Está en la página 1de 15

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez.

Concientizacin en seguridad de la informacin

Concientizacin en seguridad de la informacin


Castillo, Rafael; Di Mare, Alessio; Daz Vctor; Dez, Horacio.
{raf-cast, a-di, vi-diaz, g-diez}@uniandes.edu.co
Facultad de Ingeniera, Departamento de Sistemas y Computacin
Universidad de los Andes Bogot, Colombia.

Resumen Al enfrentar el tema de seguridad en la


informacin nos encontramos con tres pilares
fundamentales que la soportan: la tecnologa, los procesos y
las personas. Hasta ahora las empresas se han preocupado
por invertir grandes cantidades de dinero y esfuerzos en
tecnologa de seguridad y definicin de procesos, pero han
dejado a un lado a las personas y han hecho que ellas se
conviertan en el eslabn ms dbil de la cadena de
seguridad dentro de la organizacin. Por lo anterior se hace
necesaria la implementacin de un programa adecuado de
concientizacin de los usuarios en el tema de seguridad,
debidamente apoyado en las polticas corporativas sobre el
tema y con un adecuado proceso de seguimiento y
actualizacin. Durante este proceso el personal directivo y
de IT enfrenta una serie de obstculos que es necesario
superar con una adecuada definicin e implementacin de
elementos como las polticas de seguridad, el apoyo de la
gerencia, estrategias, etc. En este documento se describen
diferentes retos a enfrentar para la elaboracin de un
programa de concientizacin en seguridad as como los
diferentes elementos que ayudan a alcanzar este objetivo.
Al final se plantean algunas conclusiones sobre los aspectos
ms relevantes del desarrollo.
ndice de Trminos: Capacitacin, Concientizacin,
Desarrollo, Entrenamiento, Seguridad de la informacin,
Tecnologa, Usuarios.
I.
LINTRODUCCIN
A SEGURIDAD DE LA INFORMACIN ES
UNA DE LAS MAYORES PREOCUPACIONES
DE LAS EMPRESAS DE HOY. Conseguir que
los empleados tomen conciencia del tema
constituye el objetivo fundamental de un
programa de sensibilizacin. Naturalmente, este
debe formar parte de una estrategia integral que
involucra: concientizacin propiamente dicha,
entrenamiento, educacin y desarrollo, todo esto
orientado al logro de una cultura
organizacional en torno al tema.
En este documento se consideran los
aspectos relacionados con la implementacin de
un programa institucional de desarrollo de una
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

cultura de seguridad de la informacin,


enfocado principalmente en la concientizacin,
tal como ya se indic previamente, adems,
ilustrar la forma de implementar, de manera
satisfactoria, un programa comprensivo, que
considere los aspectos mencionados, para
alcanzar un nivel adecuado de seguridad de la
informacin, la cual es considerada un activo
importante de toda organizacin, y por tanto,
debe ser protegida
Una vez alcanzados los objetivos, el
programa deber proseguir, en forma continua,
dado que este es un tema dinmico que no puede
ser archivado. De igual manera, es necesario
reforzar los conceptos y conductas, para que el
programa sea efectivo a corto, mediano y largo
plazo.
Tambin se pretende definir indicadores
que permitan establecer la eficiencia del
programa y aplicar los correctivos necesarios
para su adecuado funcionamiento.
Un factor importante para lograr el xito
de un programa de estas caractersticas consiste
en la adecuada definicin de las audiencias,
donde la seleccin de grupos con niveles de
conocimiento
e
intereses
similares
es
fundamental.
II.

RETOS QUE DEBE ENFRENTAR UN


PROGRAMA DE CONCIENTIZACION

Uno de los objetivos fundamentales que se


persiguen con la implementacin de un programa
de concientizacin en seguridad es que los
diferentes usuarios de los sistemas en la empresa
se den cuenta de su responsabilidad en la

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

proteccin de la confidencialidad, integridad y


disponibilidad de los activos de informacin de la
compaa, y que comprendan que esto no es solo
competencia de los especialistas en seguridad. El
programa debe perseguir dejar en claro no solo
cmo proteger los sistemas sino tambin porqu
es importante su proteccin y cmo los usuarios
se convierten en la primera barrera de seguridad
para ellos. La implementacin del programa de
sensibilizacin ayuda a minimizar los costos
ocasionados por los incidentes de seguridad de
informacin dado que acta directamente sobre
uno de los eslabones ms dbiles en la cadena de
seguridad, los usuarios.
La implementacin de un programa exitoso
de concientizacin en el tema de seguridad de
informacin resulta ser una tarea bastante
complicada, dado que en su camino se encuentra
con una gran cantidad de obstculos, los cuales se
convierten en retos que se deben enfrentar para
lograr los objetivos planteados. Dentro de estos
retos se destacan los siguientes:
A.

Usuarios reacios al cambio.

