Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Cómo medir la efectividad de la concientización

Anuncio 
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: [email protected]
COMO MEDIR LA EFECTIVIDAD DE LA CONCIENTIZACIÓN
© Ing. Carlos Ormella Meyer
Los planes de concientización especialmente en seguridad de la información han sido muchas veces terreno
fértil de opiniones discordantes, especialmente en cuanto a su real efectividad incluso frente a la inversión
que requieren. Qué temas tratar, cómo y con cuánta regularidad.
Un sistema para medir la efectividad de las charlas/jornadas de seguridad debe proporcionar la información
necesaria para responder adecuadamente a los tres interrogantes planteados antes, así como también
facilitar el establecimiento de prioridades en cuanto a la repetición de dichas charlas.
El objetivo de este trabajo es mostrar una metodología práctica y consistente para verificar la efectividad
de los planes de concientización en cuanto por ejemplo a los diferentes Temas o Reglas de Seguridad
tratados en las charlas en cuestión.
El Nivel de Adhesión a tales Temas logrado por parte de las personas que han participado de un plan de
concientización se puede verificar según diferentes Criterios con los que se pueden considerar los Temas
en cuestión.
Tendremos entonces un cierto número de Temas, con diferentes importancias o prioridades relativas o Peso
Relativo, de modo que cada Tema se pondera porcentualmente para un total igual a uno para la totalidad de
los Temas.
De manera similar, los diferentes Criterios tendrán su importancia o prioridad relativa o Peso Relativo de
modo que cada Criterio se pondera también porcentualmente para un total igual a uno para la totalidad de
los Criterios.
En ambos casos, Temas y Criterios, la situación puede analizarse recurriendo a la Función de Valor como
el método más empleado del MCDA (Análisis de Decisiones con Múltiples Criterios).
En lo que sigue, para una mejor comprensión hemos optado por revisar primero el Proceso de Obtención
de Datos y luego el Cuadro de Resultados obtenidos con dichos datos.
Proceso de obtención de datos
Para llevar adelante todo el proceso mencionado antes se requiere establecer los Temas, los Criterios con
que se analizará el Nivel de Adhesión a los Temas, y los Pesos Relativos de cada uno de los Temas y de
cada uno de los Criterios.
Primero hay que considerar que los Temas responden a los tratados en el plan de concientización, como por
ejemplo Nivel de Adhesión a las Políticas de seguridad de la empresa, Manejo y gestión de contraseñas,
Uso del equipamiento móvil, Manejo de documentación en papel, Uso del email e Internet, Reacción ante
incidentes, etc.
En segundo término, para establecer el Nivel de Adhesión a dichos Temas se puede recurrir a técnicas
propias de la Psicología Social conforme al aporte a dicha Adhesión en cuanto, por ejemplo, a qué sabe, qué
15.11.2013 - 7:48 p.m.
© Ing. Carlos Ormella Meyer
Página 1 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: [email protected]
siente y qué hace una persona respecto de cada Tema, lo que implica respectivamente el Conocimiento, la
Actitud y el Comportamiento, aspectos éstos que involucran lo que denominamos el Factor Gente [1].
De esta manera puede medirse la adhesión o aceptación no sólo del conocimiento transferido, sino
también de la actitud que toman esas personas respecto de dicho conocimiento, y del comportamiento que
asumen cuando tienen que aplicar dicho conocimiento.
Para el caso se usan cuestionarios cerrados de dos o tres respuestas posibles tales como Verdadero/Falso
y en algunos casos también No Sabe.
A modo ilustrativo, presentamos tres ejemplos:
Tema: Políticas – Criterio: Conocimiento
“En el caso de manejo de datos sensibles es suficiente mantener la confidencialidad de los archivos
electrónicos y los documentos impresos.”
Tema: Internet – Criterio: Actitud
“Ud. puede desentenderse de la posibilidad de mensajes Spam puesto que la empresa tiene instalado un
mecanismo de detección de los mismos.”
Tema: Contraseñas – Criterio: Comportamiento
“Como Ud. tiene que usar varias contraseñas y puede olvidarlas, las guarda escritas en un lugar oculto de su
escritorio que incluso cierra con llave al retirarse al fin del día.”
