PROTECCION DE LA INFORMACIÓN A TRAVES DE UN MODELO DE CAMBIO DE HABITOS Adriana del Pilar Quintero Suarez JUNIO DE 2005 Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
AGENDA 1. ¿Qué se investigo? 2. ¿Por qué? 3. ¿Para qué? 4. ¿Cómo se hizo? 5. Resultados 6. Conclusiones Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
JUSTIFICACIÓN Y OBJETIVOS ¿QUE Y POR QUÉ? JUSTIFICACIÓN Y OBJETIVOS PCPI 1995 1996 1998 2002 2004 ASEGURAR LA COMPRENSION DE LOS DEBERES PARA CADA ROL Y RESPONSABILIDAD ASEGURAR LA APLICACIÓN POLITICAS Y PROCEDIMIENTO SEGURIDAD INFORMATICA CONSTRUIR UNA METODOLOGÍA PARA EL DESARROLLO DE LOS OBJETIVOS DEL PCPI. TRADUCIR LA SEGURIDAD DE LA INFORMACIÓN COMO UNA PRACTICA REAL DE LA ORGANIZACIÓN, CON CONCIENCIA Y MONITOREO PERMANENTE. DEFINIR MECANISMOS PARA INTERIORIZAR LAS POLITICAS DE SEGURIDAD DE LA INFORMACIÓN, QUE PERMITAN MEDIR EL NIVEL DE ENTENDIMIENTO Y SIRVAN DE BASE PARA EXPLICAR EL NIVEL DE CUMPLIMIENTO. Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
¿PARA QUE? PARA CONVERTIRLOS EN HABITOS ALGO COTIDIANO COMO ENCONTRAR UN FONDO Y UNA FORMA EN LA COMPRENSIÓN E INTERIORIZACIÓN DE LOS NUEVOS DEBERES QUE EMERGEN DEL PROCESO DE SEGURIDAD DE LA INFORMACION CONVERTIRLOS EN HABITOS METODOLOGÍA PARA EL DESARROLLO DE LOS OBJETIVOS DEL PCPI- COMO ALGO COTIDIANO Y CON SENTIDO PROPORCIONAR UNA BASE METODOLOGICA QUE PERMITA DESARROLLARLOS Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
Personas Procesos Tecnología ¿CÓMO SE HIZO? ¿?¿? Seguridad ISO17799 Análisis de modelos de la industria, mejores prácticas y tendencias. ¿?¿? Cubrir este vacío en Seguros Bolívar Personas Cultura Organizacional Paradigmas personas Prácticas empresariales gerenciales, nivel de madurez Seguridad Procesos Tecnología ISO17799 CADENA DE VALOR COBIT Análisis del proceso de seguridad de la información dentro de la cultura, el contexto y la estrategia empresarial Bolívar Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
MARCO REFERENCIAL - EL HABITO Y EL PARADIGMA Conocimiento (qué, por qué) Capacidades (cómo) Deseo (querer) HABITOS Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
POR LA PRACTICA AUTOMATIZO MARCO REFERENCIAL - EL PROCESO DEL APRENDIZAJE POR UN FEEBACK DEL ENTORNO ME DOY CUENTA DE MI CONDUCTA INEFECTIVA APRENDA UNA CONDUCTA MAS EFECTIVA INCOMPETENCIA CONSCIENTE COMPETENCIA CONSCIENTE INCOMPETENCIA INCONSCIENTE UN CAMBIO EN EL ENTORNO HACE INEFECTIVO MI COMPORTAMIENTO POR LA PRACTICA AUTOMATIZO LA NUEVA CONDUCTA Proceso de Concienciación en Seguridad de la Información - Noviembre 2004- COMPETENCIA INCONSCIENTE
MARCO REFERENCIAL - ESFUERZOS CON SENTIDO EN EL PCPI FINAL Resultado INICIO Productividad EFICACIA Lograr Objetivos Sentido EFECTIVIDAD Esfuerzo EFICIENCIA Administración recursos ESFUERZOS CON SENTIDO QUE EXISTA SENTIDO: El motor para el logro de los objetivos es que haya un sentido claro QUE Y PARA QUE Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
MARCO REFERENCIAL - CULTURA ORGANIZACIONAL LA CULTURA ABSORBE LA SEGURIDAD DE LA INFORMACION VALOR DE LA CULTURA BOLIVAR LLEVA A COMPORTAMIENTOS SEGUROS GENERA CULTURA DE SEGURIDAD COMPORTAMIENTO HABITO SEGURO LA CULTURA ORGANIZACIONAL BOLIVAR UN RECURSOEMPRESARIAL CLAVE PARA IMPLEMENTAR LA SEGURIDAD DE LA INFORMACIÓN Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
CONTEXTO RELACIONAL DE LA SEGURIDAD E INSEGURIDAD DE LA INFORMACIÓN PROPIEDAD EMERGENTE DE LAS RELACIONES DE LOS PROCESOS, LA TECNOLOGIA Y LAS PERSONAS SEGURIDAD DE LA INFORMACION ---> SISTEMA COMPLEJO ADAPTATIVO Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
METODOLOGÍA PARA CONVERTIR LA SEGURIDAD EN CULTURA 1. IDENTIFICAR LA IMPORTANCIA EN LA MISION CORPORATIVA 2. INVOLUCRARLA EN LA FILOSOFIA MODELO HSI 9. MEDIR EFECTIVIIDAD 4. MEDIR LA CULTURA DE SEGURIDAD 8. ESTABLEZCA MODELOS A EMULAR 6. FORMAR EN SEGURIDAD DE LA INFORMACIÓN 5. FORMAR LOS SEMILLEROS 7. CREAR SIMBOLOS VENDA EL CONCEPTO DE SEGURIDAD DE INF. INVIERTA EN EL CEREBRO ENSEÑE FONDOS VALORES CENTRALES * CulturaConjunto de costumbresConjunto de hábitosAcciones repetitivas se convierten en hábitosCon tanta insistencia se quedan en el inconciente Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
