La preparación del capital humano como sustento en la estrategia de seguridad de una entidad.

A lo largo del tiempo es persistente en las concepciones de las personas que se apoyan en las TIC para el desempeño de sus funciones, la idea de que no están obligados a prepararse en la operatoria de estas tecnologías porque no son “informáticos”.

Esta concepción demuestra con claridad la gran debilidad que impera en los sistemas informáticos en la actualidad como resultado de las limitaciones formativas y las malas prácticas en el capital humano.

Los estudios que se han desarrollado a nivel internacional para lograr el establecimiento de estrategias de seguridad robustas en torno a las TIC para las organizaciones, plantean la necesidad de cumplir con la lógica siguiente:

1. Realización de la evaluación de riesgos.

2. Establecimiento de políticas y procedimientos de seguridad.

3. Concientización y formación personal.

4. Gestión de identidades y accesos.

5. Protección de datos.

6. Seguridad en la red.

7. Gestión de incidentes.

8. Cumplimiento de las normas jurídicas, regulaciones y estándares.

9. Monitoreo y análisis continuo.

10. Evaluación y mejora continua.

Al profundizar en el tema que da título a este trabajo es importante reafirman que la preparación y concientización del personal, es un sustento vital para la seguridad del sistema informático porque está presente en todos los procesos para la creación de la estrategia. 

La evaluación de riesgos se enfoca determinar la probabilidad de que se hagan realidad las amenazas y vulnerabilidades. Ya en ocasiones anteriores se ha explicado en este espacio, cómo el capital humano engendra riesgos para los sistemas informáticos, en especial, como consecuencia de las limitaciones formativas.

Dentro de la estrategia de seguridad las políticas y procedimientos contenidos en el plan de seguridad de las TIC son esenciales. Su desconocimiento implica afectaciones y riesgos para el sistema informático como consecuencia del incumplimiento de las directrices trazadas por la entidad para su seguridad.

Desconocer como promover la confidencialidad, la integridad y la disponibilidad por el capital humano ponen en peligro la información y los datos porque estas limitaciones pueden provocar la filtración de datos al no seguir protocolos seguros de manejo de los mismos. También se pueden producir modificaciones no autorizadas o errores que comprometen los resultados por la mala gestión o la posibilidad de intrusiones a partir de malas prácticas a partir de vulnerabilidades.

La ciberseguridad en los aspectos relacionados con la gestión de identidades y accesos y la seguridad en la red se ven influidos de manera notoria por la actividad humana al estar sustentados en la identificación, autenticación y autorización de usuarios en el sistema.

El manejo de las credenciales de usuarios de forma segura es esencial para mantener niveles de seguridad adecuados en los sistemas informáticos, pues como se ha dicho estos forma parte del escudo de protección.

En la UO este aspecto se ha convertido en una debilidad por las limitaciones de conocimientos de muchos usuarios que de manera habitual caen en las trampas del phishing y la ingeniería social, que son prácticas habituales de los ciberdelincuentes.

La gestión de incidentes y el papel del capital humano fue objeto de varias entradas en este blog recientemente, por lo que no se profundizará en la temática.

En días recientes, se ha producido una explosión en el número de incidentes que son resultante del desconocimientos de las normas jurídicas, las regulaciones institucionales y la carencia de buenas prácticas en el manejo de las TIC.

El tema del uso de las VPN gratuitas (vínculos a entrada anterior) es un ejemplo de ello, se desconoce el reglamento de seguridad informática de la República de Cuba (resolución 128/2019) en torno a la trazabilidad de las operaciones con TIC.

La esfera del monitoreo, la evaluación y las mejoras son un tema que no puede cesar nunca. Casi a diario los especialistas de las Dirección de Informatización de la UO ante las prácticas inadecuadas de los usuarios se ven obligados a crear reglas cada vez más restrictivas que inciden en un menor rendimiento y operatividad del sistema informático que se protege. Un ejemplo clásico de esto, son las malas prácticas en el uso de las plataformas educativas en línea, que además de violar la ley, denotan debilidades en el orden ético moral.

Como se aprecia, en todos los casos, se justifica el ideal de mantener un proceso de concientización y formación del capital humano como parte de la estrategia de seguridad institucional.

Desde la dirección de la UO existe el interés de mantener un flujo informativo en función de la capacitación en las mejores prácticas para el manejo seguro de las TIC. Se pueden desarrollar, de manera continua, múltiples acciones para mantener seguro el sistema informático, a pesar de las limitaciones que se imponen al país para el uso de software especializado que requieren costosas licencias, que son inaccesibles por las leyes del bloqueo.

Pero, cualquier esfuerzo que se realice en torno a estos temas, serán estériles si no se cuenta con la voluntad de aprender sobre el tema por parte de estudiantes y trabajadores de la institución. Por eso, se afirma que la formación sobre el manejo de las TIC por todos es un imperativo. La seguridad del sistema informático de la UO y en el manejo de las TIC es un problema de todos.

Imágenes Relacionadas:

Esta entrada fue publicada en amenazas, análisis de riesgos, Buenas Prácticas, Ciberseguridad, CiberViernes, claves de acceso, competencia informática, contraseñas, Educación de Usuarios, hackers, Incidentes, Legislación sobre Ciberseguridad, medidas y procedimientos de seguridad informática, percepción de riesgo, phishing, piratas informáticos, Plan de Seguridad de las TIC, políticas de seguridad informática, prevención, Saberes en TIC, suplantación de identidad, trazabilidad, VPN, vulnerabilidades, webproxy. Guarda el enlace permanente.

Deja una respuesta