Dado que la tecnologa ha venido


evolucionando con un ritmo bastante intensivo,
las empresas no siempre han podido involucrar a
tiempo dentro de sus programas de capacitacin
los diferentes cambios que las nuevas tendencias
imponen. Lo anterior ha favorecido que los
usuarios hayan ido formando y fortaleciendo
malos hbitos en el tema de seguridad de la
informacin y que se muestren reacios a
incorporar y adoptar nuevos comportamientos
que son exigidos por los avances en tecnologa y
por el surgimiento de nuevas formas de ataques a
los sistemas. As, la tarea de concientizacin no
solo deber enfrentar el trabajo de capacitar a los
usuarios en los nuevos temas sino que deber
tambin ayudar a erradicar las malas costumbres
adquiridas por estos con respecto a la seguridad,
lo cual se traduce en una doble carga de trabajo.
B.

No reconocer que la seguridad es un


problema de todos.

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

Es fcil encontrar que los trabajadores de las


diferentes reas de la empresa, y en especial de
aquellas no tecnolgicas, sientan que su
responsabilidad se limita a las funciones
asignadas a sus respectivos cargos y vean los
temas de seguridad como responsabilidad
exclusiva de las reas de Tecnologa de
Informacin. El programa de concientizacin
debe enfrentar la tarea de hacer ver a estos
usuarios que el rea de seguridad en la compaa
no puede enfrentar sola el tema de seguridad y
que requiere de la colaboracin de todos los
empleados. Un primer paso para esto es la
definicin clara, y posterior divulgacin, de las
polticas corporativas en torno al tema de
seguridad, pero el trabajo no puede terminar all,
pues debe haber un seguimiento permanente y
acciones continuadas.
C.

Introduccin de nueva tecnologa.

Cada vez que en las empresas se adelanta un


plan de renovacin o actualizacin tecnolgica
generalmente se introducen cambios en el
comportamiento necesario o esperado por parte
de los usuarios para adaptarse a las nuevas
condiciones. Con frecuencia se observa como la
tecnologa avanza ms rpido que el ritmo de
evolucin de los programas de entrenamiento
ocasionando que las empresas queden rezagadas
o que pierdan oportunidades de capacitacin
interesantes brindadas por los proveedores.
D.

Elaboracin de programas nicos.

No todas las personas en una organizacin


asimilan los mensajes de la misma manera. De
igual forma, no todos requieren por igual conocer
con la misma profundidad del tema, dado que
las diferentes y variadas funciones de cada uno
hacen que sus necesidades no sean idnticas. Por
lo tanto, se hace necesaria una segmentacin o
diferenciacin de audiencias, de tal forma que se
enven los mensajes de seguridad claves o
necesarios para cada uno de los grupos en el
lenguaje apropiado para cada uno. La elaboracin
y aplicacin de un programa nico de
concientizacin que se aplique a todos los

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

empleados de la empresa puede ser una estrategia


fcil y rpida de implementar pero no adecuada
para el logro de los objetivos de este tipo de
programas.
E.

Bombardeo de informacin a los usuarios.

Es comn que la gente tienda a saturarse


fcilmente cuando se presenta un bombardeo de
informacin en torno a un tema especfico, a
pesar de que se haya hecho previamente una
segmentacin de audiencias y se estn manejando
los mensajes que deben ir especficamente a cada
una de ellas. Cuando lo anterior ocurre, no se
logra que el mensaje llegue con la precisin
necesaria y en muchas ocasiones lo que se logra
es desviar la atencin de la audiencia hacia temas
menos sofocantes. Una prctica que puede
resultar til para no caer en el problema descrito
es escuchar detenidamente a las diferentes
audiencias para identificar sus necesidades
especficas de entrenamiento en seguridad y
poder enfocar los esfuerzos del programa de
sensibilizacin en dichos elementos.
F.

No aplicar la metodologa adecuada.

Muchos de los programas de concientizacin


en seguridad pueden fallar por la falta de
consistencia en la metodologa de entrenamiento
implementada o porque esta no ha incluido todos
los elementos o pasos necesarios para su correcta
aplicacin o porque estos se han desarrollado en
un orden incorrecto. Estos factores pueden ser
afectados igualmente por el hecho de usar canales
de comunicacin no adecuados para que los
mensajes lleguen efectiva y oportunamente a los
usuarios.
G.

Falla en el seguimiento del programa.

Para que el programa de entrenamiento sea


perdurable en el tiempo y se logren los resultados
esperados, se requiere una permanente
comunicacin entre el personal especializado de
seguridad y el resto de los empleados de la
organizacin. De igual manera es necesario
escuchar y recibir las sugerencias y necesidades
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

de entrenamiento por parte de los usuarios de


modo que se logren adaptar y reforzar los
programas ya existentes para que incluyan los
nuevos requerimientos. El seguimiento de los
programas debe prestar especial atencin a la
correcta aplicacin de los conocimientos
divulgados por parte de los usuarios y dems
personal entrenado.
H.

Falta de apoyo por parte de la gerencia.

