Professional Documents
Culture Documents
Pgina 2 de 69
Junio de 2006
Pgina 3 de 69
Aviso jurdico
Emitido por la Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA).
La informacin que figura en el presente documento ha sido recopilada por el personal de la ENISA y se basa en informacin de dominio pblico o facilitada a la Agencia por las organizaciones pertinentes de los Estados miembros de la Unin Europea. El contenido del presente documento puede no corresponderse con la situacin ms actual de la tcnica y podra actualizarse cada cierto tiempo.
ENISA y las personas que actan en su nombre no son responsables del uso que pueda darse a la informacin incluida en esta publicacin. La Agencia no asume responsabilidad alguna por el contenido de los sitios web ajenos a ella mencionados en la presente publicacin.
El presente documento slo podr reproducirse en los medios de informacin cuando se disponga de una autorizacin escrita y siempre que se mencione la fuente de que procede.
Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA), 2006 Reservados todos los derechos.
Pgina 4 de 69
ndice
NDICE ...................................................................................................................................................4 RESUMEN ..............................................................................................................................................6 INTRODUCCIN..................................................................................................................................8 MBITO DE APLICACIN ....................................................................................................................... 8 OBJETIVOS............................................................................................................................................ 9 PBLICOS DESTINATARIOS ................................................................................................................... 9 ACERCA DE ENISA ............................................................................................................................ 12 PERSONA DE CONTACTO ..................................................................................................................... 12 ESTRATEGIA GLOBAL PARA LA REALIZACIN DE INICIATIVAS Y PROGRAMAS DE SENSIBILIZACIN ............................................................................................................................13 FASE I PLANIFICACIN Y VALORACIN............................................................................................ 15 FASE I PLANIFICACIN Y VALORACIN............................................................................................ 16 Crear el equipo inicial encargado del programa .........................................................................17 Adoptar un enfoque de gestin del cambio ...................................................................................17 Obtener el apoyo de la direccin y la financiacin necesaria......................................................17
Anlisis coste / beneficio .......................................................................................................................... 18 Determinar cules sern las ventajas del programa ................................................................................ 19
Seleccionar el personal y los materiales necesarios para el programa........................................20 Evaluar las soluciones potenciales ...............................................................................................21 Seleccionar una solucin y contratar ...........................................................................................23 Preparar el plan de trabajo ..........................................................................................................23 Definir las metas y los objetivos ...................................................................................................23 Definir los grupos destinatarios ...................................................................................................25 Desarrollar el programa y las listas de tareas .............................................................................25 Definir el concepto de las comunicaciones...................................................................................26
Eficacia de la comunicacin .................................................................................................................... 26 Canales de comunicacin ........................................................................................................................ 29 Gua para la planificacin de las comunicaciones .................................................................................. 32
Establecer un punto de partida para la evaluacin ......................................................................41 Documentar las conclusiones sacadas..........................................................................................41
Una excelente oportunidad para los comentarios y el crecimiento.......................................................... 42 Consejos para realizar sesiones de comentarios constructivos ............................................................... 43
FASE II EJECUCIN Y GESTIN ......................................................................................................... 45 FASE II EJECUCIN Y GESTIN ......................................................................................................... 46 Confirmar el equipo encargado del programa .............................................................................47 Examinar el plan de trabajo .........................................................................................................47 Poner en marcha y aplicar el programa.......................................................................................47 Transmitir las comunicaciones .....................................................................................................47 Documentar las conclusiones sacadas..........................................................................................47 FASE III EVALUACIN Y MODIFICACIN .......................................................................................... 48 FASE III EVALUACIN Y MODIFICACIN .......................................................................................... 49 Realizar evaluaciones ...................................................................................................................50 Incorporar los comentarios sobre la comunicacin .....................................................................50 Revisar los objetivos del programa ..............................................................................................50 Aplicar las conclusiones sacadas .................................................................................................50 Modificar el programa en caso necesario ....................................................................................50 Poner de nuevo en marcha el programa.......................................................................................50 OBSTCULOS QUE DIFICULTAN EL XITO.............................................................................51 ASPECTOS GENERALES ....................................................................................................................... 51 OBSTCULOS ESPECFICOS PARA LAS PYME ..................................................................................... 54 FACTORES DECISIVOS PARA EL XITO ...................................................................................55 CONCLUSIN.....................................................................................................................................56
Pgina 5 de 69
BIBLIOGRAFA ..................................................................................................................................57 ANEXOS PLANTILLAS Y EJEMPLOS........................................................................................59 ANEXOS PLANTILLAS Y EJEMPLOS........................................................................................60 ANEXO I EJEMPLO DE INVITACIN DE PRESENTACIN DE PROPUESTAS ........................................... 60 ANEXO II PLANTILLA DE INFORME SEMANAL DE SITUACIN ........................................................... 62 ANEXO III EJEMPLO DE PLAN DE TRABAJO ...................................................................................... 63 ANEXO IV PLANTILLA PARA EL REGISTRO DE INFORMACIN SOBRE LOS GRUPOS DESTINATARIOS .................................................................................................................................. 65 ANEXO V EJEMPLO DE CUESTIONARIO SOBRE SENSIBILIZACIN PARA USO DE LAS AUTORIDADES PBLICAS .................................................................................................................... 66 ANEXO VI PLANTILLA DE FORMULARIO PARA EL REGISTRO DE CONCLUSIONES SACADAS .............. 68
Pgina 6 de 69
Resumen
Conocer los riesgos a los que los sistemas y las redes de informacin estn expuestos y los medios de proteccin de que se dispone para defenderlos constituye el primer paso en la proteccin de los mismos. La presente Gua ofrece a los Estados miembros algunos consejos prcticos para poner en marcha iniciativas de sensibilizacin sobre la seguridad de la informacin dirigidas a diferentes grupos, en particular los usuarios particulares y las PYME. Este documento va dirigido a los Estados miembros de la Unin Europea, para que lo utilicen cuando lleven a cabo programas e iniciativas de sensibilizacin.
La presente publicacin, titulada Gua del usuario: elaborar programas de sensibilizacin sobre la seguridad de la informacin ilustra los principales procesos para planificar, organizar y poner en prctica iniciativas destinadas a sensibilizar al pblico sobre la seguridad de la informacin: planificacin y valoracin, ejecucin y gestin, evaluacin y modificacin. Se analiza cada uno de estos procesos y se identifican cronolgicamente las actuaciones y dependencias. El modelo de proceso que se presenta constituye una base para la definicin inicial del mbito de actuacin y la planificacin de actividades, as como para la ejecucin y evaluacin de los programas. Esta gua pretende transmitir a sus usuarios una idea coherente y slida de los procesos y las actividades principales.
La fase de planificacin y valoracin se considera decisiva para el xito de todo programa. En ella se identifican y se describen a los usuarios las principales actividades. En la Gua se hace hincapi, en particular, en la importancia de definir las metas y los objetivos de las iniciativas, de determinar quines sern los grupos destinatarios, de desarrollar un plan de comunicaciones y de medir el xito de los programas de sensibilizacin. Adems, se resalta la importancia que reviste adoptar un enfoque de gestin del cambio en las iniciativas de sensibilizacin, dado que dicho enfoque contribuye a reducir la diferencia existente entre un problema determinado y las respuestas humanas a la necesidad de cambio.
Con objeto de ayudar a los usuarios en las distintas fases de las campaas de sensibilizacin se incluyen plantillas y ejemplos de las herramientas propuestas, entre las que cabe mencionar una plantilla para las conclusiones sacadas, un ejemplo de plan de trabajo y un formulario de recopilacin de datos de los grupos destinatarios.
En la Gua se mencionan, asimismo, los obstculos que dificultan el xito y se ofrecen consejos prcticos para superarlos durante las fases de planificacin y aplicacin de los programas, y se describen los principales factores de xito de toda iniciativa en materia de seguridad de la informacin. Por ejemplo, antes de aplicar (o modificar) un programa de sensibilizacin, conviene definir una lnea de referencia teniendo en cuenta el estado actual; por otra parte, la publicidad es un elemento esencial de toda campaa de sensibilizacin, ya que multiplica sus efectos al aumentar el nmero de personas que reciben el mensaje.
Pgina 7 de 69
ENISA espera que esta Gua proporcione a los Estados miembros un instrumento til para preparar y aplicar iniciativas y programas de sensibilizacin. La seguridad de la informacin es, por su propia naturaleza, un enorme reto, y la sensibilizacin de sectores de pblico seleccionados constituye un primer paso importante para superarlo.
Pgina 8 de 69
Introduccin
En la era digital en la que hoy vivimos y trabajamos, las tecnologas de la informacin y de las comunicaciones (TIC) resultan sumamente tiles en las tareas cotidianas de las personas y las empresas. Al mismo tiempo, son cada vez ms las personas y las empresas que corren el riesgo de sufrir violaciones de la seguridad de su informacin. Esto se debe a los puntos vulnerables de estas tecnologas, tanto de las que ya existen como de las emergentes, as como a la convergencia, el uso cada vez ms generalizado de conexiones permanentes y el crecimiento constante y exponencial del nmero de usuarios en los Estados miembros. Estas violaciones de la seguridad pueden ser de carcter informtico, por ejemplo, causadas por virus informticos, o bien pueden tener una motivacin social, por ejemplo, debido al robo de equipos. En una poca que depende tanto de la informacin digital los peligros van en aumento. Sin embargo, un gran nmero de personas desconoce los riesgos a los que est expuesta su seguridad.
Debido al avance y la proliferacin de estos peligros, las actuales soluciones para la seguridad de la informacin pronto se quedarn obsoletas. La situacin de la seguridad sufre constantes cambios. La mayora de los analistas sealan que el eslabn ms dbil de todo sistema de seguridad de la informacin es el elemento humano. En este caso, nicamente un gran cambio en la percepcin y la cultura organizativa de los usuarios podr reducir realmente el nmero de violaciones de la seguridad de la informacin.
En todo el territorio europeo existe una gran laguna en relacin con la sensibilizacin sobre la seguridad de la informacin. Por ejemplo, los usuarios privados de muchos Estados miembros no saben que sus ordenadores personales pueden ser controlados sin su conocimiento mediante los intentos de usurpacin de la identidad electrnica que realizan los piratas informticos (hackers) o como parte de una red destinada a lanzar un ataque de negativa de servicio (DoS).
La Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA) asesora y presta asistencia a los Estados miembros para que comprendan mejor la importancia de la sensibilizacin y contribuyan a difundir una utilizacin segura y responsable de las TIC.
mbito de aplicacin
Dado que la ENISA considera que el conocimiento de los riesgos y los medios de proteccin disponibles es la primera lnea de defensa para la seguridad de los sistemas y las redes de informacin, la finalidad de la presente gua es ofrecer consejos prcticos a los Estados miembros para que preparen y apliquen iniciativas de sensibilizacin sobre la seguridad de la informacin. En la informacin aqu presentada se incluyen consejos paso a paso para sentar las bases de una campaa de sensibilizacin eficaz y selectiva.