Y tercero, los Pesos Relativos de cada uno de los Temas y de cada uno de los Criterios se pueden
establecer o bien a partir del conocimiento y/o experiencias propias o de terceros, o bien mediante la
aplicación del AHP (Proceso de Análisis Jerárquico).
El método AHP es el indicado cuando hay más de tres variables, y en todos los casos cuando las
comparaciones de a pares de las variables resultan de opiniones subjetivas independientes entre sí, que no
guardan relaciones directas entre sí.
La solución en estos casos implica trabajar con matrices para determinar el llamado eigenvector, donde los
valores normalizados de sus componentes darán los porcentajes buscados.
Cuadro de Resultados
Veamos la aplicación de la Función de Valor para el análisis de los diferentes Temas en cuanto a la
Adhesión a cada uno conforme Criterios establecidos, y teniendo a la vista el Cuadro de Excel que se
muestra en la página siguiente, y en el que las celdas se han semaforizado según las condiciones
establecidas en la parte inferior del mismo.
Primeramente describiremos las diferentes partes del cuadro para después comentar los valores mostrados
en el mismo.
Partes del Cuadro de Resultados
En este cuadro se presentan a la izquierda los diferentes Temas con los Pesos Relativos que les hemos
asignado en cada caso, mientras que en la parte superior de las tres columnas de Criterios, se identifican los
mismos, también con los Pesos Relativos que les hemos fijado a cada uno.
15.11.2013 - 7:48 p.m.
© Ing. Carlos Ormella Meyer
Página 2 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: [email protected]
En la parte central de este cuadro se encuentran diferentes porcentajes con valores que por ejemplo van
desde el 46% para el primer Tema y primer Criterio hasta el 29% del último Tema y último Criterio.
Dichos valores señalan los Niveles de Adhesión a cada Tema desde el punto de vista de cada Criterio.
Tales Niveles de Adhesión son el resultado de las respuestas a Cuestionarios para medir precisamente la
Adhesión o conformidad o cumplimiento por parte de los asistentes a las jornadas/charlas del plan de
Concientización y/o Capacitación correspondiente, con respecto a los diversos enfoques de los diferentes
Temas tratados durante el evento.
Por su parte, la columna de la derecha referida a cada Tema y la fila inferior correspondiente a cada Criterio
totalizan Resultados. La columna de la derecha, las Funciones de Valor para cada Tema respecto de todos
los Criterios. La fila inferior, las Funciones de Valor de todos los Temas respecto de cada Criterio.
Finalmente, el valor de la columna de la derecha y última fila (55%) corresponde a la Función de Valor
Total de todos los Temas respecto de todos los Criterios.
Valores del Cuadro de Resultados
Revisemos ahora los valores mostrados en el cuadro.
En primer lugar la Función de Valor para un Tema determinado respecto de un Criterio en particular estará
dada por el producto del Nivel de Adhesión al Tema según dicho Criterio y el Peso relativo del Criterio en
cuestión.
Por ejemplo, en el cuadro se tiene que el Nivel de Adhesión al Tema Políticas en cuanto al Criterio del
Conocimiento es del 46%.
Por lo tanto y puesto que el Peso Relativo del Criterio en cuestión se fijó en un 30%, la Función de Valor
correspondiente será igual a:
46% * 30% = 13,8%.
15.11.2013 - 7:48 p.m.
© Ing. Carlos Ormella Meyer
Página 3 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: [email protected]
Por extensión, la Función de Valor para un Tema determinado respecto de todos los Criterios será la
sumatoria de los resultados obtenidos para cada uno de los Criterios.
Tomando como ejemplo de nuevo el caso del Nivel de Adhesión al Tema Políticas, tendremos los aportes
de los tres Criterios: Conocimiento, Actitud y Comportamiento.
Sumando entonces las correspondientes Funciones de Valor para cada Criterio se obtiene la Función de
Valor del Tema Políticas, de forma tal que expresando los porcentajes como enteros el Nivel de Adhesión
para cada Criterio, y como fracciones para los Pesos Relativos de cada Criterio, tendremos:
46 x 0,3 + 53 x 0,2 + 35 x 0,5 = 42 % en números redondos.
Análogamente, la Función de Valor para todos los Temas respecto de cada Criterio estará dada por la
sumatoria del Nivel de Adhesión a cada Tema por el Peso relativo del Criterio en cuestión.