Uno de los factores esenciales para el xito de


un programa de concientizacin es
la
participacin activa y permanente de la alta
gerencia mediante la aplicacin de todas las
normas establecidas y el apoyo econmico
necesario para la implementacin de todos los
planes. Cuando los niveles subordinados en la
organizacin ven que los altos directivos
efectivamente aplican y siguen todas las normas
de seguridad establecidas, tal comportamiento
puede ser tomado como ejemplo por parte de los
dems empleados de la compaa. Por otra parte,
la alta gerencia debe ser conciente de que si bien,
un adecuado programa de seguridad en
capacitacin y en materia de tecnologa implica
asumir elevados costos, no lo es menos que
seran mayores aquellos que tendra que asumir
por la recuperacin de sistemas afectados por
ataques a las vulnerabilidades existentes.
I.

Ingeniera social.

Esta prctica, ms que afectar la


implementacin
de
un
programa
de
concientizacin
en
seguridad,
puede
comprometer el xito del mismo dado que
implica directamente el enlace ms dbil que se
trata de fortalecer que es la gente. Las personas
objetivo de esta prctica suelen ser gente de
confianza y muy colaboradoras en la
organizacin
(recepcionistas,
asistentes
administrativos, personal de mesas de ayuda, de
soporte tcnico, operadores de computadores,
etc.) que tienen acceso a informacin o a
procedimientos internos, en muchas ocasiones
confidenciales.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Dado que esta tcnica se vale de la manipulacin


o intimidacin a las personas, resulta ser una
prctica muy fcil de utilizar, de bajo costo y
bastante efectiva por lo cual es de amplio uso por
parte de los atacantes a los sistemas de
informacin de las empresas. Por lo anterior es
necesario incluir toda la informacin relacionada
con este tipo de prcticas dentro de los programas
de entrenamiento de tal forma que sea
adecuadamente divulgada a todo el personal de la
organizacin.
J.

Nuevas formas de inseguridad.

Dado que da a da nos encontramos con


nuevos avances en materia de tecnologa, tales
como PDAs, Wireless, dispositivos USB, nuevos
protocolos, etc., para cada uno de ellos se van
presentando diversas formas de inseguridad
como: gusanos multiplataforma, cdigo malicioso
en general, nuevas vulnerabilidades asociadas a
protocolos y sistemas operativos, etc.

segundo trmino, el entrenamiento, se considera


como una etapa posterior a la concientizacin;
este, de una manera formal construye
conocimiento con el propsito de aumentar las
capacidades de una persona para desarrollar sus
funciones de una manera ms eficiente. Por
ltimo, aparece la educacin, tambin
considerada
una
forma
avanzada
de
entrenamiento, cuyo objetivo es mejorar y
desarrollar conocimiento, destrezas y habilidades;
el propsito de esta ltima es darle al empleado
las habilidades necesarias para desempear un
trabajo distinto en la organizacin. Algunos
autores integran una cuarta categora, el
desarrollo, este tiene que ver con la transferencia
de conocimientos y experiencias con el fin de
abrir nuevos horizontes a los empleados.

Estos problemas no deberan considerarse,


como ocurre en muchas organizaciones, asunto
exclusivo del rea de tecnologa, sino de toda la
organizacin. Esto solo se logra mediante un
programa de concientizacin que refuerce los
conocimientos adquiridos en materia de
seguridad y resalte las nuevas amenazas a todos
los que estn expuestos a ellas.
III. ELEMENTOS CLAVES DE UN
PROGRAMA DE CONCIENTIZACION
Inicialmente se hace claridad en tres
trminos que aunque responden a conceptos
totalmente
distintos,
suelen
presentar
confusiones. El primero es la concientizacin,
dentro del contexto de este documento, nos
referimos a ella como a un proceso de
aprendizaje que busca modificar actitudes y
percepciones tanto organizacionales como
individuales, con el fin de desarrollar en los
usuarios una idea de la importancia de la
seguridad, as como demostrar los grandes
problemas que acarrea el desconocimiento o la
desobediencia de las normas de seguridad. El
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

La razn de la aclaracin anterior dentro de


este documento radica en que por sus
caractersticas cada una de estas herramientas
requiere de una aproximacin totalmente distinta,
las etapas de anlisis, diseo, desarrollo,
implementacin y evaluacin para cada una de
ellas es radicalmente diferente. Por ejemplo,
mientras que la medicin de la efectividad de un
programa de entrenamiento es evaluable
inmediatamente acabado el programa, un plan de
desarrollo slo puede evaluarse mucho despus,
cuando las actitudes del empleado en nuevas
funciones demuestren que los conocimientos
adquiridos surtieron algn efecto.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Un plan completo de generacin de una


nueva cultura organizacional dirigida al tema de
la seguridad de la informacin puede requerir de
todas las herramientas de transmisin de
conocimiento anteriores.
Es necesario revisar la existencia de
programas de entrenamiento previos o en
desarrollo,
que
pudieran
servir
como
complemento o punto de partida, si existieran.
Algunas preguntas claves relacionadas con la
seguridad informtica, y que de cierta manera
deben ser abordadas dentro de un plan de
concientizacin tienen que ver con la definicin
de las posibles amenazas, los activos que se
deben proteger y los responsables de la
proteccin de aquellos.

Cules son las amenazas?

Qu se debe proteger?

Quines son los responsables?