Pgina 9 de 69
Esta Gua se basa en los estudios y anlisis consultados por el personal de la ENISA y en la informacin de dominio pblico o facilitada a la Agencia por las organizaciones pertinentes de los Estados miembros. La Gua est pensada para que los Estados miembros de la Unin Europea la utilicen cuando lleven a cabo campaas de sensibilizacin.
Objetivos
Con el presente documento, la ENISA persigue los siguientes objetivos: Presentar un modelo de estrategia para planificar, organizar y ejecutar una iniciativa de sensibilizacin sobre la seguridad de la informacin. Resaltar los riesgos potenciales que plantean las iniciativas de sensibilizacin con el fin de evitar dichos riesgos en programas futuros. Presentar un marco para evaluar la eficacia de un programa de sensibilizacin. Ofrecer un marco de comunicacin. Presentar plantillas y herramientas informticas que sirvan de punto de partida para el equipo encargado de las iniciativas de sensibilizacin. Contribuir a desarrollar una cultura de seguridad de la informacin en los Estados miembros animando a los usuarios a actuar de forma responsable y a operar con ms seguridad.
Pblicos destinatarios
En la presente Gua se mencionan grupos destinatarios para los que pueden organizarse iniciativas de sensibilizacin, a saber: los usuarios privados y las pequeas y medianas empresas (PYME).
Usuarios privados: ciudadanos de edad y conocimientos tcnicos variables que utilizan las TIC con fines privados fuera de su entorno de trabajo. Este grupo puede dividirse a su vez en tres categoras:
Pgina 10 de 69
Jvenes: este grupo de personas, generalmente de edades comprendidas entre los 7 y los 15 aos de edad, ha crecido en un entorno dominado por las TIC, y su nivel de conocimientos depende en gran parte del estado de las infraestructuras existentes en cada uno de los Estados miembros. Estas personas merecen confianza debido a su juventud, tienen una gran capacidad de aprendizaje y experimentan a menudo con las tecnologas.
Adultos: este grupo de personas, nacidas despus de la dcada de los cincuenta y mayores de 16 aos, ha crecido en parte en un entorno dominado por las TIC y, en comparacin con otros grupos, presenta la gama ms diversa de competencias y conocimientos en materia de TIC, desde un desconocimiento absoluto hasta un nivel muy avanzado. Estas personas pueden tener hijos o no y ejercen diversos tipos de profesiones.
Internautas de oro: personas nacidas en la dcada de los cincuenta o antes que han crecido en un entorno en el que no existan las TIC. Su nivel de conocimientos es bajo o inexistente y, si bien generalmente carecen de una orientacin tcnica, dicha orientacin puede ser de servicio (por ejemplo, uso de servicios electrnicos mviles). Dado que no han crecido con las TIC, pueden mostrarse ms reticentes a aceptar las tecnologas o desconfan de ellas.
PYME: empresarios y empleados de microempresas y pequeas o medianas empresas. Segn la definicin de la Comisin Europea, las medianas empresas son aquellas que tienen menos de 250 empleados, las pequeas son las que tienen menos de 50 empleados y las microempresas son las que tienen menos de 10 empleados 1 . La clasificacin por tamao de las empresas difiere entre un Estado miembro y otro. Este grupo destinatario reviste una gran importancia, ya que representa un 99% del total de las empresas de la Unin Europea y da
Recomendacin 2003/361/CE, DO L 124 de 20.5.2003, p. 36. Para obtener ms informacin sobre la definicin de PYME, vase http://europa.eu.int/comm/enterprise/enterprise_policy/sme_definition/index_en.htm
1
Pgina 11 de 69
trabajo a ms de 65 millones de personas. Este grupo de usuarios puede dividirse a su vez en tres categoras, cada una de las cuales se divide en cuatro subcategoras.
Subcategora
Categora
Grupo Destinatario
Microempresa: es una empresa que tiene menos de 10 empleados y un volumen de ventas o un balance anual inferior a 2 millones de euros. Por regla general, estas empresas no tienen expertos informticos o en seguridad internos. Su nmero vara entre un Estado miembro y otro; por ejemplo, en el Reino Unido las microempresas suelen estar constituidas por menos de cinco personas.
Pequea empresa: es una empresa que tiene menos de 50 empleados y un volumen de ventas o un balance anual inferior a 10 millones de euros. La definicin de pequea empresa vara igualmente entre un Estado miembro y otro. Una pequea empresa puede o no tener un experto en informtica y es poco probable que cuente con un experto en seguridad.
Mediana empresa: es una empresa que tiene menos de 250 empleados, cuyo volumen de ventas anual no supera los 50 millones de euros y/o cuyo balance anual es igual o inferior a 43 millones de euros. La definicin de mediana empresa vara entre un Estado miembro y otro. Por lo general, las medianas empresas tienen un experto en informtica y pueden contar con alguien que tenga conocimientos sobre seguridad.
Dentro de cada una de las tres categoras de grupos destinatarios podemos definir cuatro subcategoras de usuarios:
Director/Propietario: la persona que toma las principales decisiones en materia de inversiones en seguridad.
Pgina 12 de 69
Encargados de las Tecnologas de la Informacin estos usuarios poseen formacin tcnica pero pueden no ser expertos en seguridad, si bien deben comprender e implantar los protocolos de seguridad de la informacin. Direccin comercial este grupo de usuarios, que a menudo no tiene una formacin tcnica, necesita recibir formacin para comprender la importancia de la seguridad de la informacin, con el fin de poder aplicar las polticas y los controles de seguridad pertinentes en sus mbitos operativos. Empleados: este grupo es el que tiene un mayor nmero de usuarios dentro del grupo destinatario y es seguramente el ms importante si, segn los resultados de los estudios, la mayora de las violaciones de la seguridad de la informacin son provocadas por errores humanos.
A los efectos de la presente Gua, las microempresas y las pequeas y medianas empresas constituyen una sola entidad (PYME), dado que los Estados miembros consideran estas tres categoras como una sola a la hora de aplicar sus polticas.
En toda iniciativa de sensibilizacin existen numerosas formas de definir el perfil de los ciudadanos destinatarios. Por ejemplo, pueden elegirse los destinatarios de la campaa tomando como base grupos de edad, datos demogrficos, lugares geogrficos o perfiles profesionales. Asimismo, la campaa puede dirigirse a grupos colectivos, como instituciones, organizaciones no gubernamentales (ONG), universidades o, como en el caso de la presente Gua, a los usuarios privados y las PYME.
Acerca de ENISA
ENISA es una Agencia de la Unin Europea creada para impulsar el funcionamiento del mercado interior prestando asesoramiento y asistencia a los Estados miembros, los rganos de la UE y las organizaciones empresariales, a fin de dotar de un nivel alto y eficaz de seguridad a las redes y a la informacin. La Agencia acta igualmente como centro de competencia para los Estados Miembros y las instituciones comunitarias facilitando el intercambio de informacin y la cooperacin.
Persona de contacto
Isabella Santa Correo electrnico: awareness@enisa.europa.eu Internet http://www.enisa.europa.eu
Pgina 13 de 69
Pgina 14 de 69
En este apartado se explican los principales procesos necesarios para planificar, organizar y poner en prctica una iniciativa de sensibilizacin sobre la seguridad de la informacin, a saber: planificacin y valoracin, ejecucin y gestin, evaluacin y modificacin. Se ha analizado cada uno de estos procesos para determinar cronolgicamente las acciones y dependencias pertinentes. El modelo de proceso que se presenta ofrece una base para la definicin inicial del mbito de actuacin y la planificacin de actividades, as como para la ejecucin y evaluacin de un programa, adems proporciona una idea coherente y slida de los principales procesos y actividades.
Se presentan tambin plantillas y herramientas informticas para ayudar a los usuarios a comprender mejor cmo aplicar la estrategia para llevar a cabo iniciativas y programas de sensibilizacin.
Pgina 15 de 69
Pgina 16 de 69
Pgina 17 de 69
El uso de los principios clave de la gestin del cambio (por ejemplo, la aplicacin de un criterio selectivo a las comunicaciones, la participacin, la formacin y la evaluacin) contribuir a alcanzar los objetivos de las iniciativas de sensibilizacin y brindar una plataforma slida para programas futuros o de seguimiento.
Los cambios deben gestionarse con una perspectiva integral a fin de incluir los esfuerzos y obtener beneficios reales y duraderos. Para apoyar un programa de sensibilizacin es importante llegar a un acuerdo sobre los siguientes principios para el cambio: Identificar e involucrar a las principales partes interesadas en los procesos de toma de decisiones, planificacin, aplicacin y evaluacin. Establecer una meta clara para los criterios de valoracin del cambio, previa consulta con las principales partes interesadas. Definir con claridad las funciones, competencias y responsabilidades. Vincular e integrar los principales elementos del cambio. Gestionar los riesgos y eliminar los obstculos que dificultan el cambio. Aportar liderazgo en todos los niveles del proceso de cambio. Establecer una comunicacin abierta, honesta, clara y oportuna. Permitir la adopcin de enfoques flexibles para adaptarse a las necesidades de las distintas partes interesadas. Apoyar y gestionar el cambio, facilitando los recursos necesarios. Prestar apoyo a la formacin y el desarrollo para lograr un cambio de comportamiento y de cultura. Aprender de experiencias anteriores y en curso, crear capacidades para el cambio y celebrar los logros conseguidos.
Pgina 18 de 69
el programa, y precisamente aqu es donde interviene el concepto de gestin de las partes interesadas. Si las principales partes interesadas no comprenden que es imperativo llevar a cabo un programa de sensibilizacin sobre la seguridad de la informacin y no apoyan sus objetivos y metas, la iniciativa no saldr adelante.
Es importante comprender los valores de las partes interesadas y las cuestiones que les ataen, si deseamos que todos ellos participen en todas las etapas del programa. Si un programa no cuenta con el apoyo necesario de las instancias que facilitan los recursos y de las personas que utilizarn sus resultados, las probabilidades de xito sern escasas. Por tanto, se antoja esencial establecer una coalicin de inters y apoyo para el programa. No debe subestimarse la importancia que reviste la gestin de las partes interesadas en todo proyecto, programa o iniciativa.
Si bien es cierto que en el caso de algunas organizaciones o instituciones tal vez sea necesario presentar slidos argumentos financieros que justifiquen la inversin, la mayora de los miembros de la alta direccin reconocern las ventajas de un programa de sensibilizacin cuando se les presentan claramente las cifras.
Un marco de coordinacin o colaboracin ms amplio y definido con ms claridad, por ejemplo, a travs de iniciativas de colaboracin entre el sector privado y el pblico o entre varios Estados miembros, podra contribuir a aumentar el alcance potencial de una campaa. Los acuerdos de colaboracin entre el sector pblico y el privado representan una manera sumamente eficaz de llevar a cabo las campaas, en particular si cada organizacin aprovecha sus ventajas y recursos. Si se desarrolla un programa conjunto, es importante adoptar cdigos de comportamiento (mandato) y elementos, como directrices de diseo. Dentro del marco organizativo de la colaboracin entre el sector pblico y el privado debe figurar un Grupo Director, un Equipo de Gestin del Proyecto, un Grupo de Trabajo (y Meditico) y equipos para los subproyectos.
