1. Todos los usuarios de TI deben ser conscientes de los riesgos.

Si los usuarios de TI no son conscientes de los riesgos, es poco probable que hagan algo para mejorar la seguridad. La primera línea de defensa es el conocimiento. Los riesgos son internos y externos, y la conciencia del daño potencial para su organización y para los demás es de suma importancia. La interconectividad y la interdependencia han hecho que las organizaciones sean vulnerables, por lo que las buenas prácticas que mejoran la seguridad pueden marcar una verdadera diferencia.

2) Todos los usuarios de TI deben ser responsables de lo que hacen.

Los usuarios no solo son responsables de la protección de la información y los sistemas de su organización, sino también de los sistemas interconectados.

3) Todos los usuarios de TI deben comprender la respuesta a incidentes

Es importante actuar de manera oportuna para prevenir, detectar y responder a incidentes de seguridad de TI.

Todos tienen un papel en la respuesta a incidentes. El reconocimiento de un ataque y la alerta rápida a los administradores también es muy importante.

4) Todos los usuarios de TI deben respetar a los demás usuarios.

La red corporativa y los sistemas son compartidos, y algunas acciones pueden dañar a otros usuarios. El comportamiento ético es crucial.

5) Todos los usuarios de TI deben comprender la necesidad de una evaluación de riesgos

Las evaluaciones de riesgos ayudan a identificar problemas, amenazas y vulnerabilidades y a tomar decisiones informadas para la selección de controles apropiados para mitigar los riesgos de daño potencial a los sistemas de TI. Se pueden requerir salvaguardas técnicas y no técnicas y la seguridad es un elemento fundamental del diseño y la arquitectura del sistema.

6) Todos los usuarios de TI deben comprender la necesidad de la gestión de seguridad de TI.

Después de una evaluación de riesgos, las organizaciones toman decisiones sobre la gestión de riesgos, y los usuarios deben ayudar en cada etapa del proceso. Es importante una respuesta prospectiva a las amenazas en un entorno siempre cambiante para la prevención, detección y respuesta a las amenazas y vulnerabilidades de TI.

7) El monitoreo y la reevaluación son cruciales

La reevaluación es necesaria a medida que cambian las amenazas y vulnerabilidades, como también cambian las actividades de las organizaciones. Las modificaciones a las políticas, procedimientos y controles son importantes a medida que se descubren continuamente nuevos riesgos.