Cules son
proteccin?

los

mecanismos

de

A continuacin se describen algunos


elementos que deben ser considerados en
cualquier programa de concientizacin.
A.

Las polticas

Las polticas de Seguridad identifican


responsabilidades y establecen los objetivos para
una proteccin apropiada y consistente de los
activos de informacin de la organizacin. La
implementacin de las polticas busca reducir el
riesgo de que en forma accidental o intencional se
divulgue, modifique, destruya o haga mal uso de
los activos de informacin y operaciones crticas.
Al mismo tiempo, las polticas permiten a las
reas responsables de la administracin de
seguridad orientar y mejorar la administracin de
seguridad de los activos de informacin y proveer
las bases para el monitoreo a travs de toda la
organizacin.
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

Antes de afrontar cualquier plan de


concientizacin se deben definir primero los
objetivos de la misma, y en el rea de seguridad
de la informacin estos objetivos deben
responder a las polticas de seguridad de la
compaa.
A continuacin se har una rpida
descripcin de los tipos de polticas y,
posteriormente,
se
presentarn
algunas
consideraciones a la hora de definir los
lineamientos de un plan de concientizacin.
1

Poltica General o Corporativa

Toda organizacin debe definir un Marco


General de Polticas de seguridad, por medio del
cual se orientarn todas las acciones a seguir por
parte de todos sus integrantes, para administrar
los riesgos asociados al procesamiento de
informacin.
Este marco General de polticas de
seguridad, y las polticas en s, podrn basarse en
estndares ampliamente reconocidos, como el
BS-7799 o el ISO-17799. Estas polticas buscan
proteger la informacin de un amplio rango de
escenarios de riesgos, para asegurar la
continuidad del negocio, minimizar prdidas y
daos a los negocios, y maximizar el retorno de
la inversin y las oportunidades de negocio.
La informacin puede existir en muchas
formas (impresa, escrita en papel, almacenada
electrnicamente, transmitida por correo o
usando medios electrnicos, presentaciones,
videos o conversaciones, etc.) Cualquiera que sea
la forma que la informacin toma, medio por el
cual esta es compartida o almacenada, siempre
debe ser protegida adecuadamente.
La seguridad de la informacin debe
orientarse a la preservacin de: Confidencialidad,
Integridad y Disponibilidad.
La administracin de la seguridad de la
informacin
requiere,
como
mnimo,
participacin de todos los empleados en la
organizacin.
Esta puede tambin requerir

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

participacin de proveedores, clientes o algn


tercero que tenga acceso a la informacin de la
compaa.
2

Polticas sobre aspectos de seguridad

Es un documento en el cual se cubren todas


las decisiones administrativas, intenciones,
definiciones y reglas relacionadas con la
Seguridad de Informacin, en un momento
particular. Este documento tambin define el
Programa de Administracin de Seguridad de
Informacin. Estas polticas determinan el nivel
mnimo aceptable de seguridad y establecen los
criterios de medicin de resultados.
Esta Lnea Base de Polticas de Seguridad
define el marco de trabajo, de manera formal, y
ayuda a su vez a proveer el fundamento para las
diferentes guas, estndares, procesos y
procedimientos de seguridad de la informacin,
que deben ser tenidos en cuenta.

Estos grupos debern estar integrados de


manera homognea para facilitar la participacin
activa de todos los individuos. En las sesiones se
debe buscar la comodidad y receptividad de todos
los participantes.
Estos son algunos criterios que pueden
servir cono referencia para la conformacin de
los grupos:
1

Nivel de conocimiento tecnolgico

Esta clasificacin permitir definir temas de


acuerdo con las destrezas de los participantes.
Hacerlo de este modo garantiza que los usuarios
con menores conocimientos no se van a sentir
perdidos frente al grupo. De modo recproco, los
usuarios tcnicos no estarn fuera de lugar, en
charlas con un contenido superficial, que no
cubre sus expectativas.
En esta categora, los grupos pueden ser:

Polticas Especficas

Son documentos que describen la


implantacin funcional de la Poltica de
Seguridad de la Informacin en un rea o
categora de tecnologa especfica. Es una gua
que traduce los objetivos estratgicos de la
Poltica de Seguridad de la Informacin en los
trminos relevantes a un tipo especfico de
tecnologa o proceso de soporte.
B.

Administradores:
pueden
incluir
administradores de aplicaciones, bases de
datos, sistemas operativos y dispositivos.

Usuarios avanzados: esta categora


permite agrupar a usuarios con diferentes
niveles de destreza en tecnologas de la
informacin, que no realizan labores de
administracin,
pero
con
algunas
caractersticas particulares en funcin del
rol que desempean, por ejemplo el
empleado del rea de Recursos Humamos
que no posee un conocimiento tcnico
avanzado, pero es el propietario de los
datos y tiene acceso a estos de manera
amplia.

Usuarios con muy pocas destrezas


tcnicas: todos aquellos no contemplados
en las otras categoras.

