PLAN DE GESTION DE LA CULTURA ORGANIZACIONAL EN APROPIACION DEL SGSI EN ICBF PLAN DE TRABAJO

Transcripción

1 PLAN DE GESTION DE LA CULTURA ORGANIZACIONAL EN APROPIACION DEL SGSI EN ICBF INTRODUCCION La Seguridad de la Información, es una parte esencial e importante en las organizaciones ya que la información se constituye un activo primordial y se debe mantener en ella la confidencialidad, disponibilidad e integridad. El eslabón más débil de la cadena son las personas o el recurso humano también llamado Capa Ocho ya que la mayoría de veces existe falta de compromiso para proteger la información o desconocimiento de las políticas o controles de seguridad de la información en las organizaciones. Es por esta razón que el grupo SGSI ve la necesidad de implementar en el ICBF campañas de sensibilización, concienciación, culturización y apropiación, dirigidas al recurso humano, para mitigar riesgos asociados a la falta de cultura de Seguridad de la Información y finalmente contar con un nivel de concienciación de seguridad de la información que establezcan medidas preventivas y que se estandaricen en la institución. OBJETIVO GENERAL PLAN DE TRABAJO Sensibilizar y crear conciencia en el personal del ICBF (Contratistas y Personal de Planta), en las buenas prácticas de seguridad de la información, apoyando así al instituto a proteger los activos de información, mediante campañas y estrategias que aumenten la efectividad en la implantación de la cultura SGSI en el personal del ICBF y contrarrestar de manera eficaz las amenazas que ponen en riesgo la Seguridad de la Información en el Instituto. Objetivos Específicos: Realizar campañas de sensibilización en la sede Nacional y en las Regionales del ICBF. Utilizar los canales de comunicación y herramientas que posee el ICBF para fomentar la cultura de la seguridad de la información de manera didáctica y amena, favoreciendo el cumplimiento de las políticas de Seguridad de la Información. Sensibilizar, educar al personal (contratistas y personal de planta) con actividades relacionadas con la Seguridad de la Información.

2 Estimular al personal (Contratistas y Personal de planta) a adoptar las directrices y buenas prácticas dadas durante la campaña de sensibilización para proteger los activos de información. FASE I PLANIFICACION Y VALORACIÓN Equipo inicial encargado del programa: El equipo encargado de ejecutar el plan de Gestión de la Cultura Organizacional en apropiación del SGSI está compuesto por: NOMBRE RESPONSABILIDADES Dayana Carbonó Carbonó SGSI Dar lineamientos acerca de la ejecución del Plan de Cultura Organizacional en apropiación del SGSI a los Ingenieros Regionales. Diseñar los instrumentos de medición del Plan de Cultura Organizacional en apropiación del SGSI. Desarrollar, dirigir, gestionar, el plan de gestión de cultura organizacional. Realizar seguimiento a la ejecución del plan de la cultura organizacional. Realizar análisis de la información de los instrumentos de medición. Equipo de Apropiación Apoyar la creación de piezas gráficas, material de diseño etc. que se requiera dentro del plan de la cultura organizacional en apropiación del SGSI. Ingenieros Regionales Ejecutar y coordinar a nivel regional las actividades del plan de cultura organizacional en apropiación del SGSI. Aplicar los instrumentos de medición del Plan de Cultura Organizacional en apropiación al SGSI. Equipo Comunicaciones Apoyar en la publicación y difusión de las actividades del plan de la cultura organizacional en apropiación del SGSI en los diferentes medios de comunicación existentes en el ICBF.