Pgina 19 de 69
los materiales para la campaa, cursos externos de formacin, etc. Por regla general, los costes pueden desglosarse de la siguiente forma:
1. Director y asistentes del Programa de seguridad de la informacin a tiempo completo o parcial (salarios y prestaciones sociales, as como los posibles gastos de seleccin y contratacin). 2. Materiales de sensibilizacin (suscripciones a organizaciones especializadas en mejores prcticas, por ejemplo, Gartner o IsecT, entre otros), si an no se han adquirido stos. 3. Materiales publicitarios (materiales temticos, por ejemplo, salvapantallas, bolgrafos, carteles, almohadillas de ratn o concursos con premios, entre otros). 4. Impresin (de todos los materiales que no se enven por medios electrnicos).
IsecT Ltd., la empresa de consultora en materia de informtica especializada en seguridad de la informacin seala: La seguridad de la informacin es como tener frenos en un vehculo: efectivamente, hace que pierdas velocidad, pero tambin te brindan ms seguridad cuando aceleras. En otras palabras, la seguridad de la informacin ofrece una base para funcionar en el mundo tecnolgico actual, cada vez ms complejo e interconectado. Un programa de sensibilizacin sobre la seguridad de la informacin deber:
1. representar un punto de referencia y un motor para una serie de actividades de sensibilizacin, formacin y educacin relacionadas con la seguridad de la informacin, algunas de las cuales ya pueden existir, pero posiblemente deban ser objeto de una mayor coordinacin y optimizacin; 2. transmitir las directrices o prcticas recomendadas importantes que sean necesarias para proteger los recursos de informacin; 3. facilitar informacin general y especfica sobre los riesgos y controles de la seguridad de la informacin a las personas que deban conocerla; 4. informar a las personas de sus responsabilidades en relacin con la seguridad de la informacin; 5. estimular a las personas a adoptar las directrices o prcticas recomendadas; 6. crear una cultura de seguridad ms arraigada, con una comprensin y un compromiso de amplio alcance con la seguridad de la informacin; 7. contribuir a potenciar la coherencia y eficacia de los controles de la seguridad de la informacin y fomentar la adopcin de controles eficaces con respecto a los costes;
Pgina 20 de 69
8. contribuir a reducir el nmero y alcance de las violaciones de la seguridad, disminuyendo as los costes directamente (por ejemplo, daos producidos por virus) e indirectamente (por ejemplo, reduccin de la necesidad de investigar y solucionar las violaciones). stos son las principales ventajas financieras del programa.
El asesoramiento y las conclusiones sacadas de los compaeros y/o los Estados miembros que gestionan otros programas de sensibilizacin, formacin o educacin podran resultar sumamente tiles por lo que se refiere a los materiales y la experiencia. Adems, las consultas con stos contribuyen a la gestin de las partes interesadas, pues pueden ayudar a obtener el apoyo de stas para la realizacin del programa ms adelante. Si no se implica a los compaeros, stos podran oponerse inadvertidamente al programa.
Internet ofrece una amplia variedad de informacin tanto gratuita como de pago. Una rpida bsqueda de trminos como sensibilizacin sobre la seguridad y sensibilizacin sobre la seguridad de la informacin podra resultar sumamente til. Existen varios foros gratuitos centrados en la sensibilizacin sobre la seguridad. Puede ser til inscribirse a stos, sobre todo porque de este modo es posible acceder a sus archivos.
Si bien resulta fcil acumular una gran cantidad de informacin sobre productos y servicios conexos, es muy importante recopilar la informacin de forma sistemtica, pues de este modo se facilita el resto de las fases.
Una vez reunida toda la informacin deber examinarse detenidamente la lista de recursos internos y externos. Debe prestarse especial atencin a la hora de identificar los elementos que puedan ser tiles para el programa o se adapten a sus necesidades. Una reaccin comn es descartar informacin que no parece adecuada, pero hay que actuar con cautela, ya que es fcil pasar por alto recursos tiles que no cuentan con una descripcin completa o que son objeto de una promocin deficiente en el caso de los servicios comerciales.
La ltima etapa de esta fase consiste en generar una breve lista de posibles soluciones que se evaluarn en la siguiente fase.
Pgina 21 de 69
El proceso que se expone a continuacin describe las mejores prcticas a la hora de decidir entre realizar el programa internamente o subcontratarlo. Se recomienda aplicar el mismo enfoque que se aplica a la invitacin de presentacin de propuestas incluso si los trabajos se llevan a cabo internamente, ya que esta invitacin es rigurosa y ayudar al equipo a organizar los requisitos de manera estructurada.
Estrategia de subcontratacin
RPF
Inventario
Programa / iniciativa
Decisin
1.
Prepare una invitacin de presentacin de propuestas que contenga los requisitos precisos resultantes de las dos primeras fases de este proceso.
Pgina 22 de 69
Es necesario determinar la composicin del equipo encargado del programa, as como la experiencia y los atributos, las funciones y responsabilidades y las estructuras jerrquicas. Se deben determinar y formalizar los procedimientos y las polticas del programa, as como los enfoques de los informes de situacin semanales, los informes financieros y la gestin de los problemas. 2. Enve la invitacin de presentacin de propuestas a los potenciales licitadores, indicando el plazo para la recepcin de respuestas. 3. Recopile las preguntas planteadas por los licitadores y respndales puntualmente sin revelar la procedencia de las preguntas. 4. Una vez expirado el plazo, rechace las nuevas propuestas que lleguen, pero comience la valoracin y calificacin sistemticas de las ofertas utilizando la lista de comprobacin elaborada previamente. 5. Atngase en primer lugar a los requisitos indispensables y de este modo podr excluir de inmediato a algunos licitadores, si stos no cumplen los requisitos esenciales. 6. Examine las ofertas complementarias presentadas por los licitadores, pues pueden brindarle ideas tiles y valiosas que haba pasado por alto. Asimismo pueden ayudarle a tomar una decisin final, si las calificaciones de varias ofertas son muy similares. 7. Tome en consideracin la calidad de las propuestas, as como los ejemplos de sistemas o materiales de sensibilizacin que incluya la propuesta, ya que ponen de manifiesto la profesionalidad y calidad de los licitadores. 8. Calcule la puntuacin de los licitadores (multiplique la puntuacin total obtenida en cada criterio por la ponderacin asignada a cada criterio) dividida por la mxima puntuacin posible y, a continuacin, multiplique por el 100%. 9. Si se ha decidido subcontratar el programa (o partes del mismo), asegrese de que los participantes en la licitacin son profesionales de este sector, ya que ellos se encargarn de que el proceso sea equitativo. 10. Si el programa se va a realizar internamente, la toma de decisiones sobre el programa en el seno de un comit generara una atmsfera transparente e integradora.
A la hora de formalizar los requisitos expuestos en el punto 1 es necesario considerar la forma en que se evaluar la eficacia del programa.
La invitacin de presentacin de propuestas debe recoger los requisitos exactos. En el Anexo I figura un ejemplo de invitacin de presentacin de propuestas. Adems, en esta etapa es muy importante determinar y formalizar los procedimientos y las polticas, por ejemplo, los relativos a los informes semanales. En el Anexo II se incluye una plantilla de informe semanal de situacin.
Pgina 23 de 69
Por ltimo se toma una decisin, se elabora la orden de compra y se firma el contrato.
Debe prepararse un plan de trabajo que contemple las actividades, recursos, plazos y, en su caso, los hitos correspondientes. Se recomienda utilizar esta herramienta para gestionar con eficacia los trabajos. En el Anexo II figura un ejemplo de plan de trabajo.
Breve nota sobre la diferencia entre metas y objetivos Para evitar una confusin de trminos, recuerde que las metas son ms amplias que los objetivos. Las metas son intenciones generales, los objetivos son precisos. Las metas son intangibles, los objetivos son tangibles. Las metas son abstractas, los objetivos son concretos. Las metas no pueden validarse, los objetivos s. Podra decirse que La meta es donde queremos llegar y los objetivos son los pasos necesarios para llegar a ella.
Pgina 24 de 69
Para determinar lo que desea lograr con una iniciativa de sensibilizacin, plantese detenidamente las siguientes preguntas bsicas:
Existe ya un programa de seguridad de la informacin o bien esta tarea es una nueva iniciativa en su organizacin? Si no existe un programa de seguridad de la informacin, existen otros programas de sensibilizacin que podran servir de ejemplo probado y validado o de punto de partida?
Se atendr el programa slo a la sensibilizacin o incluir medidas de formacin y educacin, o una combinacin de ambas? Qu temas concretos deber abarcar el programa? Qu temas conexos debern tambin incluirse? Con qu frecuencia se pondr el programa en contacto con las personas? Es esta frecuencia la adecuada para mantener el inters por el tema de la seguridad de la informacin entre las personas?
Qu nivel de informacin (y qu nivel de detalle) es el adecuado para ofrecer asesoramiento til a los pblicos destinatarios? Deber ser informacin minuciosa o bastar con un resumen superficial?
Una vez que haya respondido a las anteriores preguntas, deber considerar otros puntos:
Se pretende sensibilizar al pblico sobre la seguridad? O bien el programa tiene por finalidad hacer que las personas cambien su comportamiento mediante una campaa de sensibilizacin? Los expertos estn de acuerdo en que estas campaas son tiles por si mismas, pero no deben ser la meta final. Es necesario que el programa no se limite a la campaa de sensibilizacin.
Cul es su meta: sensibilizar al pblico sobre la seguridad en general o facilitar informacin concreta (y quizs formacin) sobre determinados problemas o bien una combinacin de ambas cosas? Se ha elaborado una lista de problemas o temas determinados o bien sta ir evolucionando a lo largo de los meses y los aos? Las respuestas a estas preguntas le ayudarn a decidir si es viable planificar un programa puntual o una iniciativa a largo plazo para evitar sobrecargar y/o intimidar a los miembros del grupo destinatario.
Y una pregunta relacionada con la anterior: tendr el programa de sensibilizacin un carcter permanente o ser una campaa puntual o una medida similar a corto plazo para abordar un tema concreto? Si bien ambos enfoques ofrecen ventajas si se dan las condiciones adecuadas, en ocasiones es necesario aplicar un enfoque mixto.
Cmo se llevar a cabo la iniciativa? Como parte integrante de la organizacin? O se subcontratar? Se formar un equipo encargado del proyecto? Quin dirigir dicho equipo? Qu cualificaciones o experiencia tienen los miembros del equipo en materia
Pgina 25 de 69
de seguridad de la informacin y de sensibilizacin, formacin y educacin sobre la seguridad? Qu funciones y responsabilidades tendr cada persona?