Nivel jerrquico

Audiencias

Aunque este podra considerarse un aspecto


trivial, en muchas ocasiones marca la diferencia
entre el xito y el fracaso del programa.
En el mbito de las audiencias, es importante la
conformacin de grupos objetivo. La definicin
de dichos grupos no obedece a una regla estricta.
Ms bien, cada caso debe ser considerado de
manera particular. Esta decisin puede estar
determinada por razones tan diversas como: las
propias polticas de la organizacin, el tipo de
organizacin, el ambiente laboral, el tipo de
negocio, etc.
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

En ocasiones puede ser necesario agrupar


las audiencias segn la jerarqua. Esto permite
orientar los temas de acuerdo con los intereses de

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

cada grupo, concentrndose en objetivos


especficos para cada nivel dentro de la
compaa.
a

Ejecutivos: son los encargados de


planificar, dirigir, ejecutar y controlar las
polticas,
estrategias
y
directrices
corporativas, as como presentar al nivel
directivo los proyectos. Aprueban los
planes de desarrollo a largo plazo

Directivos: son los encargados de fijar las


polticas,
estrategias
y
directrices
corporativas y velar por su cumplimiento.
Aprueban y administran el presupuesto.

Administrativos: constituido por las reas


o individuos que brindan asistencia
administrativa para la ejecucin de los
programas, planes y proyectos, de acuerdo
con sus funciones.

Operativos: son las reas o individuos


encargados de realizar las labores
relacionadas con el funcionamiento diario
del negocio y toda la logstica asociada.

3
a

Nivel de sensibilidad en temas de seguridad


de la informacin y a la tecnologa
Muy sensibles y dispuestos al cambio:
son individuos que por la naturaleza de su
trabajo, o su propia naturaleza, tienen
inclinacin a apoyar el programa. Se debe
aprovechar su actitud para convertirlos en
aliados y motor del cambio.
Nivel medio de sensibilidad: su
participacin es decisiva. Habitualmente,
constituyen el grupo ms numeroso. Si se
logra convertirlos en aliados, seguramente
contribuir al xito del programa, en caso
contrario, dificultarn el desarrollo del
proyecto, llegando incluso a impedirlo.
Apata, desinters o rechazo: este grupo
debe ser abordado con mucho tacto, pues de
no hacerlo as y lograr convertirlos en
aliados, podran arrastrar a los del nivel

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

medio y convertirse en una fuerza


incontenible que acabara con el proyecto.
4

Nivel de acceso a la informacin y a los


recursos de tecnolgicos

Administradores: usuarios que tienen


prcticamente el control total de la
informacin, con gran destreza tcnica.

Usuarios con privilegios especiales:


usuarios que a pesar de no tener amplios
conocimientos tcnicos, en virtud de su
posicin dentro de la organizacin, tienen
acceso privilegiado a informacin sensible.

Usuarios finales: todos los dems usuarios


no clasificados en ninguno de los grupos
anteriores.

Sistema operativo, aplicacin o plataforma


utilizada

Aplicaciones de misin crtica: son los


diferentes usuarios que tienen acceso a
aplicaciones que forman parte del ncleo de
negocio de la compaa.

Aplicaciones ofimticas: usuarios de


aplicaciones comunes de apoyo tales como
procesadores de palabra, hojas de clculo,
etc.

Sistemas operativos de servidor o


estaciones
cliente:
en
ambientes
heterogneos en los cuales se utilizan
diversas plataformas computacionales,
puede ser importante dividir a los usuarios
segn este criterio, debido a que algunos
conceptos pueden no aplicar en uno u otro
caso.

Bases de datos misionales: el acceso a la


informacin almacenada en las bases de
datos asociadas a las aplicaciones que
renen el ncleo del negocio, puede definir
otro criterio de clasificacin.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Consideraciones tecnolgicas relacionadas


con el tipo de red a la cual se tiene acceso.

LAN: los usuarios que se hayan dentro de


los confines de la red corporativa pueden
tener
caractersticas
o
necesidades
comunes.

WAN:
estos
usuarios
presentan
caractersticas especiales que deben ser
tenidas en cuenta tales como acceso a
Intetnet y Extranets, lo cual los hace ms
vulnerables.

C.

Wireless: una de las tecnologas con


mayores ndices de crecimiento en la
actualidad y de mayor proyeccin.
Representa un gran reto en materia de
seguridad.

afrontarlos y las metas propuestas. Este resumen


tambin debe contener una descripcin del plan
de implementacin, presentado como una
actividad permanente y dinmica en el tiempo,
que pueda ser actualizada con la periodicidad
requerida, y no como algo puntual y esttico. El
tema se debe cerrar mencionando las necesidades
logsticas y presupuestales del proyecto.
Aunque es posible llevar a cabo un
programa de esta naturaleza sin los elementos
mencionados, no se puede ser muy optimista
respecto al logro de los objetivos propuestos, en
estas condiciones.
El apoyo de la gerencia contribuye, de
manera decisiva, en los siguientes aspectos:
1

Consecucin de recursos necesarios: aqu


se consideran recursos financieros, de
personal, y en general, aspectos de
logstica.

Compromiso de los empleados: si no se


cuenta con este apoyo, es probable que
individuos o reas de un alto nivel
jerrquico no se sientan comprometidas y
no participen de manera activa, llegando
incluso a entorpecer el desarrollo del
programa.

