Con las brechas en la seguridad y la suplantación de identidades en el punto de mira, la empresa de seguridad EDS asegura que proteger información es responsabilidad de todos los miembros de una organización. Al implementar medidas de seguridad, muchas compañías se centran en la tecnología que hay detrás de los procesos, pero olvidan un elemento vital: las personas. EDS cree que los empleados deben asumir y practicar una cultura de seguridad corporativa generalizada.

Al Decker y Rebecca Whitener, pertenecientes a la división de Servicios de Privacidad y Seguridad de EDS y con 35 años de experiencia en el sector, proporcionan 10 consejos clave para conseguirlo: 

1. Implemente una cultura de seguridad desde arriba. Los directivos senior deben adoptar una cultura de seguridad y asegurarse de que los empleados tienen un acceso constante a la información y a cursos de formación en privacidad y seguridad. 
2. Ofrezca programas anuales de la formación. Proporcione oportunidades de formación anual, así como un fácil acceso a los expertos en seguridad de la organización, que le ayudará a los empleados a mantener la importancia de una cultura de seguridad en la mente de sus empleados. 
3. Fomente una política clara de mesas de trabajo. Cualquier mesa ubicada en un espacio abierto y cualquier oficina sin cerrar bajo llave es un objetivo fácil para el robo de información. Aunque suene simple, pedir a los empleados que tengan bajo llave la información confidencial cuando no estén cerca de sus mesas -especialmente antes de abandonar la oficina cada día-, puede mejorar enormemente la seguridad sobre la información altamente delicada. 
4. Active una política de clasificación de la información. Designar una clasificación para los diferentes tipos de información puede ayudar a establecer los niveles apropiados de control, tanto para las comunicaciones externas como las internas. Asegúrese de que sus empleados entienden las diferencias entre cada clasificación y facilite ejemplos de los tipos de información que entran en cada categoría. Las interrupciones ocurren con frecuencia cuando los empleados reenvían correos electrónicos que contienen largas cadenas de información altamente confidencial a personas que no pertenecen a la empresa, incluso sin darse cuenta de que esa información formaba parte del correo electrónico. Concienciar sobre qué tipos de información son “sólo para tu compañía” es una sencilla forma de reducir las brechas de seguridad. 
5. Ordene la información con seguridad. La información desechada en la papelera de la compañía puede acabar con facilidad en las manos equivocadas. Aquí es donde las clasificaciones resultan realmente prácticas. Las trituradoras comerciales o las cajas trituradoras de cada departamento pueden usarse para desechar información altamente confidencial, mientras la papelera de la empresas se puede destinar a documentos menos delicados. 
6. Vigile sus conversaciones fuera de las instalaciones de la compañía. ¿Cuántas veces ha estado usted sentado en un aeropuerto al lado de una persona que trabajaba en su ordenador portátil o leía documentos confidenciales de la compañía? ¿Y cuántas ha oído a alguien discutir sobre los clientes de su empresa en un restaurante público? Cuando sus empleados estén en un lugar público, no estarán protegidos por las paredes de su compañía y serán presa fácil de mirones y curiosos. Recuerde constantemente a los empleados que cualquier discusión o conducta relacionada con el trabajo en un lugar público está expuesta al conocimiento general y a serias brechas de seguridad. 
7. Enfoque la seguridad en múltiples capas. Sepa quién tiene acceso a su compañía. Así como usted tiene los controles y los métodos de autenticación apropiados para acceder a la red de su compañía valiéndose de la seguridad que le ofrecen las Tecnologías de la Información (TIS), también debe salvaguardar el acceso a las instalaciones físicas. Una de sus capas de seguridad debe asegurar que sólo las personas autorizadas penetren en las instalaciones de su empresa. Junto a la implementación de un sistema de acceso de insignias, sus programas anuales de formación para empleados deben enfatizar la importancia de restringir los accesos físicos sólo a aquellas personas autorizadas a entrar en las instalaciones. 
8. Asegúrese de que sus empleados pueden responder a dos preguntas vitales.Cuando establezca una cultura de seguridad, debe asegurarse de que todos sus empleados sean capaces de responder a dos preguntas: “¿Detectaría una violación de seguridad si ocurriera? ¿A quién se lo contaría?”. Centrar sus programas anuales de entrenamiento en torno a estas dos cuestiones pueden contribuir a educar a sus empleados como una “comunidad” para proteger la información de su compañía. 
9. No subestime el poder de la ingeniería social. El elemento humano en una organización es muchas veces la principal causa de fallos. En general, las personas desean confiar en otras personas. Y muchas veces, los ladrones de información abusan de esta confianza, convenciendo a los empleados para saltarse las normas de muy diversas formas. Utilizan tácticas para conseguir datos confidenciales, simulando ser empresas legítimas en busca de información para una encuesta, o ciudadanos normales que necesitan el nombre de un empleado para agradecerle la ayuda que les han proporcionado dado con un neumático pinchado. Los empleados necesitan ser concienciados de que cualquiera de estos incidentes extraordinarios deben ser consideradas sospechosos: desconocidos vagando por los pasillos o extrañas peticiones de información fuera de los procesos empresariales habituales (incluso si la solicitud proviene de una fuente fiable, nunca revele una clave a nadie o se habrá salido del proceso de seguridad). 
10. Asegúrese de que la función de auditoría corporativa incluye una política de seguridad y de revisión de prácticas. Se necesita un proceso de auditoría con definidas políticas de excepción para asegurar que los recursos informáticos de la corporación y las prácticas manuales estén en conformidad con las normas. Controles apropiados, auditorías y procesos de inspección deberían estar en su sitio para responder al sistema, la red y otros eventos y condiciones.

Autor: Baquia.com
Web: http://www.baquia.com/noticias.php?id=9990&PHPSESSID=b440e6434bce3520459e2a1ab8adc1f4