Identificar necesidades
Esta etapa podrá realizarse a través de una encuesta donde se pregunta a quienes trabajan en la organización sobre sus hábitos y conocimientos de los aspectos claves de seguridad de la información. También se podrían tomar como insumos los incidentes ocurridos en un periodo dado; u otros elementos que denoten la necesidad de reforzar la concientización.
Estas iniciativas podrán dirigirse a toda la organización o un grupo particular sobre los que se hayan previamente identificado necesidades específicas de sensibilización.
En términos generales, el resultado de esta etapa mostrará la necesidad de comunicar aspectos que pueden referirse a:
- políticas y procedimientos vigentes, teniendo en cuenta al público objetivo de cada una de ellas
- hábitos y capacidades para tener contraseñas seguras
- prevención de ataques de ingeniería social, como el phishing
- prevención de infección de malware en los dispositivos
- gestión de la información de la organización sea esta física o digital
Se puede disponer de este tipo de encuestas en la sección Anexo II: Cuestionario para evaluar el grado de hábitos y conocimientos referentes a Seguridad de la Información.
Esta fase es importante porque:
- permite tener una representación actualizada del conocimiento de quienes trabajan en la organización respecto a los aspectos claves de seguridad de la información.
- es un insumo fundamental para la etapa de planificación de las instancias ya que permite saber sobre qué aspectos claves de la seguridad de la información debemos reforzar y a quiénes deberá ir dirigida.