Vale la pena hacer hincapi en la necesidad de ser realista por lo que se refiere al tiempo y esfuerzo necesarios para planificar y ejecutar su programa.
A quin va destinado el programa de sensibilizacin? Tienen los grupos destinatarios las mismas necesidades o sus necesidades de informacin son distintas? Se trata de grupos que necesitan informacin totalmente diferente?
Tienen los grupos destinatarios el mismo nivel de conocimientos o ste es distinto en cada uno de ellos? Qu forma de comunicacin deber utilizarse para transmitir el mensaje en el marco del programa de sensibilizacin? Cmo perciben los grupos destinatarios la cultura de seguridad de la informacin? Se la toman, por lo general, en serio o no la consideran muy importante? Han tenido contacto los miembros de los grupos destinatarios alguna vez con directrices o prcticas sobre seguridad de la informacin? De ser as, se mantienen estas prcticas y directrices al da o bien el programa de sensibilizacin tendr que desarrollarlas y promoverlas?
Reviste una gran importancia definir el pblico destinatario del programa de sensibilizacin. Se recomienda utilizar una herramienta para recopilar esta informacin. En el Anexo IV figura una plantilla para recopilar informacin sobre los grupos destinatarios.
Pgina 26 de 69
Si la lista de temas sobre seguridad de la informacin es larga, es conveniente organizar el programa en secciones distribuidas a lo largo del tiempo. De este modo se podrn concentrar los esfuerzos en temas concretos adaptados a cada pblico destinatario, sin sobrecargarlo o confundirlo. Por ejemplo, el problema de los virus requiere que todas las personas que utilicen un ordenador conectado a una red tengan una idea muy bsica de lo que es un virus. Al explicar los virus podran introducirse al mismo tiempo otros temas como la gestin de la configuracin, el acceso a redes o sistemas, etc.
Sin embargo, lo mejor es no abordar en profundidad los temas conexos. Aunque s puede anunciarse al pblico destinatario que dichos temas se abordarn ms tarde. De este modo se genera la expectativa de que habr un proceso de seguimiento posteriormente como parte de la iniciativa de sensibilizacin sobre otros temas relacionados con la seguridad. La realizacin de este proceso de seguimiento es importante para mantener la credibilidad del programa. Una vez desarrollada una lista completa de los temas que abarcar el programa, debe evaluarse cada uno de ellos y clasificarlos por orden de importancia. Un mtodo sencillo para evaluar los temas consiste en asignarles un valor a cada uno, por ejemplo: 3 = crucial, 2 = importante y, por ltimo 1 = conveniente. As podr concentrarse en los temas ms importantes, y definir y precisar los requisitos del programa de sensibilizacin. A su vez, esta clasificacin facilitar la elaboracin del plan correspondiente.
Eficacia de la comunicacin
Al analizar numerosas campaas realizadas en varios Estados miembros se observan algunos puntos clave para todo pas que emprenda una iniciativa de sensibilizacin sobre la seguridad de la informacin.
Information Package: Raising Awareness in Information Security Insight and Guidance for Member States, ENISA, diciembre de 2005, pp. 47 a 58.
Pgina 27 de 69
A continuacin presentamos algunas recomendaciones importantes para realizar una campaa eficaz.
Elementos bsicos
Hacer llegar la campaa al pblico ms amplio posible. Resulta conveniente utilizar criterios de multiplicacin para aumentar al mximo la difusin del mensaje. No asumir una actitud alarmista o excesivamente negativa respecto a la situacin. Si es necesario detallar los problemas o riesgos, a menudo resulta ms fcil que el pblico los comprenda en contextos del mundo real. La meta de cualquier iniciativa de sensibilizacin debe ser modificar el comportamiento del grupo destinatario en relacin con la seguridad. El mensaje emitido, los canales utilizados y el emisor del mensaje deben ser influyentes y crebles, pues, de lo contrario, el grupo destinatario podra mostrarse menos dispuesto a escucharlo. Los grupos destinatarios reciben informacin de diversas fuentes. Para lograr su participacin es necesario utilizar varios canales de comunicacin. Garantizar que la iniciativa es flexible y adaptable, ya que algunos factores externos pueden modificar la situacin.
El mensaje
Difundir el mensaje correcto al pblico adecuado mediante los canales de comunicacin ms eficaces. De este modo, el mensaje ser ms atractivo y persuadir a los destinatarios a tomar medidas, sobre todo si el mensaje se adapta a los intereses y necesidades del grupo destinatario. Por tanto, el mensaje puede y debe ajustarse a los conocimientos y aptitudes tcnicas del grupo destinatario. Para disear una campaa eficaz es necesario recopilar algunos datos. El mensaje debe ser anticipatorio y coherente y ha de resultar interesante para el grupo destinatario. A menudo una lista de diez recomendaciones da buenos resultados debido a lo conciso de la informacin y a su facilidad de comprensin y acceso. En su versin ms sencilla, los mensajes que formen parte de una iniciativa de sensibilizacin deberan indicar los riesgos y amenazas a los que se enfrentan los usuarios, la importancia que estos riesgos y amenazas tienen para ellos, lo que deben y no deben hacer y, por ltimo, la forma de protegerse. El mensaje debe ser persuasivo. En vista de que el grupo destinatario recibe tanta informacin, encontrar formas creativas para la difusin del mensaje facilita la percepcin del mismo. Asimismo es conveniente que los temas y/o consignas principales sean coherentes.
El valor aadido
De ser posible, permitir que el grupo destinatario transmita sus comentarios sobre la campaa para mejorarla o con vistas a iniciativas ulteriores.
Pgina 28 de 69
La planificacin y ejecucin de la campaa es tan slo la mitad del trabajo. Asimismo debe evaluarse la campaa de comunicaciones (por medio de parmetros, objetivos de resultados, etc.) a fin de elaborar un informe sobre su eficacia y para sacar conclusiones a fin de mejorar iniciativas futuras. Para hacer un seguimiento de los resultados pueden emplearse parmetros como el nmero de visitas a un sitio web, el nmero de descargas o de solicitudes de publicaciones, o el nmero de artculos aparecidos en los diarios.
La evaluacin de los efectos de las diversas campaas de sensibilizacin sobre el grupo destinatario puede realizarse igualmente por medio de estudios cualitativos (por ejemplo, grupos muestra elegidos, entrevistas) y/o cuantitativos (por ejemplo, cuestionarios, encuestas mnibus). Vase la seccin dedicada a la evaluacin del programa.
Consultar a organizaciones como la ENISA y a otros pases con un espectro de usuarios similar en bsqueda de buenas prcticas e iniciativas concretas de sensibilizacin.
Se puede elaborar una estrategia de comunicacin que ponga de relieve las principales fases del proceso de toda iniciativa de sensibilizacin eficaz. Proceso principal
Fijar finalidades y objetivos de la iniciativa y definir grupo destinatario
Descripcin
Formular preguntas, por ejemplo, por qu se lleva a cabo la campaa, principales cuestiones que debern abordarse, por qu es necesario resolver los problemas y si su organizacin es la correcta para hacerlo. No haga suposiciones. De ser posible, obtenga la informacin y utilice mtodos como los grupos muestra elegidos. Fije parmetros para cuantificar los resultados de la campaa y para desarrollar las conclusiones sacadas.
Intente colaborar con otras organizaciones, si no tiene acceso al pblico deseado, si no tiene los recursos necesarios o si su pblico tiene confianza en la informacin sobre seguridad que facilita otra organizacin. Es necesario asegurarse que tanto el mensaje, como los puntos de vista y las opiniones son comunes.
Es necesario dirigirse a un grupo especfico con intereses y prioridades similares, ya que el pblico en general tiene intereses, competencias y experiencias muy diversos. Dado que cada pblico concede una importancia distinta a determinados riesgos (a veces debido a experiencias personales), el mensaje debe ir dirigido a un grupo especfico. Formule preguntas, por ejemplo, qu atraer su atencin, por qu deben preocuparse (en funcin de las necesidades y preocupaciones del pblico de que se trate) y qu harn.
Detallar el mensaje
Es necesario comprender el nivel de sensibilizacin del pblico ante el problema, sus necesidades y los problemas que les preocupan, de dnde obtienen su informacin y qu tipo de informacin le gusta recibir. El contenido del mensaje debe reunir tres caractersticas: atraer la atencin del pblico, advertir de los riesgos y facilitar informacin o referencias para conseguirla. Es necesario que el mensaje sea lo ms amplio posible, por ejemplo, no debe discriminar a las minoras.
Ponga en marcha la campaa y evale los resultados o las respuestas. En la evaluacin (tanto cuantitativa como cualitativa) pueden utilizarse diversos mtodos como grupos muestra elegidos, entrevistas, cuestionarios o encuestas de carcter general.
Pgina 29 de 69
La mejor manera de transmitir el mensaje en el marco de una iniciativa de sensibilizacin es mediante el uso de multiplicadores que contribuyan a comunicar el mensaje de la campaa al pblico ms amplio posible dentro del grupo destinatario. Se pueden utilizar diversos rganos colaboradores o multiplicadores para facilitar la transmisin de los mensajes en el marco de la iniciativa. He aqu algunos ejemplos:
Programas de educacin de adultos Bancos Empresas Centros comunitarios Institutos de enseanza superior Tiendas de informtica Agencias independientes Organismos industriales (sindicatos, asociaciones) Instituciones Proveedores de servicio de Internet Personal docente de renombre Bibliotecas Organizaciones comerciales locales Medios de comunicacin ONG Asociaciones de padres y profesores Universidades
Canales de comunicacin
En la siguiente matriz se ilustran algunos de los principales canales que pueden contribuir a sensibilizar a los ciudadanos en el marco de una iniciativa relacionada con la seguridad de la informacin. En este cuadro slo figura una seleccin de las ventajas y desventajas y, por consiguiente, no debe considerarse una lista exhaustiva.
Pgina 30 de 69
Canal
Ventajas
Desventajas
W No se trata de una fuente esttica de informacin, ya que el material puede perderse. W Puede no resultar atractivo para el grupo destinatario seleccionado. W Dificulta la introduccin de mensajes ms pormenorizados. W Puede no resultar atractivo para el grupo destinatario seleccionado. W La creacin de programas de formacin puede resultar cara. W Exige al receptor tener conocimientos tcnicos. W Los horarios escolares ya son excesivos y los planes de estudio estn sobrecargados. W Los maestros pueden carecer de las competencias necesarias para transmitir el mensaje. W Las instalaciones informticas pueden no permitir ciertas actividades, por ejemplo, realizar prcticas de instalacin de software antivirus. W El mensaje puede verse afectado por el volumen de correos electrnicos y de spam. W Es necesario conocer las direcciones de correo electrnico. W El pblico seleccionado puede no asistir. W No se trata de un canal proactivo para el grupo destinatario cuya participacin se prev. W Es necesario organizar los canales de distribucin para que las octavillas lleguen al pblico previsto. W No es una fuente esttica de informacin, ya que el material puede perderse. W No se trata de un canal proactivo, ya que generalmente los usuarios deben inscribirse. W Exige al receptor tener conocimientos tcnicos. W El factor de abarrotamiento. En un peridico, muchos materiales compiten por la atencin de los lectores. Normalmente, los peridicos estn llenos de anuncios de diversos tamaos y estilos que promocionan numerosos productos y servicios. W Si se desea llegar nicamente a un segmento concreto, es posible que los peridicos tengan una circulacin excesiva. W Los peridicos tienen una vida breve. Se suelen leer deprisa, lo que pocas veces permite un estudio minucioso. W Puede resultar relativamente costoso. W Es necesario contar con los nmeros de telfono de los miembros del grupo destinatario. W El mensaje puede pasarse por alto debido a la abundancia de materiales informativos.
