con los distintos departa- cuyo propósito es declarar formalmente
mentos de la organización. que la seguridad es una parte fundamental
de la cultura de nuestra empresa. Por este
motivo, los procedimientos y las normati-
vas que definamos deben ser formalmente
aprobados por la Dirección de la empresa,
ya que rigen el funcionamiento de la orga-
nización y aplican a todos los departamen-
S
ICA tos y usuarios sin distinción.
LÍT
PO
01 S
Es muy importante que una vez aprobadas
de manera formal las normativas de uso de
R MA
NO los recursos corporativos las comunique-
02 IEN
TO
S
mos también a los empleados. De nada sir-
IM ve que se redacten y se aprueben si no son
C ED
RO conocidas por sus destinatarios, pues no se
03
P
conseguirá ni la concienciación de los em-
S
O NE pleados ni la implantación de las normativas.
CI
R UC S
ST A
IN CNIC De hecho, es recomendable su entrega a
04
T É
los empleados y que la empresa disponga
de una evidencia de que esa entrega se ha
producido. Para ello existen diversas fór-
mulas: desde la entrega de la normativa en
soporte papel con acuse de recibo cuan-
Ilustración 4
Documentos de seguridad por niveles en la
do el empleado se incorpora a la empre-
organización. sa, hasta que se proporcione el acceso a la
parte de la Intranet corporativa en la que
Dichas normas y procedimientos deben reside la normativa y que el empleado ten-
formar parte de la Política de Seguridad ga que marcar una casilla declarando co-
definida por nuestra empresa. Éste es un nocer y aceptar el contenido de la misma.
documento que recoge las intenciones
10
Desarrollar cultura en seguridad
2.3. SUPERVISAR QUE SE CUMPLEN LAS
BUENAS PRÁCTICAS EN SEGURIDAD
11
Desarrollar cultura en seguridad
nitorización, es necesario haber informa- se les proporcione un enlace al repositorio
do previamente y de una manera clara a los en el que se puede consultar.
empleados de su existencia y finalidad.
Habitualmente, el conocimiento por parte
En relación con el control del uso del co- de los empleados de la existencia de siste-
rreo electrónico, debemos tener en cuenta mas de monitorización o de un régimen
que la situación es más delicada, dado que sancionador asociado al incumplimien-
habitualmente los empleados dan al correo to de las normas tiene un efecto disuaso-
corporativo un uso mixto profesional/priva- rio, que también debe formar parte de la
do. Esta situación puede provocar un con- cultura de la seguridad.
flicto entre el derecho al control del uso de
los recursos corporativos que el Estatuto de
los Trabajadores otorga a las empresas y el
derecho a la privacidad de los empleados.
12
Desarrollar cultura en seguridad
2.4. REALIZAR ACCIONES DE SENSIBILIZACIÓN Y
CONCIENCIACIÓN EN SEGURIDAD PARA EMPLEADOS
Sea cual sea nuestro negocio, es importan- fundamental de este proceso, el fraca-
te que la cultura de la seguridad sea una de so está garantizado, ya que ellos son los
las bases de la filosofía de la empresa. Por grandes protagonistas de esta historia. No
este motivo, es fundamental que la Direc- sólo porque son los encargados de cum-
ción se asegure de la implicación de todos plir las normas y los procedimientos, sino
los empleados. Éstos deben ser conscien- porque también son parte fundamental en
tes de la importancia que tiene la informa- el mecanismo interno de revisión y mejora
ción que manejan, tanto la propia como la proactiva del nivel de seguridad.
de los terceros con los que hacen negocios
En algunos casos los empleados no necesi-
(clientes, proveedores,…). Para conseguir
tan «formación en seguridad» en el sentido
esta implicación, es necesario emprender
tradicional, sino «información sobre segu-
acciones de sensibilización y conciencia-
ridad». Se trata sobre todo de informar a
ción, necesarias para el mantenimiento de
los empleados de cómo aplicar ciertos as-
los niveles de seguridad adecuados.
pectos relacionados con la seguridad en
Si los empleados no se consideran parte el desempeño cotidiano de sus funciones.
13
Desarrollar cultura en seguridad
Nuestro objetivo debe ser concienciar-
les sobre el papel que juegan en el man-
tenimiento de la seguridad de la infor-
mación de la empresa.
14
Desarrollar cultura en seguridad
de un correo electrónico suplantando a un ►► Prácticas de navegación segura.
remitente legítimo y conocido con un docu-
►► Identificación de virus y malware.
mento anexo que contiene un malware.