En este caso tendremos por ejemplo para el Criterio de Actitud:
(53+76+67+65+36) * 0,2 = 61%
Finalmente, la Función de Valor para todos los Temas analizados será igual a la sumatoria de la Función
de Valor de cada uno de los Temas por el Peso relativo del Tema correspondiente en cada caso.
En nuestro caso tendremos a partir de los datos de la columna de la derecha:
42 * 0,2 + 76 * 0,25 + 55 * 0,25 + 61 * 0,15 + 36 * 0,15 = 55 % como Función de Valor Total de Temas y
Criterios, y que evidentemente mide la efectividad total del plan de concientización.
Al mismo resultado se llega por medio de la sumatoria de los productos de la Función de Valor de cada uno
de los Criterios por el correspondiente Peso relativo del Criterio correspondiente en cada caso.
Comentarios Finales
El 55% obtenido antes como Función de Valor Total de Temas y Criterios, muestra que el resultado del plan
de concientización ha sido más bien regular.
Pero hay más; si se revisa cada uno de los valores obtenidos surge que la parte débil del programa de
concientización reside en los Comportamientos cuestionables en varios de los Temas, especialmente en el
de Incidentes.
Por otra parte, también se pueden sacar conclusiones respecto a los Temas tratados en su conjunto.
De esta manera se pueden establecer prioridades en la repetición de las charlas correspondientes. En
nuestro caso, por ejemplo, el tema Incidentes debería tener prioridad en tal sentido, seguido por el de
Políticas y posteriormente por el de E-mail e Internet, que muestra un pobre resultado en cuanto a
Comportamiento.
Otro punto que puede motivar nuevos análisis es el de los Pesos Relativos. El más evidente podría ser el
referido a los Criterios. Por ejemplo, quizás haya quienes preferirían disminuir el porcentaje asignado al
Conocimiento y aumentar el de Actitud.
15.11.2013 - 7:48 p.m.
© Ing. Carlos Ormella Meyer
Página 4 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: [email protected]
Algo parecido podría ocurrir con los Pesos Relativos de los Temas.
De cualquier manera, especialmente en el caso de los Temas, las ponderaciones simples pueden resultar
demasiado subjetivas. Mejores resultados se pueden obtener aplicando el método AHP ya comentado.
Por último, conviene advertir que el Cuadro de Resultados obtenido puede resultar muy indicativo y útil a
nivel gerencial de Seguridad de la Información e incluso de Riesgos.
Pero para la alta gerencia y aún para otras gerencias medias, el cuadro en cuestión presenta “demasiados
números” que no atraerían la atención necesaria.
Para tales escenarios es mejor preparar una gráfica tipo “radar”, muchas veces usada y conocida en dichos
niveles gerenciales, donde los resultados más bien se observan a partir de los colores de una
semaforización como la mostrada en el cuadro con que trabajamos antes.
Finalmente, y más allá del área específica de Seguridad de la Información, se puede decir que dada la
fortaleza aportada por la Función de Valor, esta metodología puede usarse también en otros escenarios en
los que sólo haya que considerar Temas, es decir, donde no corresponda aplicar factores psicológicos.
Un caso en tal sentido es cuando se realiza la valuación y auditoría del estado de preparación o
cumplimiento de una empresa en cuanto a la Gestión de Continuidad de Negocios, BCM.
[1] Ver “El Factor Gente” en http://www.criptored.upm.es/descarga/FactorGenteSeguInfo.zip
15.11.2013 - 7:48 p.m.
© Ing. Carlos Ormella Meyer
Página 5 de 5
Documentos relacionados
CAPÍTULO XVIII ADHESIÓN Artículo 32°.
CAPÍTULO XVIII ADHESIÓN Artículo 32°.
Adhesión Artículo 11.- El presente Acuerdo estará abierto a la
Adhesión Artículo 11.- El presente Acuerdo estará abierto a la
QUINTA.- Condiciones a cumplir por las entidades que integran la
QUINTA.- Condiciones a cumplir por las entidades que integran la
MODELO DE INSTRUMENTO DE ADHESIÓN
MODELO DE INSTRUMENTO DE ADHESIÓN
LISTADO ENTIDADES ADHERIDAS AL CÓDIGO PAOS A 23/06
LISTADO ENTIDADES ADHERIDAS AL CÓDIGO PAOS A 23/06
Descargar
Anuncio
Anuncio