Folleto o revista
Tebeo
X Facilidad para definir el contenido y formato del mensaje X Permite al grupo destinatario estudiar detenidamente el contenido X Permite llegar a sectores de pblico determinados. X Tiene un atractivo inmediato para determinados grupos destinatarios, como los jvenes. X El contenido del mensaje puede tener un carcter ms abstracto. X Permite impartir formacin en zonas geogrficas muy extensas. X El contenido del mensaje puede presentar ms detalles. X Es una manera eficaz de llegar a un gran nmero de nios. X A menudo ya existen canales para distribuir los materiales.
Correo electrnico
X Canal relativamente econmico para dirigirse a un pblico muy amplio. X Permite al grupo destinatario asimilar la informacin a su propio ritmo. X Pueden llegar a numeroso pblico si se seleccionan minuciosamente los lugares y temas. X Presenta ms posibilidades de interesar al pblico debido al elemento interactivo de este canal. X Puede presentar una gran cantidad de informacin. X Se puede producir de forma rentable. X Presenta las mismas ventajas que el correo electrnico.
Peridico
X Amplia circulacin con profunda penetracin del mercado. Su coste por millar hace que los peridicos generalmente sean un medio econmico y rentable de transmitir un mensaje a un pblico amplio. X Un anuncio en un peridico puede presentar toda la informacin necesaria e incluso mostrar imgenes o logotipos.
Telfono
Carteles
X Permite un contacto directo con el grupo destinatario. X Presenta ms posibilidades de interesar al pblico debido al elemento interactivo de este canal. X Puede atraer la atencin gracias a su tamao y formato. X La informacin es objeto de una difusin universal cuando se coloca en las paredes.
Pgina 31 de 69
Canal
Radio
Ventajas
X La mayor ventaja de la radio es su alta frecuencia (llegada al mismo pblico muchas veces) a un coste razonable. X Los formatos musicales de las emisoras permiten definir grupos de inters y algunas categoras demogrficas. De esta manera se puede elegir el tipo concreto de pblico al que se quiere llegar. X Sita la informacin en el ordenador, de modo que los usuarios puedan verla. X El contenido del mensaje puede transmitirse directamente al grupo destinatario, lo que garantiza su visibilidad.
Desventajas
W La radio difunde un gran nmero de anuncios publicitarios. W No se puede mostrar ni demostrar el tema. W La publicidad radiofnica no dura tanto como los mensajes impresos. W Debido al formato y la especializacin en determinados pblicos, una sola emisora rara vez puede llegar a un mercado amplio. W Requiere programacin W Es posible que los usuarios sin experiencia no puedan instalarlos. W No llega a las personas que no tienen ordenador. W Necesidad de contar con un proveedor de servicios de telecomunicaciones. W Se trata de un canal eficaz para avisar al grupo de destinatarios de la existencia de peligros, pero no sirve para sensibilizar al pblico debido a las limitaciones de su contenido. W No se trata de un canal proactivo para el grupo destinatario cuya participacin se prev. W Realmente no puede llegar a amplios pblicos debido a los recursos y la logstica que requiere. W Costes El presupuesto necesario es relativamente alto. W Aunque se pueden seleccionar los programas, existe el riesgo de que se haya agotado el espacio publicitario de los programas de mayor audiencia.
Salvapantallas
SMS
Formacin
X Presenta ms posibilidades de interesar al pblico debido al elemento interactivo de este canal. X El contenido del mensaje puede ser ms detallado y personalizado. X Tiene un gran impacto que combina visin, sonido y movimiento puede atraer la atencin y permanecer en la memoria. X La televisin ofrece una comunicacin directa ms prxima que ningn otro medio. X Los mensajes personales emitidos por las autoridades pueden ser sumamente convincentes. X Posibilidad de demostrar el contenido del mensaje. X La televisin permite seleccionar el pblico mediante la programacin. Ofrece flexibilidad de programacin en diferentes programas y horarios, y permite dar prioridad a la audiencia o a la frecuencia. X Permite dar rienda suelta a la creatividad a la hora de crear el mensaje de sensibilizacin. X La profesionalidad de este canal puede reforzar el mensaje si se aplica correctamente. X Puede actualizarse para introducir cambios. X Puede presentar contenidos para diversos sectores de pblico. X Puede vincularse fcilmente con otras fuentes de informacin.
Televisin
Vdeo - DVD - CD
Sitio web
W Es posible que no llegue a sectores de pblico sin conocimientos tcnicos. W Exige al receptor tener conocimientos tcnicos. W No se trata de un canal proactivo y el mensaje puede pasarse por alto debido al gran nmero de sitios web y de informacin existente en Internet.
Pgina 32 de 69
El proceso
El desarrollo de un plan concreto de comunicaciones constituye un paso muy importante si deseamos que el grupo destinatario cambie de comportamiento. Recomendamos un proceso de cinco fases que se ilustra en el diagrama que figura a continuacin.
1.
Definicin de los objetivos de la comunicacin
2.
Anlisis de los grupos destinatarios y seleccin de los medios adecuados
3.
Determinacin de los principales mensajes de comunicacin
4.
Asignacin de funciones y responsabilidades
5.
Elaboracin de un plan de comunicaciones detallado
Promover la visin de la seguridad de las redes y de la informacin y sus ventajas en todos los mbitos de la sociedad. Implicar y hacer participar activamente a todos los grupos destinatarios seleccionados.
Pgina 33 de 69
Presentar a los grupos destinatarios afectados una idea de las cuestiones relacionadas con la seguridad de la informacin y de lo que dichas cuestiones significan para ellos.
Ofrecer una oportunidad a los miembros de los grupos destinatarios para formular preguntas y expresar sus preocupaciones. Generar energa e impulsos para crear un nuevo entorno de aprendizaje.
A continuacin se expone un ejemplo de las fases que deben seguirse al realizar un anlisis de los grupos destinatarios.
Asignar una calificacin A (alta), M (media) o B (baja) que refleje el conocimiento de cada grupo destinatario sobre las cuestiones relacionadas con la seguridad de la informacin y sobre las soluciones que existen. Definir la conducta que debe adoptar cada grupo destinatario para resolver los principales problemas.
Pgina 34 de 69
Tras la finalizacin del anlisis de los grupos destinatarios pueden fijarse las metas de comunicacin e identificarse los canales adecuados. En la matriz que figura a continuacin se expone un mtodo para llevar a cabo estas tareas.
Objetivos de la comunicacin*
Grupo destinatario Grupo 1 Grupo 2 Grupo 3 Grupo 4 Grupo 5 Grupo 6 Grupo 7 Sensibilizar Ayudar a comprender Mejorar los conocimientos K l d
Buscar soluciones
X X X X X X X
Sitio web Correo electr. Boletn Publicaciones Presentaciones Reuniones Conferencias
X X
X X
X X X X X
Canal adecuado*
Pgina 35 de 69
Por ejemplo, un mensaje que diga Cuando utilice su telfono mvil tenga en cuenta... resulta ms eficaz que un mensaje de carcter general sobre la proteccin de la privacidad. Los mensajes pueden tambin ir dirigidos a diversos grupos destinatarios, como se expone a continuacin.
Grupo destinatario 1 Grupo destinatario 2
Grupo destinatario 3
Asegurarse de que los nios se beneficien de las ventajas del mundo de las redes
Grupo
Funciones y responsabilidades
Grupo destinatario 4
Grupo destinatario 5
Grupo destinatario 6
Pgina 36 de 69
El plan de comunicaciones ayuda a conseguir la participacin de los grupos destinatarios de una forma estructurada y reduce la posibilidad de dejar a un lado a partes interesadas de importancia clave. Generalmente, los planes de comunicacin se elaboran cada ao (con las actualizaciones necesarias) y se coordinan todos los eventos que se llevarn a cabo para todos los grupos destinatarios. De esta forma se reduce igualmente la posibilidad de duplicar tareas debido a una planificacin sin coordinacin. A continuacin se presenta un ejemplo de un extracto de un plan de comunicaciones.
Pblico destinatario El receptor del mensaje Necesidades del pblico Necesidades de comunicacin del pblico Mensaje Canal Responsable Objetivos Momento / frecuencia Momento en el que debe tener lugar la comunicacin sobre el evento Coincidencia con la Semana Nacional de la Tercera Edad Herramienta para los comentarios Instrumento que se utilizar para obtener los comentarios Correo electrnico Telfono
Contenido de la comunicacin
Navegadores de oro
Nivel de conocimientos bajo o nulo Como no han crecido con las TIC, pueden mostrarse ms renuentes a aceptar las tecnologas o desconfan de ellas.
Distribucin de informacin a travs de soluciones de atencin sanitaria Informacin en colaboracin con las instituciones de la seguridad social
Pgina 37 de 69
Es indispensable evaluar las campaas o programas para conocer su eficacia, as como para utilizar los datos obtenidos para adaptar estas iniciativas a fin de que tengan an mejores resultados. Cabe sealar que los parmetros de evaluacin no pueden aplicarse a todos los grupos destinatarios, ya que las necesidades y situacin de stos presentan grandes variaciones. En esta seccin destacaremos los parmetros utilizados para evaluar las campaas dirigidas a los usuarios particulares y, en menor medida, a las PYME, pues stos son generalmente los grupos destinatarios de las campaas de sensibilizacin que se concentran en la seguridad de la informacin. Sin embargo, los parmetros presentados pueden adaptarse con un esfuerzo mnimo a las necesidades de otros grupos destinatarios.
La principal diferencia entre los usuarios particulares y las PYME es que los programas de sensibilizacin dirigidos a estas ltimas deben centrarse en el desarrollo y la aplicacin de una poltica de seguridad de la informacin, as como proponer medios para ajustarse a dicha poltica dentro de la organizacin. Otro tanto sucede con las instituciones pblicas y empresas privadas de cualquier tamao 3 .
En cambio, las autoridades pblicas nunca estarn en condiciones de desarrollar una poltica de seguridad de la informacin para los usuarios particulares. Por esta razn, las autoridades deben limitarse a elaborar directrices recomendadas o mejores prcticas en materia de seguridad de la informacin y promover su aplicacin entre el pblico.