3 Análisis actualidad ICBF culturización en SGSI El ICBF actualmente cuenta con los siguientes mecanismos, a través de los cuales se viene apoyando la socialización del SGSI: Miércoles de Seguridad un espacio en el correo institucional para plasmar temas de seguridad de la información, la idea es que con el apoyo del Equipo de Apropiación de la Subdirección de Sistemas Integrados de Información, se realicen las piezas gráficas de acuerdo a los temas programados, lo antes mencionado no se está realizando, lo que se envía en Miércoles de Seguridad son los boletines informativos que proporciona la Policía Nacional. Curso virtual de Seguridad de la información para que los funcionarios acedan a él y puedan ser formados en el tema, el cual está diseñado con la norma ISO 27001:2005. campañas de sensibilización adelantadas en algunas regionales por los ingenieros referentes del SGSI. Con relación a los tres puntos mencionados anteriormente: se pretende continuar con la iniciativa Miércoles de Seguridad con el apoyo del Equipo de Apropiación entregándoles los temas que se van a socializar cada mes, con el fin de que diseñen las piezas gráficas, las cuales se suministrarán al equipo de comunicaciones para que sea enviado a través del correo institucional a todos los colaboradores del ICBF. Con respecto al curso virtual se proyecta realizar la actualización a la norma ISO 27001:2013 con cambios básicos en el diseño del mismo. Finalmente se realizará invitación a los ingenieros regionales para participar conjuntamente en el plan de cultura organizacional en apropiación al SGSI y crear un espacio de innovación, en donde los ingenieros realizarán actividades propias creativas y de esta manera estar articulados y unir esfuerzos de impacto institucional. El plan de gestión de cultura organizacional en apropiación del SGSI, trae consigo efectuar cambios en el comportamiento de los funcionarios con respecto a la seguridad de la información, el cual abarcará retos como: cambiar hábitos de personas de diferentes edades y con un trayecto en tiempo significativo dentro de la institución. Dicho lo anterior se adopta un enfoque de gestión de cambio conformado por la participación, la formación, la comunicación y la evaluación de los funcionarios del ICBF, teniendo como finalidad alcanzar y cumplir los objetivos del plan de gestión de cultura organizacional en apropiación del SGSI.

4 Medios y herramientas de comunicación para el plan de gestión de cultura organizacional en apropiación del SGSI A continuación se detallan los medios y herramientas de comunicación que se tendrán en cuenta para la ejecución del plan: N Medios y herramientas 1 Fondo de escritorio 2 Protector de Pantalla 3 Pendones Afiches 4 Curso de Seguridad de la Información Teórico practico virtual 5 Intranet 6 Correo Masivo 8 Yammer- Red social corporativa 9 Mensajes en ventanas pop up 10 Mensajes plasmados en objetos (premios) 11 Juegos 12 Capacitaciones 13 Videos

5 Para los objetos que se utilizarán como premios, se contemplan los siguientes: N Objetos 1 Candados 2 Bolígrafos 3 USB 4 Tablets 5 Libretas de apuntes 6 Camisetas 7 Gorras 8 Discos duros externos 9 Sombrillas Personaje del Plan de Gestión de Cultura Organizacional Para el Eje de SGSI está establecido una mascota llamada Segurito.

6 Se realiza propuesta para cambiar la mascota por personaje y ser utilizada en las campañas de sensibilización y culturización del presente plan de gestión de la cultura organizacional. El personaje fue diseñado en un programa de modelado 3D lo que permite realizar todo tipo de animación realizado por Juan Manuel Rojas del equipo de Apropiación de la Subdirección de sistemas de Información Integrados. Eslogan: Soy parte del club de amigos de la Seguridad de la Información.