Agilizar los procesos: tanto internos (de la


propia organizacin) como con terceros,
para reducir los tiempos de inactividad que
pueden poner en riesgo el xito del
programa. Estos eventos deben ser
incluidos en la matriz de riesgos del
proyecto para buscar una estrategia de
mitigacin.

Facilitar el seguimiento: asistiendo y


promoviendo la asistencia de todos los
involucrados a las reuniones programadas y
la revisin del cronograma para determinar
el cumplimiento de objetivos, dentro de lo
presupuestado.

D.

Mecanismos de comunicacin

Apoyo por parte de la alta gerencia

Naturalmente,
todos
los
elementos
mencionados en este trabajo son importantes para
el xito del programa. Sin embargo, el apoyo por
parte de la alta gerencia es crucial, sin el, las
probabilidades de lograr la meta propuesta sern
prcticamente nulas.
Todos los empleados de la organizacin podrn
responder de una manera ms efectiva y con
mayor grado de compromiso, si sienten que el
programa es importante para lograr los objetivos
de negocio, y hace parte de la misin. Ser ms
probable lograr el xito del programa con la
participacin de la alta y media gerencia .
Con el fin de lograr la participacin de la
gerencia se debe entregar: un anlisis
costo/beneficio del proyecto; necesidades, por
parte de la empresa, de soporte a estndares
internacionales y mejores prcticas de la
industria; cumplimiento de requerimientos
legales y de auditora y anlisis de riesgos, entre
otros.
Es conveniente entregar un informe
ejecutivo que contenga los principales retos que
debe enfrentar el programa, la forma de
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Los entornos empresariales de hoy cuentan


con gran cantidad de medios de comunicacin y
difusin, los cuales pueden ser aprovechados para
lograr un mayor impacto. No obstante, no se debe
abusar pues esto puede conducir a saturacin de
la audiencia, produciendo resultados adversos.
Entre los medios y mecanismos que pueden
ser utilizados se encuentran:
1

Correo electrnico: es, hoy por hoy, el


medio de mayor cobertura en la mayora de
las organizaciones que cuentan con
tecnologa. Es eficaz, econmico, gil y
permite alcanzar a las reas o empleados
que se hayan geogrficamente dispersos y
que seran virtualmente inalcanzables por
otros medios.
Intranet:
otro
recurso
tecnolgico
importante. Tiene la ventaja, sobre el
correo, de favorecer la posibilidad de
utilizar documentos ms ricos en contenido,
incluyendo multimedia, sin afectar de
manera importante los recursos y el
funcionamiento de la red.
Carteleras y volantes: si bien cada da las
compaas soportan ms y ms procesos en
tecnologa, no todos los empleados son
usuarios de la misma. Pese a esto, la
informacin concierne a todos. Estos
medios llegarn a usuarios que no tienen
acceso a la tecnologa, con quienes no se
podra utilizar otro tipo de medios o
mecanismos. Para aquellos que tienen
acceso a la tecnologa, deben considerarse
como un complemento.
Login de acceso a la red: dado que este es
el punto central de acceso a los recursos
tecnolgicos, constituye un recurso que
puede ser explotado exitosamente. La
restriccin que impone es el tamao de los
mensajes que se pueden difundir a travs de
este medio. Su importancia radica en el
hecho de que se puede forzar a todos los
empleados a recibirlo y a la frecuencia con
la cual se entregan los mensajes.

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

Concursos: constituyen una forma de


despertar el inters y la sana competencia.
Si se pueden explotar, generalmente
permiten alcanzar niveles muy altos de
xito y pueden contribuir a lograr un clima
organizacional de cooperacin y trabajo en
equipo.

Reuniones y conferencias: con la


participacin de expertos se puede
consolidar el trabajo realizado por los
empleados de la organizacin y llamar la
atencin de los ms reacios, para
vincularlos al proceso.

Memorandos
y
documentos
de
comunicacin interna: si bien no
constituyen el medio por excelencia para
esta clase de objetivos, no deben ser
desestimados. Su importancia radica en el
carcter formal, el cual genera un mayor
nivel de compromiso por parte de todos los
involucrados. Si se utilizan, debe tenerse
especial cuidado de no abusar de ellos.

Artculos y publicaciones especializadas:


pueden ser tiles particularmente para los
usuarios de tecnologa con conocimientos
ms profundos en el tema. Su propsito
debe ser reforzar el trabajo hecho utilizando
otros medios y mecanismos.

E.

Metodologa adecuada

Anteriormente dentro de este documento, se


defini el alcance del trabajo que consista
principalmente en la generacin de conciencia en
los usuarios o dueos de la informacin, y
posteriormente en la creacin de planes de
entrenamiento, ambos enfocados hacia el
desarrollo de una cultura de seguridad de la
informacin.
En este numeral se describirn planes
dirigidos a la definicin de las iniciativas
anteriores.
Se revisar principalmente una
metodologa establecida con este fin, y la
posibilidad de complementar algunos de sus
puntos con guas de organismos internacionales.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

acuerdo con lo dicho anteriormente, el ISD


tiene un enfoque sistmico, y es
precisamente en esta fase en donde se
identifican los sistemas que componen la
empresa, con base en esta definicin se
hace la revisin de materiales, mtodos de
enseanza, etc.

Inicialmente se comenzar por revisar


algunos elementos importantes, los cuales llevan
a la seleccin de una metodologa particular.
Primero, la seguridad es un tema que
involucra a toda una organizacin, y debe ser
tratada como algo integral; cuando se habla de
toda la organizacin, es para referirse a un
sistema bastante complejo con unas entradas,
unos procesos internos y finalmente unas salidas.
Segundo, y como consecuencia de lo
anterior, las estrategias de concientizacin y
entrenamiento deben ser revisadas dentro del
contexto de sistemas, donde los usuarios hacen
parte de un todo, y los conocimientos impartidos
deben responder a una poltica integral o general.
Basndose en lo anterior, se decidi
presentar la metodologa conocida como Diseo
de Sistemas de Instruccin (ISD por sus siglas en
ingls). Esta metodologa afronta la problemtica
desde un punto general, y revisa cada unos de los
componentes de la transmisin del conocimiento:
definicin de objetivos, material, audiencia y
mtodos de evaluacin, desde ese punto de vista.
La metodologa adems garantiza un uso
consciente de los recursos destinados para la
capacitacin.
El ISD plantea las siguientes etapas para la
definicin de este tipo de planes:
1

Anlisis: Es el primer paso, y su resultado


es una clara definicin de las audiencias,
los contenidos y las razones que sustentan
lo anterior. Consiste en la recoleccin de
datos, y su posterior anlisis; e incluye
entrevistas individuales, grupos de trabajo,
observacin, y el estudio de los materiales a
utilizar dentro del plan de capacitacin.
Posteriormente se revisarn algunas guas
ms especficas para una definicin ms
exacta en el tema de las audiencias. En esta
etapa se comienza con la definicin de los
medios que se utilizarn para impartir la
capacitacin y se revisa cualquier
inconveniente que pudiese presentarse con
la puesta en marcha de los programas. De

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

10

Diseo: Consiste en la definicin de los


temas a ser desarrollados en el curso.
Incluye los siguientes temas:

Desarrollo y definicin de objetivos de


aprendizaje para cada tarea.

Identificacin de mtodos de evaluacin.

Identificacin de mtodos de distribucin.

Creacin de guas de flujo de informacin y


organizacin, adems de materiales y
actividades.
La primera tarea es la definicin de los
objetivos, en la que adems se definen los
criterios para medir el xito de los
participantes en la consecucin de los
mismos. La capacitacin debe responder a
tres tipos distintos de funciones o
necesidades, que tienen que ver con la
necesidad de consecucin de conocimiento,
las
destrezas
y
las
habilidades.
Dependiendo de la necesidad de la
audiencia, de acuerdo con la divisin
anterior, se deben disear los materiales, la
metodologa y los mtodos de evaluacin.
En la segunda fase, la de la identificacin
de los mtodos de evaluacin, se
desarrollan los respectivos criterios de
evaluacin, basndose en los objetivos de
aprendizaje del programa. Durante esta
etapa del proceso es importante crear el
plan de evaluacin, de manera que quede
perfectamente integrada con el material del
curso. Es importante identificar y crear
mtodos de evaluacin que soporten la
misin de la organizacin.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Desarrollo: Esta fase del proceso incluye la


creacin y afinamiento de los materiales
que deben usarse durante el proceso de
instruccin.
Otras actividades que se
incluyen en esta fase son:

Creacin
de
los
materiales
para
entrenamiento de entrenadores, si aplica.

Creacin del material para los estudiantes.

Desarrollo de laboratorios para prcticas


dentro del proceso de instruccin en los
casos en que aplique.

Implementacin: Es la cuarta fase del


proceso, e incluye las etapas necesarias
para llevar a cabo el proceso de instruccin.
A continuacin se detallan tres actividades
que hacen parte de este proceso:

Preparacin de un plan de entrenamiento


maestro que se convierta en una gua para
las actividades de implementacin.

Preparar los equipos, aulas y materiales.

Desarrollar programas
audiencia objetivo.

Evaluacin y mantenimiento: Esta etapa


tiene que ver con el mantenimiento y la
medicin de estndares de control de
calidad. En ella debe asegurarse que existe
una
completa
transferencia
de
conocimientos y destrezas del ambiente de
capacitacin al de trabajo. Los principales
asuntos que deben tenerse en cuenta
durante la fase de evaluacin son:

pilotos

con

abierta al usuario la conformacin de las mismas.


Adems, otro punto importante, y que tampoco es
explcito dentro del ISD es la definicin de los
temas para cada una de las distintas audiencias.
Ambos temas se encuentran ampliamente
desarrollados dentro del NIST SP 800-50 (y su
predecesor, el 800-16).
El NIST SP 800-16 es otro modelo formal para el
diseo de planes de instruccin en el rea de
seguridad. La figura que aparece a continuacin
muestra un diagrama del modelo.

la

Si se logr el cambio deseado en el


desempeo de los empleados.