Categoras de medicin
Por lo general existen cuatro categoras principales para cuantificar los conocimientos sobre seguridad: Mejora de procesos Resistencia a los ataques Eficiencia y eficacia Protecciones internas
Para ms informacin y orientacin sobre las polticas de seguridad de la informacin, vase el Recurso para Polticas de Seguridad de SANS en http://www.sans.org/resources/policies/
Pgina 38 de 69
Los conocimientos sobre seguridad pueden cuantificarse utilizando y adaptando los parmetros propuestos por Gartner a las necesidades de los usuarios particulares y las PYME. A continuacin se describen los principales parmetros.
1. Mejora de procesos
Esta categora se ocupa del desarrollo, difusin y aplicacin de las directrices recomendadas en materia de seguridad, as como de la formacin sobre la sensibilizacin. Entre los parmetros de evaluacin encontramos los siguientes: 1. Han desarrollado las autoridades pblicas o iniciativas mixtas directrices recomendadas en materia de seguridad para el pblico en general? Son stas claras y concisas? (Respuesta prevista: s.) Pregunta para las PYME: Ha desarrollado la empresa una poltica general de seguridad para su organizacin? Es comprensible y concisa? (Respuesta prevista: s.)
2. Cuentan las directrices recomendadas en materia de seguridad con el respaldo de la autoridad competente? Cuenta la iniciativa con el patrocinio necesario? (Respuesta prevista: s.) Pregunta para las PYME: Cuenta la poltica general de seguridad con el respaldo de los niveles ms altos de la organizacin? (Respuesta prevista: s.)
3. Qu porcentaje de personas sabe que existen directrices recomendadas en materia de seguridad? Cuntos de ellos las han visto o ledo? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de los empleados de la empresa sabe que existe una poltica de seguridad? Cuntos de ellos la han ledo? (Respuesta prevista: aumento).
4. Qu porcentaje de personas est convencido de haber comprendido las directrices recomendadas en materia de seguridad? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de empleados ha demostrado mediante pruebas automticas u otros procesos que comprende la poltica de seguridad? (Respuesta prevista: aumento).
5. Qu porcentaje de personas conoce el procedimiento correcto que deben seguir en caso de incidente o a qu persona deben llamar? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de empleados sabe a quin llamar si ocurre un incidente o conoce el procedimiento correcto que se debe seguir? (Respuesta prevista: aumento).
6. Qu promedio de tiempo tarda la autoridad o iniciativa en transmitir un correo electrnico de advertencia tras detectar una nueva amenaza o en colocar avisos en sitios web de mucho trfico? (Respuesta prevista: disminucin).
Pgina 39 de 69
Pregunta para las PYME: Qu promedio de tiempo se tarda en enviar un aviso por correo electrnico tras detectarse una nueva amenaza? (Respuesta prevista: disminucin).
7. Se ha desarrollado y realizado un programa de formacin en esta materia? (Respuesta prevista: s.) Pregunta para las PYME: Se ha desarrollado algn curso de formacin? (Respuesta prevista: s.)
8. Qu porcentaje de personas ha asistido al curso? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de empleados ha asistido al curso? (Respuesta prevista: aumento).
9. Con qu frecuencia se actualiza el contenido del curso de formacin? (Respuesta prevista: aumento). Pregunta para las PYME: Cunto tiempo ha pasado desde que un empleado ha asistido a un curso de sensibilizacin? (Respuesta prevista: disminucin). Pregunta para las PYME: Se han producido despidos por incumplimiento de la poltica de seguridad? Cuntos? (Respuesta prevista: disminucin). Pregunta para las PYME: Existe un programa de auditoras internas y externas de la seguridad? (Respuesta prevista: s.) Pregunta para las PYME: Muestran las auditoras internas y externas de seguridad un mayor cumplimiento de la poltica de seguridad? (Respuesta prevista: s.)
Pgina 40 de 69
3. Eficiencia y eficacia
Esta categora se refiere a la eficiencia y eficacia demostradas ante incidentes de seguridad. Entre los parmetros de evaluacin encontramos los siguientes: 1. Qu porcentaje de los incidentes de seguridad experimentados por las personas encuestadas tuvo como principal causa el comportamiento humano? (Respuesta prevista: disminucin). 2. Qu porcentaje de las paradas de produccin se debi a incidentes de seguridad? (Respuesta prevista: disminucin). Pregunta para las PYME: Qu porcentaje representa el gasto en sensibilizacin sobre la seguridad con respecto al total de gastos de seguridad y/o con respecto a los ingresos de la empresa? (Respuesta prevista: disminucin).
4. Protecciones internas
Esta categora se refiere al grado de proteccin de las personas contra amenazas potenciales. Entre los parmetros de evaluacin encontramos los siguientes: 1. Qu porcentaje de las compras de programas y equipos informticos realizadas por cada persona se ha realizado teniendo en cuenta la seguridad? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de programas informticos, socios y proveedores de la empresa han sido objeto de un examen de seguridad (teniendo en cuenta el nivel de sensibilizacin al respecto). (Respuesta prevista: aumento). 2. Qu porcentaje de la informacin crucial de cada usuario es objeto de una proteccin slida? (Respuesta prevista: aumento). Pregunta para las PYME: Qu porcentaje de la informacin crucial de la empresa es objeto de una proteccin slida, teniendo tambin en cuenta el nivel de sensibilizacin de los gestores de datos, administradores, etc.? (Respuesta prevista: aumento). 3. Qu porcentaje de la informacin crucial de cada persona encuestada no est protegida de acuerdo con las directrices recomendadas? (Respuesta prevista: disminucin). Pregunta para las PYME: Qu porcentaje de la informacin crucial de la empresa no est protegida de acuerdo con sus normas de seguridad? (Respuesta prevista: disminucin). 4. Qu porcentaje del sistema de cada persona encuestada tena instalados programas informticos malintencionado o espas (spyware)? (Respuesta prevista: disminucin). 5. Que porcentaje del sistema de cada persona encuestada tena instalado programas informticos piratas? (Respuesta prevista: disminucin).
Pgina 41 de 69
Los cuestionarios y encuestas mnibus nos permiten evaluar la eficacia de los programas. Puesto que las evaluaciones futuras se compararn con el punto de partida, es importante utilizar cuestionarios y encuestas similares durante las fases posteriores de la iniciativa.
Los cuestionarios y encuestas omnibs nos permiten evaluar la eficacia de los programas. En el Anexo V figura un ejemplo de cuestionario sobre sensibilizacin.
Dependiendo del entorno y condiciones del programa, debe existir un medio para que los distintos miembros del equipo encargado del programa puedan escribir notas o contar experiencias y transmitirlas a una persona encargada de pulirlas e introducirlas en un registro o base de datos. Dicho proceso debe definirse y documentarse como resultado de la fase 1 del procedimiento.
Consideraciones clave
Al fijar las normas bsicas al inicio de la reunin, explique lo que constituye una sesin de conclusiones sacadas y la manera de realizar crticas constructivas. A continuacin presentamos algunas directrices para realizar comentarios constructivos:
Pgina 42 de 69
Las conclusiones sacadas se basan en la gestin del programa y no en los resultados del trabajo. Los ejemplos de casos concretos son la mejor manera de hacer una observacin. Las crticas deben ser constructivas e ir dirigidas a un proceso, no a una persona. Se debe recomendar a los participantes que formulen sus comentarios de forma reflexiva. No se abordarn aquellos problemas que no puedan resolverse, mejorarse ni atenuarse o en los que no se pueda influir. La preparacin de cada una de las reuniones acelera el proceso. Debe tenerse en cuenta que este foro est destinado tanto a las crticas como a los elogios; no debe tomarse demasiado en serio ninguno de ellos, pues se trata de una labor de equipo.
Una sesin informativa sobre las conclusiones sacadas puede ofrecer la oportunidad de lograr varios objetivos organizativos: Plantear enfoques distintos para los procesos en curso y mejorar el programa actual. Demostrar al personal que su aportacin es valorada y escuchada. Contribuir a levantar la moral del equipo. Permitir que programas futuros que tengan objetivos similares aprovechen las conclusiones sacadas durante este programa.
Pgina 43 de 69
Las conclusiones sacadas de la gestin de programas presentan experiencias tanto positivas como negativas. Resulta tan importante documentar lo que se ha elaborado y debe repetirse en futuros programas como registrar lo que ha ido o puede ir mal, y cmo puede evitarse o resolverse en el futuro.
Pgina 44 de 69
especficas? Ello depende en gran medida de la experiencia del personal y de la opinin del director del programa. Estudie la posibilidad de entrevistar a otros equipos o invitarlos a su sesin informativa para identificar las conclusiones sacadas sobre las interfaces, la comunicacin o la integracin.
Es de suma importancia identificar, documentar y transmitir las lecciones aprendidas. Se recomienda utilizar una herramienta para gestionar con eficacia los trabajos. En el Anexo VI presentamos una plantilla de formulario para registrar las conclusiones sacadas.
Pgina 45 de 69
Pgina 46 de 69
Pgina 47 de 69
Una vez elaborado un plan bien redactado y contando con los recursos necesarios para llevarlo a cabo ha llegado el momento de pedir la ayuda a sus compaeros y a los proveedores externos seleccionados para crear y realizar el programa con el fin de obtener los beneficios del programa de sensibilizacin sobre la seguridad de la informacin.
Pgina 48 de 69
Pgina 49 de 69
Pgina 50 de 69
Realizar evaluaciones
Como se seala en la fase I, es posible cuantificar la eficacia de un programa de sensibilizacin y su capacidad para mejorar la seguridad de la informacin, a pesar de que algunos opinen lo contrario.
El punto de partida determinado antes de la puesta en marcha del programa ofrece una instantnea de la situacin inicial dentro de los grupos destinatarios. Los cuestionarios de seguimiento y las encuestas mnibus permiten evaluar los avances realizados.
Pgina 51 de 69
Aspectos generales
1. Implantacin de nuevas tecnologas Cuando se implanta una nueva tecnologa, a menudo es necesario un cambio de comportamiento o una mayor comprensin por parte del usuario. Esto en s no presenta problema alguno, aunque en ocasiones la tecnologa avanza ms rpidamente que el programa de sensibilizacin o independientemente de ste. Es posible que el equipo no est al da o no est bien informado acerca de estas oportunidades educativas hasta que ya es demasiado tarde. Por ello, los programas de sensibilizacin sobre la seguridad deben hacer hincapi en las comunicaciones internas y adoptar una estrategia de comunicacin de emergencia o de crisis.
2.
Lo mismo para todos Algunos programas de sensibilizacin sobre la seguridad no segmentan correctamente a su pblico por lo que no transmiten los mensajes adecuados. Esto hace que se ignoren los mensajes. Los usuarios de las tecnologas de la informacin reciben cientos de mensajes cada da procedentes de muy diversas fuentes. Por ello es crucial segmentar los sectores de pblico y asegurarse de que los destinatarios reciban slo los mensajes que necesitan. La estrategia de lo mismo para todos resulta ms fcil de desarrollar y aplicar, pero no es eficaz.
