¿Qué es la Cultura de Seguridad de la Información? [Incluye Test]
Al hablar de cultura no hablamos del conocimiento que posee una persona de su entorno o de la historia. Hablamos de las creencias que tiene un individuo o grupo de ellos. Actuamos como pensamos, no al revés.
Una empresa es lo que su cultura es
Pongamos un ejemplo: si un individuo tiene la idea de convivir con el medio ambiente respetándolo y cuidándolo, si ve a otro que maltrata a los animales, destruye bosques, contamina agua y demás, actuará para evitar que lo siga haciendo. En cambio, si ese mismo individuo no tiene una cultura de respeto a todo lo vivo, al ver que otro no respeta el medio ambiente, no reaccionará, simplemente dejará pasar el evento. Esto es lo que hace la cultura de cada uno de nosotros: interpretar la realidad de acuerdo con nuestros valores y creencias, y en consecuencia reaccionar en función de ellas.
Así que, si se tiene un grupo humano con determinados valores y creencias compartidas, reaccionará a su entorno en función de ellas, por lo tanto, podemos concluir que una empresa es lo que su cultura es.
Los valores de la empresa empiezan con los de la dirección general. Por ejemplo, si el director cree que una empresa está solamente para obtener utilidades, considerará lo demás secundario. Entonces su proceso de venta estará dedicado solamente a vender y todo lo demás, como experiencia de compra, soporte post venta, asesoría al cliente, comprensión cabal de los requerimientos de este y demás actividades, no serán prioritarias y se atenderán con el menor esfuerzo posible, lo único que importa es vender.
Abundan ejemplos de este tipo de empresas: todos hemos pasado por experiencias de compra de algún producto o servicio donde, al surgir un problema posterior, fue muy complicado, si no imposible, tener una respuesta del proveedor para solucionar la situación, porque lo único que le importaba era la facturación, los ingresos.
La excelencia es hacer que algo común sea poco común. Enzo Ferrari |
Por todo lo anterior, la cultura, es decir en lo que realmente cree la empresa, es el factor fundamental que la lleva al éxito o al fracaso. Aspectos como innovación, tecnología o producto único, pueden ser impulsores temporales, pero sin una verdadera cultura de excelencia que no esté presente en cada actividad y valores de todos los colaboradores, finalmente la empresa no permanecerá en el tiempo.
La Cultura de Seguridad de la Información no es la excepción. En la medida que una empresa tenga esta cultura, será mas o menos segura.
Cultura de Seguridad de la Información
La Cultura de Seguridad de la Información en la empresa es el conjunto de creencias, conductas y costumbres que tienen sus miembros sobre el manejo de la información. Es que esté plenamente consciente de que la información que posee de sus clientes y asociados es solamente para mejorar la operación entre ambos y que, por no ser de ella, debe estar plenamente comprometida en resguardarla para evitar que llegue a terceros.
Para que esta cultura esté presente en la empresa, se requiere que desde la dirección general exista el pleno entendimiento de esto, y de que la empresa no puede fallar al compromiso teniendo políticas, procesos y procedimientos incompletos o descuidados que impidan cumplir el objetivo de seguridad. Esto también implicará que cada colaborador esté convencido de que debe cumplir con las políticas, procesos y procedimientos de la organización, no porque pueda ser sancionado, sino porque su propio criterio de excelencia le indica que no debe hacer lo que no quisiera que le hicieran a él y su información.
Ya sea mediante la certificación en ISO 27001 o con algún otro método, lo importante es que la empresa esté genuinamente preocupada por su cliente y la conservación de su información; si sólo busca certificarse para que sus clientes estén tranquilos, se notará tarde o temprano. Constantemente podemos ver ejemplos de empresas certificadas con graves fallas de seguridad, y es precisamente porque no se ha construido sobre la convicción de los colaboradores acerca del cumplimiento de la norma.
¿Tu empresa tiene Cultura de Seguridad de la Información?
Hagamos un diagnóstico rápido de qué tanta Cultura de Seguridad de la Información hay dentro de tu empresa. Con este test rápido identificarás si hay políticas y costumbres positivas o negativas en relación al manejo de la información por parte del personal.
Instrucciones: Lee cada par de afirmación y elige la que sea más similar a la realidad en tu empresa.
|
A
|
B
|
1
|
Se utilizan correos personales.
|
Se utilizan correos institucionales.
|
2
|
Se comparten documentos por mensajería instantánea.
|
Se almacenan y comparten documentos exclusivamente en los medios de comunicación permitidos por la compañía.
|
3
|
Se dejan notas con información importante a la vista de otros.
|
La seguridad de los clientes está a salvo de ser compartida por sus colaboradores.
|
4
|
Se mencionan asuntos del trabajo con familiares y amigos.
|
Se cuenta con contratos de confidencialidad que refuerzan el compromiso de la empresa con la seguridad.
|
5
|
Se accede a páginas web de servicios personales mientras se trabaja.
|
Se limita el uso de servicios personales a través de los dispositivos de la empresa.
|
6
|
Una persona utiliza el usuario de otro o se asignan usuarios “genéricos”
|
Cada persona cuenta con un usuario con los permisos adecuados para sus labores.
|
7
|
Se descargan archivos y programas no autorizados.
|
Se implementan lineamientos y sistemas que evitan la descarga de archivos y programas no autorizados.
|
8
|
Se permite el trabajo y acceso a sistemas y archivos de la empresa desde dispositivos personales.
|
Se utilizan usuarios o equipos exclusivos para el trabajo.
|
9
|
Las redes wi-fi se encuentran desprotegidas contra usuarios no autorizados.
|
Nadie usa la red wi-fi sin autorización.
|
10
|
Se almacena la información en muchos lugares y sin estructura ni control. Es decir, no está definido dónde debe ir la información, no se sabe dónde está la información o incluso no se sabe si la información está en otros lugares.
|
Se cuenta con un sistema organizado para el almacenamiento, gestión y acceso a la información.
|
11
|
Se utilizan dispositivos de almacenamiento (USB) extraíbles sin control alguno.
|
Se controla el uso de dispositivos de almacenamiento (USB) extraíbles.
|
12
|
Los clientes sufren de problemas de pérdida de información.
|
Los clientes saben que la información está bien resguardada.
|
13
|
Se puede acceder libremente a programas, documentos y cuentas de usuarios.
|
Cada persona cuenta con un usuario con los permisos adecuados para sus labores.
|
14
|
Se utilizan contraseñas inseguras (o simplemente no se utilizan contraseñas).
|
Se utilizan contraseñas seguras y en cada punto de control.
|
15
|
No están preparados para un incidente de seguridad.
|
Cuentan con un plan de acción en caso de que surja un incidente de seguridad.
|
Contabiliza tus resultados¿Cuántas afirmaciones de la columna B elegiste? 15-10 Buena Cultura de Seguridad, ¡va por buen camino! 9-5 Nociones de Cultura de Seguridad, existe área de oportunidad. 0-4 ¡Atención! Tu información y la de tus clientes puede estar en serio peligro. |
También puede interesarte este recurso gratuito: