PLAN DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA LA ENTIDAD ADRES
Enviado por WILDERJEFRY21 • 28 de Mayo de 2020 • Informe • 2.277 Palabras (10 Páginas) • 144 Visitas
PLAN DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA LA ENTIDAD ADRES
OBJETIVO GENERAL
Diseñar una estrategia para fortalecer la cultura de la seguridad de la información mediante difusión y sensibilización a funcionarios y contratistas, con el fin de propiciar el compromiso, la toma de conciencia y la responsabilidad respecto al mismo, brindando el apoyo para la sostenibilidad y continuidad de negocio de la entidad.
OBJETIVOS ESPECÍFICOS
- Lograr que todos los miembros que integran la entidad, entiendan y se comprometan con todos los aspectos relacionados con el Sistema de Gestión de Seguridad de la Información.
- Crear una cultura respecto a la integridad, confidencialidad y disponibilidad de la información en donde todos los miembros de la entidad comprendan la importancia de dar un tratamiento adecuado a la información.
- Concientizar a todo el personal, de los riesgos que se pueden presentar que podrían afectar tanto a ellas como la integridad de la entidad y su misión social.
ALCANCE
La estrategia del plan de sensibilización aplica para todos los contratistas y funcionarios internos de ADRES incluyendo a los directivos y niveles jerárquicos que produzcan, administren, custodien o que tengan acceso a la información de la entidad, de modo que se extienda la necesidad de la seguridad de la información de una manera estructurada, que permita maximizar la interiorización de estos conceptos y su aplicación en la cotidianidad laboral y personal.
RESULTADO ESPERADO
A través de esta estrategia de generación de conciencia en seguridad de la información, se espera que todos los funcionarios, contratistas y demás partes interesadas de ADRES, generen una cultura con respecto al uso y tratamiento responsable de la información, que se cambien los malos hábitos considerados como inseguros por comportamientos seguros respecto a la protección de la información institucional y de carácter personal.
DESCRIPCIÓN GENERAL
El plan de sensibilización en seguridad de la información, es una estrategia que busca que todos los funcionarios, contratistas y demás partes interesadas cumplan cabalmente las políticas de seguridad de la información en sus labores y generar buenas prácticas respecto al cuidado y custodia de la información, estás buenas prácticas actúan de manera preventiva ayudando a la entidad a salvaguardar sus activos de información.
¿Por qué es necesario una estrategia de sensibilización en seguridad de la información?
En la actualidad, no es raro encontrar que el personal de muchas entidades, tengan conceptos erróneos acerca del cuidado de la seguridad de la información; pensamientos como que no hay nada importante por proteger en su computador, o el concepto errado que la tecnología por si misma puede resolver los problemas de seguridad, sin percatarse de que continuamente se generan nuevos métodos mediante engaños, que buscan obtener información confidencial de la entidad haciéndola más vulnerable, a los riesgos que podrían ocasionar tanto las amenazas externas como internas.
Debido a esto, la estrategia del plan de sensibilización será diseñada e implementada con el fin de lograr conciencia a todos los funcionarios, contratistas y terceros, que conozcan todos los riesgos que podrían ocurrir y los diferentes tipos de incidentes en seguridad de la información que existen si se materializa cada uno de estos, además de que se promuevan las debidas precauciones y recomendaciones a través de las diferentes actividades de concienciación y sensibilización.
DISEÑO DE LA ESTRATEGIA DE SENSIBILIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
Fase 1: Ataque dirigido por correo electrónico
En la primera fase de la estrategia, consistirá en que a través de un medio de servicio de consultoría especializada, se desplegará un ataque de Phishing controlado por medio del correo electrónico institucional, dirigido a los funcionarios y contratistas que simule un riesgo de seguridad el acceder al contenido del correo; este ataque será dirigido por el grupo de seguridad de la información de la Dirección de Gestión de Tecnologías de la Información y las Comunicaciones de la entidad.
Más detalladamente, consistirá en que a través de un correo electrónico desconocido pero imitando las presentaciones de los emails que se envían dentro de la entidad, se enviara un link, el cual, se pedirá por órdenes de la Alta Dirección, que accedan a éste, el cual, los enviará a un formulario que contendrá una serie de preguntas que tendrán como objetivo, la recolección de datos personales y contraseñas de acceso a los sistemas de información, que deben diligenciar.
El objetivo de este ataque es en primera medida, es recolectar información de la cantidad de personas que accederán a este correo y de los que lo omitirán o los que lo reportaran a la Dirección de TIC; esto con el fin de analizar y medir el grado inicial de madurez de este tipo de riesgos informáticos a la entidad, tener un punto iniciar de referencia y a la vez de concientizar de la vulnerabilidad que existe y de las precauciones que se deben tener a la hora de confiar en los correos que se reciben.
Imagen 1: Phishing
[pic 1]
Fase 2: Imagen de la estrategia de sensibilización
Se creara e implementara un personaje tipo Superhéroe que representará al Sistema de Gestión de Seguridad de la Información, de tal forma que al verlo, los funcionarios de ADRES tengan presente los principios de la seguridad de la información y las buenas prácticas que se debe tener para el manejo adecuado de la información.
Esta imagen estará presente en todas las tácticas y actividades que conforman la estrategia de sensibilización de la entidad.
Imagen 2: Imagen Superhéroe de la estrategia de sensibilización del SGSI
[pic 2]
Fase 3: Tácticas en la generación de conciencia con la imagen de la estrategia
En esta fase se llevara a cabo una serie de tácticas y estrategias que tendrán como objetivo, llegar a la concientizar a cada funcionario, contratista y terceros involucrados, en la importancia de la seguridad de la información y los beneficios que se deben cumplir con relación a la política de seguridad del SGSI y sus lineamientos de acuerdo a los siguientes puntos:
...