3.
Exceso de informacin El exceso de informacin es un error muy comn. El pblico suele imponer un lmite a la informacin que est dispuesto a aceptar de una misma fuente. Si los destinatarios se ven diariamente inundados por una oleada de mensajes, es probable que dirijan su atencin a otra parte. Incluso tras adoptar las medidas necesarias para segmentar los sectores de pblico y enviar nicamente los mensajes adecuados, demasiada informacin es excesiva. Los programas de sensibilizacin no deben elaborarse en un plazo demasiado breve. Tmese el tiempo necesario para conocer las necesidades del pblico y para establecer el equilibrio adecuado.
4.
Falta de organizacin Numerosos programas de sensibilizacin no desarrollan procesos y estrategias coherentes para transmitir los mensajes a los usuarios. Si existe una falta de coherencia
Pgina 52 de 69
en el estilo, los temas y la transmisin, resulta difcil que el usuario participe en el programa o incluso que sepa lo que puede esperar del mismo. La coherencia en las comunicaciones es un aspecto clave, que le ayudar igualmente a dar una identidad al programa y a establecer una relacin con el pblico.
5.
Falta de seguimiento Es muy habitual que los programas de sensibilizacin sobre seguridad comiencen con gran entusiasmo y luego sean postergados sin grandes resultados. Muchos programas no establecen ni mantienen un ciclo regular de comunicacin. El establecimiento de comunicaciones peridicas es importante para que los usuarios reciban recordatorios peridicos de los principales mensajes. Adems, muchos programas no hacen un seguimiento de su pblico ni piden los comentarios de ste. Escuchar a los sectores de pblico y ajustar el programa a sus necesidades reviste una importancia crucial.
6.
Hacer llegar el mensaje all donde sea eficaz En ocasiones resulta sumamente difcil transmitir el mensaje correcto al pblico adecuado, sobre todo cuando se trata de grandes colectivos. A veces, incluso si un ayuntamiento ha desarrollado una estrategia de comunicacin minuciosa mediante un proceso bien gestionado de comunicaciones selectivas, la transmisin de los mensajes adecuados a los sectores de pblico adecuados puede resultar sumamente difcil. Los grupos de correo electrnico basados en criterios personales pueden resultar de utilidad, pero no resuelven completamente este problema.
En algunos casos, a pesar de haber identificado un pblico determinado, puede resultar difcil determinar quin pertenece a dicho pblico. A veces, algunos mensajes deben transmitirse a un segmento determinado. Por ejemplo, los padres de familia pueden haberse identificado al realizar las matrculas escolares de sus hijos, pero es probable que la lista no est completa por diversas razones, por ejemplo, si los nios viven permanentemente con su madre. El reto consiste en identificar y mantener una lista que garantice que todos los mensajes pertinentes lleguen siempre a todos los padres y madres de familia, lo que constituye una tarea difcil.
7.
Falta de recursos Este problema generalmente se debe a la falta de apoyo de la direccin. Sin este apoyo resulta difcil obtener los recursos necesarios y sin stos, los resultados que pueden lograr los programas de sensibilizacin sobre seguridad son limitados.
8.
Falta de explicacin de los motivos Muchos programas de sensibilizacin sobre seguridad no explican a los usuarios por qu es importante la seguridad. A pesar de que se cubren todos los dems aspectos, se omite la informacin que ms puede motivar a los usuarios a modificar su
Pgina 53 de 69
comportamiento. Los usuarios que entienden por qu determinados comportamientos entraan riesgos son los que ms posibilidades tienen de asumir su responsabilidad al respecto y modificar su comportamiento. Por ejemplo, si se transmiten las directrices relativas a un nuevo proceso con normas ms complejas para cambiar contraseas, lo ms probable es que los usuarios lo vean como un inconveniente. Sin embargo, si tambin se les explica cmo se violan las contraseas y se abusa de ellas, as como los posibles efectos que ello puede tener, es mucho ms probable que los usuarios asuman su responsabilidad y apliquen las nuevas directrices.
9.
Ingeniera social La ingeniera social no influye necesariamente en la aplicacin de un programa de sensibilizacin, pero s puede afectar a su xito. Es necesario tener en cuenta este aspecto porque va dirigido especficamente al vnculo con las personas que el programa de sensibilizacin intenta reforzar. La ingeniera social es el arte de aprovechar la tendencia natural de los seres humanos a confiar en los dems y ayudarlos, a fin de obtener informacin que sera difcil de conseguir por otros medios. La mayora de las personas creen que nadie engaara o manipulara deliberadamente al pblico, pero, en realidad, la ingeniera social es una de las formas de ataque ms generalizadas.
A menudo los atacantes eligen este mtodo por su sorprendente facilidad y porque no requiere mucho tiempo. Para qu van a dedicar los atacantes horas enteras intentando descifrar una contrasea, cuando pueden ponerse directamente en contacto con un miembro del pblico, hacindose pasar por el centro de asistencia de un banco o de otra institucin, para convencerle de que les revele informacin secreta? Algunos de los mtodos ms comunes de ingeniera social son la suplantacin de personalidad, la adulacin y la urgencia, as como la autorizacin de terceros. Es de suma importancia desarrollar y aplicar una estrategia educativa para resolver este problema.
Desgraciadamente, como sealan Granger, Steven y Berg, reconocidos expertos en seguridad de la informacin e ingeniera social, esta ltima es una forma de ataque que puede engaar a los usuarios ms experimentados en materia de seguridad.
Pgina 54 de 69
1. Modificar comportamientos muy arraigados En numerosas organizaciones, la seguridad se aplica de forma retroactiva. Los usuarios desarrollan malos hbitos durante semanas, meses e incluso aos, debido a que la cuestin de la seguridad no se atiende desde un principio. Esto hace que la implantacin de un programa de sensibilizacin sobre este tema resulte todava ms difcil. No slo es necesario educar a los usuarios en materia de seguridad, sino que stos tambin tienen que olvidar los malos hbitos que han adquirido. Adems, dichos usuarios suelen tener ms problemas para reconocer la utilidad de la seguridad. En su opinin, la organizacin ha funcionado bien durante muchos aos sin seguridad. Y consideran que los nuevos requisitos de seguridad son cambios innecesarios que les complican la vida.
2. La seguridad es un problema del Departamento de Tecnologa de la Informacin y no mo... Numerosos usuarios estiman que la seguridad es responsabilidad exclusiva del Departamento de Tecnologa de la Informacin. Generalmente, se limitan a hacer lo mnimo necesario para conservar su puesto de trabajo y no se plantean cmo podran ser parte de la solucin. Si bien el cumplimiento de las polticas constituye un buen punto de partida, se pueden hacer muchas cosas ms. Es importante que los usuarios comprendan que el personal del Departamento de Tecnologa de la Informacin no puede hacerse cargo de la seguridad de la informacin por s solo.
3. Falta de apoyo de la direccin Uno de los aspectos ms importantes, y tambin ms complejos, de un programa de sensibilizacin sobre seguridad es obtener el apoyo de la direccin. Para que los mensajes sean eficaces, deben contar con el apoyo de toda la organizacin. Si bien muchos directivos manifiestan que desean apoyar este tipo de iniciativas, pasar de las palabras a los actos es otra cosa. Ello se debe a que los directivos tienen sus propias funciones y responsabilidades. Su principal meta es alcanzar los objetivos de la empresa y a menudo no encuentran tiempo para ocuparse de estos problemas, por ms que consideren que la seguridad es importante.
Pgina 55 de 69
Es necesario establecer un punto de partida teniendo en cuenta la situacin actual antes de aplicar o reactivar un programa de sensibilizacin. Los programas de sensibilizacin sobre seguridad no pueden tener xito si no llegan al pblico al que estn destinados. Para transmitir el mensaje se utilizarn ONG, bancos, proveedores de servicios de Internet, bibliotecas, organizaciones comerciales locales, centros comunitarios, tiendas de informtica, institutos de enseanza superior y programas de educacin de adultos, escuelas y asociaciones de padres y profesores.
Un elemento vital de toda campaa de sensibilizacin es la publicidad, ya que sta multiplicar sus efectos al aumentar el nmero de personas a las que llega el mensaje.
Se deben establecer acuerdos de colaboracin entre el sector pblico y el privado cuando convenga.
En los programas destinados a las PYME recuerde que: Los programas de sensibilizacin sobre seguridad para las PYME no tendrn xito si van en contra de la cultura de la organizacin o no cuentan con el apoyo de la direccin. Para lograr un apoyo constante para los programas dentro de las PYME es necesario demostrar la eficacia de las tareas de sensibilizacin.
Los parmetros que se exponen en esta Gua pueden demostrar el xito o el fracaso de las campaas de sensibilizacin sobre seguridad.
Pgina 56 de 69
Conclusin
Los ciudadanos europeos hacen gala de una creciente movilidad y cada vez son ms los que tienen acceso a Internet. Debido a ello exigen conexiones fiables y seguras en todo lugar y momento. Esta nueva tendencia abre miles de posibilidades a los distintos colectivos del continente. Sin embargo, este auge de las comunicaciones interactivas conlleva igualmente problemas de seguridad que los gobiernos estn obligados a resolver.
La solidez de los sistemas est determinada por la solidez de su elemento ms vulnerable. Los errores humanos pueden socavar incluso el marco de seguridad de la informacin ms estricto. El conocimiento de los riesgos y los medios de proteccin disponibles es la primera lnea de defensa para la seguridad de los sistemas y las redes de informacin.
La ENISA espera que los Estados miembros encuentren en esta Gua un instrumento til para preparar y aplicar iniciativas y programas de sensibilizacin. La seguridad de la informacin es, en s misma, un enorme reto, y la sensibilizacin de los pblicos destinatarios constituye un primer paso importante para superarlo.