►► Gestión de contraseñas.
Es necesario que los empleados conozcan
los riesgos a los que están expuestos, para ►► Clasificación de la información.
que sepan reaccionar correctamente ante
►► Borrado seguro de la información.
posibles situaciones similares. Si no cono-
cen estas amenazas, no podrán identificar- ►► Uso de dispositivos USB.
las ni protegerse frente a ellas.
►► Seguridad en dispositivos móviles.
A continuación se citan algunos temas sobre
►► Uso de programas de mensajería ins-
los que hay que concienciar a los empleados:
tantánea.
►► Uso seguro de redes wifi.
►► Riesgos de las redes sociales.
►► Uso seguro del correo electrónico.
►► Técnicas de ingeniería social.
15
Desarrollar cultura en seguridad
Los temas a tratar no sólo están relaciona- enfrentar en el día a día de su trabajo, lo
dos con el uso de la tecnología, sino que que permitirá que se sienta identificado y
abarcan otros ámbitos: que se involucre de manera más activa. Las
acciones deben presentar tanto las ame-
►► Mesas limpias.
nazas, para su identificación por parte del
►► Destrucción segura de la documenta- empleado, como las medidas de seguridad
ción en soporte papel. y pasos a dar para evitarlas y protegerse en
cada caso. También puede ser interesante
►► Posibles escenarios de fuga de infor-
distribuir posters, trípticos u otros materia-
mación.
les recordando los principales consejos de
El objetivo es que el empleado adopte seguridad.
una serie de hábitos personales «salu-
En algunos casos, y en función del tama-
dables» en materia de seguridad tanto
ño de la organización, se pueden definir
a nivel personal como profesional, lo que
acciones de concienciación paralelas que
redundará también en la mejora del nivel
centren su enfoque en aquellos emplea-
de seguridad de la empresa.
dos con mayor acceso a información de
Si la formación se plantea como un trámi- carácter sensible: el personal directivo
te a cumplir, el empleado también lo vive de la compañía.
igual; se limita a asistir a la charla, sin que
En el caso particular del personal directivo
la acción formativa tenga ninguna repercu-
es necesario que las acciones se centren
sión en sus hábitos. Es necesario dar al plan
en un enfoque personalizado, teniendo en
de concienciación la importancia que mere-
cuenta su problemática, su entorno de tra-
ce, y diseñar acciones formativas adaptadas
bajo, sus usuarios de confianza y los ries-
y enfocadas a la realidad de la organización.
gos específicos asociados. Además, dichas
A la hora de abordar las acciones de con- acciones no deben reducir su alcance al en-
cienciación y sensibilización de los em- torno corporativo, sino que deben adaptar-
pleados es recomendable evitar técnicas se a las características inherentes del traba-
de formación «tradicionales» (como sí se jo del directivo, con propuestas y medidas
usan en las acciones descritas en el apar- de seguridad para éste y todo su entorno.
tado de Formación) y centrar estas accio-
nes en la revisión de casos prácticos que
representen riesgos [6] a los que se pueda
16
Desarrollar cultura en seguridad
La concienciación incrementa el nivel de se-
guridad de la organización. Si incrementamos
la seguridad corporativa mejoramos nuestra
imagen como empresa ante nuestros clien-
tes. Indudablemente estos aspectos inciden
positivamente en los procesos de negocio
de la empresa. Por tanto, CONCIENCIAR
EN SEGURIDAD DE LA INFORMACIÓN ES
RENTABLE PARA LA EMPRESA.
17
Desarrollar cultura en seguridad
3. REFERENCIAS
[Ref - 1]. INCIBE, Ganar en competitividad cumpliendo el RGPD: una guía de aproxi-
mación para el empresario - https://www.incibe.es/sites/default/files/contenidos/guias/doc/
guia-ganar-competitividad-cumpliendo-rgpd-metad.pdf
[Ref - 2]. INCIBE. Cloud computing: una guía de aproximación para el empresario -
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia-cloud-computing_0.pdf
[Ref - 4]. BOE, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Per-
sonales y garantía de los derechos digitales - https://www.boe.es/buscar/act.php?id=-
BOE-A-2018-16673&p=20181206&tn=1#a8-9
[Ref - 5]. INCIBE, Dispositivos móviles personales para uso profesional (BYOD): una
guía de aproximación para el empresario - https://www.incibe.es/sites/default/files/con-
tenidos/guias/doc/guia_dispositivos_moviles_metad.pdf
18
Desarrollar cultura en seguridad