7 N ACTIVIDAD TEMA CANAL HERRAMIENTA FECHA EJECUCION FRECUENCIA 1 Miércoles de Seguridad Redes Sociales e Ingeniería Social Phishing Identifícate con la seguridad, uso del carnet Protege tu puesto de trabajo- Computador seguro Malware Buenas prácticas Navegación Segura y Política de Navegación Web Ciberseguridad Tú cuentas en la Seguridad de la Información Top Temas del año 2 Día Internacional de la Matrix Recargado de Seguridad de la Seguridad. información Virtual Piezas Gráficas 11/03/ /12/2015 Presencial Virtual Banner Personal de apoyo Papel tapiz Protector de 23/11/ /11/2015 Todos los miércoles de cada semana Una vez al año

8 N ACTIVIDAD TEMA CANAL HERRAMIENTA FECHA EJECUCION FRECUENCIA 3 Red Social Institucional YAMMER Foros para reforzar los temas de miércoles de seguridad y Plan de comunicaciones SIGE. pantalla Ventana pop up Virtual Yammer 18/03/ /12/2015 Cada semana y cada vez que un usuario participe 4 Curso Teórico Practico Virtual Módulo conceptos básicos Módulo de ataques ISO 27001: Viernes de Tips Seguros! Aportar tips referente a los temas de cada mes Virtual Plataforma Virtual 01/08/2015 Cada vez que se realicen convocatorias Presencial Virtual Banner Personal de apoyo Papel tapiz Protector de pantalla Ventana pop up 26/06/ /12/2015 Último viernes de cada mes. 6 Concurso Innovación y Creatividad por Cada Ingeniero referente SGSI Presencial (Regional Las que los ingenieros 13/07/ /12/2015 Una vez cada dos meses

9 N ACTIVIDAD TEMA CANAL HERRAMIENTA FECHA EJECUCION FRECUENCIA Regionales implementará en las regionales campaña de sensibilización de acuerdo a su creatividad e innovación es) regionales requieran para la actividad 7 Concursos Reforzar y afianzar temas de seguridad de la información que se han impartido 8 Capacitaciones presenciales a nivel Políticas de seguridad Nacional Triada de seguridad Afianzar temas vistos 9 Mensajes Mensajes cortos racionales emotivos y morales relacionados con la seguridad de la información Presencial Juegos: Virtual Monopolio Rompecabezas Descubrir parejas Desarrollo de trivias Presencial Materiales Premios Videos Presencial Ventanas pop Virtual up Banner 24/06/ /12/ /08/ /08/ /06/ /12/2015 Una vez al mes Una vez al año Una vez al mes

10 N ACTIVIDAD TEMA CANAL HERRAMIENTA FECHA EJECUCION FRECUENCIA 10 Participación en las inducciones presenciales al nuevo personal del ICBF 11 Plan de Comunicaciones SIGE Políticas de Seguridad Papel que juega el trabajador en la seguridad de la información Acuerdo de confidencialidad Redes Sociales e ingeniería Social Phishing Protege tu puesto de trabajo y computador seguro Malware Ciberseguridad Presencial Presentaciones Videos Material Presencial Virtual Intranet Cartelera Nacional Correo masivo Papel tapiz Yammer 25/05/ /12/2015 Cada vez que Gestión Humana lo requiera Última semana de cada mes

11 DISEÑO DE INSTRUMENTOS DE MEDICION Para medir la percepción de la seguridad de la información en los colaboradores del ICBF, se diseñaran encuestas y evaluaciones que se aplicarán semestralmente, adicional a eso se diseñará una matriz de medición de las actividades a realizar. FASE II EJECUCIÓN Y GESTIÓN En esta fase abarca la puesta en marcha el plan de gestión de la cultura organizacional en apropiación del SGSI, y se efectúa el seguimiento al cumplimiento de las actividades planteadas, a través de los equipos y responsables definidos en la fase I. Los productos y seguimientos efectuados, serán debidamente documentados, con el fin de identificar las lecciones aprendidas, así como obtener los resultados de los instrumentos diseñados en la Fase I para medición a nivel regional y Sede Nacional. FASE III EVALUACION Y MODIFICACION En esta Fase se realizará el análisis de la información de los instrumentos de medición, las lecciones aprendidas, producto de las cuales se identificarán cambios, ajustes o mejoras a implementar en el plan de cultura organizacional en apropiación del SGSI.