Pgina 57 de 69
Bibliografa
Information Package: Raising Awareness in Information Security Insight and Guidance for Members States http://www.enisa.europa.eu//deliverables/index_en.htm Building a Security Awareness Program - CyberGuard http://www.gideonrasmussen.com/article-01.html NIST 800-50 Security Awareness and Training Program Esta publicacin del NIST (Instituto Nacional de Ciencia y Tecnologa de los Estados Unidos) presenta orientaciones detalladas para el diseo, desarrollo, aplicacin y mantenimiento de programas de sensibilizacin y formacin dentro del programa de seguridad informtica de un organismo. http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf Security Awareness Tips - Gideon T. Rasmussen http://www.gideonrasmussen.com/sectips/ Security Awareness Toolbox - The Information Warfare Site Contiene numerosos documentos y enlaces tiles. http://www.iwar.org.uk/comsec/resources/sa-tools/ SANS Reading Room - Security Awareness Section http://www.sans.org/rr/whitepapers/awareness/ SANS Security Policy Resource http://www.sans.org/resources/policies/ University of Arizona Security Awareness Page http://security.arizona.edu/awareness.html NoticeBored information security policy management system with creative security awareness materials http://www.noticebored.com/html/white_papers.html and http://www.isect.com/ Human Firewall Council http://www.humanfirewall.com/ Cybersecurity Awareness Resource Library http://www.educause.edu/CybersecurityAwarenessResourceLibrary/8762 Servicio ITSafe del Gobierno britnico http://www.itsafe.gov.uk/ Virtual Training Environment de la Comisin de Energa, Investigacin y Tecnologa https://www.vte.cert.org/vtelibrary.html Success strategies for security awareness http://techrepublic.com.com/5100-10878_11-5193710.html#
Pgina 58 de 69
Building a Security Awareness Program - Addressing the Threat From Within Por Gideon T. Rasmussen http://www.gideonrasmussen.com/article-01.html CIS Center for Internet Security http://www.cisecurity.org/resources.html Information Systems Security Association http://www.itsafe.gov.uk/ US CERT Cyber Security Tips Consejos sobre problemas comunes de seguridad para usuarios informticos sin conocimientos tcnicos http://www.us-cert.gov/cas/tips/index.html Common Sense Guide to Cyber Security for Small Businesses http://www.us-cert.gov/reading_room/CSG-small-business.pdf Home Network Security Presenta a los usuarios particulares un resumen de los riesgos de seguridad y las medidas que pueden tomarse en relacin con las conexiones a Internet, en particular en el marco de los servicios de acceso permanente o de banda ancha (como mdems de cable y DSL). http://www.us-cert.gov/reading_room/CSG-small-business.pdf The National Cyber Security Alliance (NCSA) for cyber security awareness resources and education for home user, small business, and education audiences. http://www.itsafe.gov.uk/ The Yahoo security awareness group provides a forum to discuss awareness programme methodologies and share security awareness tips http://groups.yahoo.com/group/security-awareness/ The Society for the Policing of Cyberspace (POLCYB) http://www.itsafe.gov.uk/ Raising Citizen Awareness of Information Security: A Practical Guide, eAware, 2003
Pgina 59 de 69
Pgina 60 de 69
Situacin La asociacin <XYZ> fue creada el <fecha> para prestar asistencia a distintos grupos de la administracin local de <localidad> y para promover y coordinar el/la <actividad> en esta zona. <Localidad> tiene 17.500 habitantes. En estos momentos, la asociacin <XYZ> es un organismo sin nimo de lucro exento de impuestos y cuenta con una Junta Directiva, pero no tiene personal ni locales administrativos. Se ha asignado un presupuesto mximo para los trabajos de asesora de <cantidad>.
Tareas que debern realizarse Continuar el desarrollo de la Asociacin y planificar sus trabajos futuros en colaboracin con un grupo operativo de organizaciones miembros para determinar las necesidades comunes que <XYZ> deber satisfacer y la forma de hacerlo, as como desarrollar una campaa de sensibilizacin. En concreto: - Elaborar un plan de trabajo basado en las metas y objetivos establecidos. - Elaborar un boletn de <XYZ> y publicar los primeros nmeros. - Desarrollar proyecciones anuales del presupuesto de <XYZ> para la campaa durante los prximos tres aos. - Desarrollar medios para cuantificar la eficacia de la campaa. - Disear una metodologa para registrar las conclusiones sacadas y los comentarios sobre las comunicaciones, e incorporarlos a un plan de trabajo actualizado. Esta campaa deber comenzar el <fecha> y deber concluir, a ms tardar, el <fecha>.
Modo de presentacin de las propuestas Los interesados debern presentar los siguientes documentos a ms tardar el <fecha>, a <persona> en la asociacin <XYZ>. Para ms informacin, srvase ponerse en contacto con <personas>. 1. Una propuesta en la que se describan sus cualificaciones (o las cualificaciones del equipo de asesores) y la forma en la que se llevarn a cabo las tareas antes mencionadas. 2. Una estimacin definitiva de los honorarios, as como una estimacin de los gastos correspondientes. 3. Currculum vitae de todos los asesores que participarn en el proyecto.
Pgina 61 de 69
4. Nombre, nmero de telfono y direccin de personas pertenecientes a tres organizaciones sin fines de lucro que hayan sido sus clientes durante los ltimos 18 meses, y con los que podamos ponernos en contacto para pedir referencias. 5. Las entrevistas con los candidatos seleccionados tendrn lugar durante la semana del <fecha>.
Pgina 62 de 69
PROYECTO / PROGRAMA
Personas y organizacin Tareas realizadas durante la ltima semana Tareas previstas para la semana prxima Riesgos
Sucesos que podran ocurrir y afectar a nuestros planes y actividades Descripcin Origen Gravedad potencial Probabilidad Planes de atenuacin
Problemas
Sucesos que estn ocurriendo y afectan a nuestros planes y actividades Descripcin Origen Gravedad Estado Planes de atenuacin
Pgina 63 de 69
I. Planificacin y valoracin - Crear el equipo inicial encargado del programa - Adoptar un enfoque de gestin del cambio Abril de 2006 Abril de 2006 Abril de 2006 Abril de 2006 - Seleccin del equipo - identificacin de los principios del programa - apoyo explcito de la direccin y aprobacin del presupuesto -Lista abreviada de personal y materiales - decisin de realizar la campaa dentro de la organizacin o de subcontratarla - lista de opciones por prioridades - poltica y procedimientos del programa - plantillas para los informes del programa - funciones y responsabilidades
- Obtener el apoyo de la direccin y la financiacin necesaria - Seleccionar el personal y los materiales necesarios para el programa - Evaluar posibles soluciones
Abril de 2006
Julio de 2006 Junio de 2006 Junio de 2006 Junio de 2006 Junio de 2006 Junio de 2006
Julio de 2006 Junio de 2006 Julio de 2006 Julio de 2006 Julio de 2006 Julio de 2006
- plan de trabajo
- formalizacin y adopcin de la metas y objetivos del programa - seleccin de los grupos destinatarios y documentacin de necesidades - desarrollo del programa
- elaboracin de los mensajes - detalles de los mensajes - prueba de los mensajes - determinacin de los socios de comunicacin - seleccin de los canales de comunicacin - plan pormenorizado de comunicaciones - mecanismo para recibir comentarios. - parmetros de evaluacin
II. Ejecucin y gestin - Confirmar el equipo encargado del programa Agosto de 2006 Agosto de 2006 Octubre de 2006 Agosto de 2006 Agosto de 2006 Enero de 2007 - confirmacin del equipo
Pgina 64 de 69
III. Evaluacin y modificacin - Realizar evaluaciones Febrero de 2007 Febrero de 2007 Febrero de 2007 Marzo de 2007 Marzo de 2007 Mayo de 2007 Marzo de 2007 Marzo de 2007 Marzo de 2007 Abril de 2007 - resultados de las encuestas
Abril de 2007
- Reactivar el programa
Pgina 65 de 69
Definicin
Categora
Subcategora
Ejemplo / Recomendaciones
Pgina 66 de 69
Anexo V Ejemplo de cuestionario sobre sensibilizacin para uso de las autoridades pblicas
[Nombre de la organizacin] est llevando a cabo un estudio a fin de encontrar medios para
informar a los ciudadanos de [nombre de la localidad] sobre los problemas de la seguridad de la informacin. Les agradeceramos que dedicaran 10 minutos a responder unas cuantas preguntas sobre este tema.
1. Cmo se conecta a Internet? a. ____Conexin telefnica b. ____Conexin ADSL (banda ancha) c. ____Intranet de empresa
2. Dnde utiliza su ordenador? (Marque las opciones pertinentes) a. ____En casa b. ____En la oficina c. ____En locales de acceso pblico (escuela, biblioteca, centro comunitario) d. ____Cibercaf e. ____Centro de Internet / telefnico f. ____Otros (indquese)_____________________________
3. Muchas personas consideran que la seguridad consiste en protegerse contra los efectos negativos. Tomando como base esta consideracin, indique su grado de preocupacin por la seguridad de sus activos informticos (ordenador, perifricos, datos electrnicos, etc.). Utilice una escala de 1 a 5, en la que uno significa muy preocupado y cinco muy poco preocupado. 1 2 3 4 5 Muy poco preocupado
Muy preocupado
Algo preocupado
4. en su opinin, cul es la mayor amenaza para sus equipos informticos? Seleccione todas las respuestas pertinentes: a. ____virus y gusanos b. ____spam y otros correos electrnicos no solicitados c. ____piratas informticos d. ____sistemas de fraude e. ____programas informticos malintencionados (por ejemplo, spyware) f. ____equipos informticos defectuosos Otras____________________________________________________________
Pgina 67 de 69
5. Sabe que [autoridad pblica] evaluar las posibles amenazas contra los equipos informticos del pblico y que esta informacin podra contribuir a elaborar un plan para protegerle a usted de estas amenazas? S, lo s. No, no lo saba.
6. Indique su grado de conocimiento sobre las medidas que puede tomar para proteger sus activos informticos. Utilice una escala de uno a cinco, en la que uno significa muy enterado y cinco significa muy poco enterado: 1 Muy enterado 2 3 Algo enterado 4 5 Muy poco enterado
7. Ha adoptado alguna de las siguientes medidas para proteger su ordenador y sus datos electrnicos? Marque todas las opciones pertinentes. a. ____Actualizacin peridica del programa antivirus b. ____Cortafuegos c. ____Filtro antispam d. ____Buenas prcticas en materia de contraseas e. ____Copias de seguridad peridicas de los datos f. ____ Actualizacin del navegador de Internet con codificacin g. ____Otras (indquese) __________________________________
8. Cul es la mejor manera de informarle sobre la forma de protegerse de peligros potenciales? En otras palabras, a qu medio presta mayor atencin para obtener informacin? a. ____Radio b. ____Anuncios en televisin c. ____Peridico local d. ____Boletines que recibe en casa e. ____Reuniones ciudadanas y de vecinos f. ____ Carteles g. ____Otros (indquese) __________________________________
Muchas gracias por responder a esta encuesta. Utilizaremos sus respuestas para desarrollar informacin destinada a campaas de sensibilizacin acerca de la importancia de la seguridad de la informacin. Indique a continuacin si desea recibir ms informacin sobre el tema de la seguridad de la informacin o S o No
Pgina 68 de 69
CATEGORA (Primaria/secundaria):
TTULO / TEMA:
PALABRAS CLAVE:
CONCLUSIONES SACADAS:
RECOMENDACIONES:
ANEXOS:
REFERENCIAS:
PRESENTADO POR:
PROYECTO/OFICINA
ORGANIZACIN / EMPRESA
LOCALIDAD:
TELFONO:
CORREO ELECTRNICO:
ESPECIALIZACIN:
EDIFICIO / OFICINA:
FECHA PRESENTACIN:
Pgina 69 de 69