Por eso, en ningún diseño de seguridad de la información puede faltar el factor humano: la palabra clave es «Security Awareness». El «Security Awareness» indica hasta qué punto los empleados son conscientes de la importancia de la seguridad de la información en su empresa y el alcance de su propia responsabilidad en esta materia, sobre todo, describe en qué medida la aplican.

Existen diferentes medidas que se pueden aplicar para aumentar la Security Awareness. Es importante no considerar al usuario como un riesgo sino, más bien, como un elemento esencial de la solución en seguridad informática: «tú eres el cortafuegos de tu empresa». Por eso, se debe integrar a los empleados, no sobrecargarlos y, sobre todo, no atemorizarlos.

Sin embargo, la planificación de medidas para aumentar la Security Awareness encierra numerosos retos:

• ¿Cómo se puede asegurar que las medidas en materia de Security Awareness son eficaces y sostenibles?
• ¿Es posible obtener un retorno de la inversión? ¿Merece la pena la inversión?
• ¿Existe un indicador o comparativa con organizaciones de sectores similares?
• ¿Pueden recibir los empleados de una organización una formación a medida en lugar de un único método para todos?

Con el Employee Security Index, o ESI®, la conducta de seguridad de los empleados resulta cuantificable de una forma realista, estandarizada y replicable. En este Libro Blanco se detalla el proceso de cálculo y se presenta un índice de referencia extraído de más de 60 empresas europeas.