FORMACION EN SEGURIDAD DE LA INFORMACIÓN UN PROGRAMA DE FONDO Lider - Semillero: Señala los objetivos MISION La protección un Objetivo de orden superior ACCIONES RESULTADOS Forma Gente -Personas - Seguidores Hacen la Obra FILOSOFIA La Seguridad de la Información un valor y una competencia desarrollable Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
MODELO DE INTERIORIZACION DE DEBERES EN SEGURIDAD DE LA INFORMACION PARA CONVERTIRLOS EN HABITO ANALOGIAS ACCION RESULTADOS OBSERVADOR PCPI - PROGRAMA DE CONCIENCIACIÓN EN PROTECCIÓN DE LA INFORMACIÓN MODELO DE INTERIORIZACIÓN EN DEBERES DE SEGURIDAD DE LA INFORMACION, PARA CONVERTIRLOS EN HABITO. LENGUAJE Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
OBJETIVOS DEL MODELO TIPICAR AL EMPLEADO DENTRO DE UN CONTEXTO DE CONCEPTUALIZACIÓN CONVERTIR EL PROGRAMA DE CONCIENCIACIÓN DE LA PROTECCIÓN DE LA INFORMACIÓN EN UN PROGRAMA DE FONDO DESARROLLAR EMPLEADOS CON HABITOS EN SEGURIDAD DE LA INFORMACIÓN Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
ETAPAS DEL MODELO HABITUAR FOCALIZAR VERIFICAR PERCIBIR VALORAR .Mostrar el valor del nuevo hábito, y entrenar hasta lograr el resultado esperado que es la identificación del valor de la seguridad de la información en cada individuo con el Valor de la Seguridad de la Información para Seguros Bolívar; como parte de la cultura organizacional. HABITUAR Consiste en priorizar el o los hábito(s) de acuerdo con el nivel de importancia o contribución a la materialización del valor de la seguridad de la información, el orden en que se trabajarán los hábitos, los seguros para reaprender y los inseguros para reaprender. FOCALIZAR Consiste en determinar el grado de desviación entre el es y el debe ser, "deberes" en seguridad de la información. DEBERES VS. REALIDADES VERIFICAR Consiste en identificar el entendimiento, apreciación y comprensión; la idea que tiene el empleado o el equipo de trabajo de Seguridad e información y el concepto que se forma de Seguridad de la Información.PLANTILLA DE HABITOS INSEGUROS PERCIBIR Consiste en identificar las acciones que hacen tangible el valor de la Seguridad de la Información para Seguros Bolívar, en el rol y la responsabilidad del cargo o el equipo de trabajo que se esta valorando. PLANTILLA DE HABITOS SEGUROS VALORAR Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
ESCALA DE VALORACION Evaluación hábitos seguros e inseguros Seguros Bolívar 10 Empleado o grupo 8 6 4 2 Hábitos inseguros desaprender- entrenar habituar Hábitos seguros reaprender - habituar Evaluación general Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-
BIBLIOGRAFIA [Notas de cursos ESIO] Fundamentos de la Organización, Teoría de Sistemas de la Organización, Habilidades directivas, Teoría de la decisión, Procesos electrónicos y Modelos de Mercado entre otros. [Notas de cursos Programa de Formación de Jefes Bolívar Gestión del Talento Humano, Administración de la innovación, Interés por el Cliente - La nueva dimensión del servicio- Etica y Valores y Planeación Táctica. COVEY, Stephen R. Los 7 hábitos de la gente eficaz: La revolución ética en la vida cotidiana y en la empresa. Segunda edición. Barcelona: Ediciones Paidos, 1993. 388 p. HERNANDEZ SAMPIERI, Roberto; FERNANDEZ COLLADO, Carlos y BAPTISTA LUCIO, Pilar. Metodología de la Investigación. Tercera Edición. México: Mc Graw Hill Interamericana, 2004. 705 p. MUÑOZ CIFUENTES, Jesús Antonio. Gestión Humana y Planeación: Un reto para la nueva Gerencia de las Organizaciones. Versión preliminar. Bogotá: Uniandes, 2003. 84 p. Proceso de Concienciación en Seguridad de la Información - Noviembre 2004-