Si se logr con la capacitacin el alcance de


los objetivos por parte de los empleados.

Alcanz la capacitacin las expectativas o


necesidades de los empleados.

Aunque el modelo ISD hace especial nfasis en la


correcta definicin de las audiencias, deja muy
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

11

F.

Indicadores

Como en cualquiera otra actividad de la


organizacin, el desarrollo de la cultura
organizacional necesita obtener peridicamente
informacin acerca de su desempeo, con el fin
de monitorear la eficiencia y efectividad de su
gestin, de manera que permita tomar decisiones
oportunas sobre posibles riesgos que puedan
presentarse y la efectividad de los controles
establecidos. La manera tradicional para realizar
esta labor ha sido mediante indicadores, los
cuales representan una medida de la condicin de
un proceso o evento en un momento determinado,
proporcionando un panorama de la situacin del
mismo. El uso de indicadores debe establecer
tanto los procesos operativos como los

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

administrativos en una organizacin, y derivar


acuerdos de desempeo basados en la aplicacin
y uso correcto de los programas, como en el caso
de este documento, de los programas de
concientizacin, entrenamiento, y educacin
aplicados al interior de la organizacin.
Los indicadores constituyen la manera por la cual
se retroalimenta un proceso, se monitorea el
avance o la ejecucin del mismo y se respaldan
los planes establecidos, y tienen mayor
relevancia, si el tiempo de respuesta es inmediato,
o muy corto.
La forma como se puede llevar a cabo el
establecimiento de los indicadores, es a travs de
los Indicadores Claves de funcionalidad (KPI, por
sus siglas en ingls-key Performance Indicators)
cuya definicin puede tener la siguiente forma:

Titulo del indicador Clave de desempeo


Define
Mide
Objetivo

Los siguientes pueden ser dos, entre los


muchos posibles, indicadores del programa de
cultura de seguridad en una organizacin.

Titulo: Cubrimiento del programa de


entrenamiento en seguridad.

Define: el porcentaje acumulado de


empleados a quienes se les ha dado
entrenamiento en seguridad, a una fecha
determinada, con relacin al total
empleados de la organizacin.

Mide: El cubrimiento del plan de


entrenamiento.
Objetivo: Establecer el momento cuando
se llegue al 100% del programa
establecido.

Titulo: Control del correo Spam debido al


programa de Concientizacin.

Define: Con base en las estadsticas


obtenidas de presencia de correo Spam,

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

12

antes de comenzar el programa, obtener


los resultados debidos al programa de
concientizacin.

G.

Mide: la disminucin o aumento de correo


Spam.

Objetivo: Medir en que porcentaje el


programa de Concientizacin ha ayudado
a mejorar el desempeo y disponibilidad
de los sistemas de comunicaciones.
Repetir el ciclo

El esfuerzo realizado y el dinero invertido en el


desarrollo de un programa de cultura de
seguridad, no debera ser programa de una sola
vez. Como ya se ha mencionado anteriormente,
las condiciones tanto al interior como al exterior
de la organizacin son muy dinmicas y por lo
tanto el programa debe revisarse peridicamente.
El programa debe contemplar tanto a empleados
nuevos, al igual que reafirmacin y actualizacin
para quienes ya lo recibieron. Tan solo este
proceso, llevado a cabo en forma constante,
puede garantizar el xito en la lucha contra la
inseguridad y amenazas que permanentemente
atentan contra la informacin.
IV.

CONCLUSIONES

Las empresas de hoy estn comprendiendo que


uno de los activos ms valiosos con que cuentan
es la informacin. A partir de este entendimiento,
han visto la importancia de salvaguardar dichos
activos contra los ataques de aquellos que buscan
aprovechar las mltiples vulnerabilidades que los
sistemas e infraestructuras de red presentan. En
este contexto se enfoca gran parte de la atencin
en las personas, las cuales se convierten en el
eslabn ms dbil de la cadena de seguridad de la
informacin.
Es indudable que la proteccin de la
informacin es una de las mayores
preocupaciones de las empresas de hoy.
Orientadas a enfrentar este problema, las
empresas invierten gran cantidad de dinero en

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

tecnologa e implementacin de la misma


dejando de lado, en muchas ocasiones, la
concientizacin de los usuarios.
Es importante hacer el seguimiento adecuado a
los diferentes planes establecidos al interior de la
organizacin, relacionados con el desarrollo de la
cultura organizacional en seguridad, tanto en
aprendizaje, entrenamiento y educacin, como de
la correcta aplicacin de los mismos en las
actividades diarias de cada miembro de la
organizacin, pues en caso contrario, al no existir
los indicadores de seguimiento correspondientes,
no se podr conocer el impacto de dichos planes
ni tampoco conocer las acciones necesarias para
la correccin oportuna.
Cada organizacin debe tener en cuenta que el
proceso de desarrollo de cultura organizacional
en seguridad es un proceso continuo, pues da a
da salen al mercado nuevas tecnologas, nuevas
herramientas e ingresan nuevos empleados. En
caso que este proceso no se de esta manera,
puede llegar a quedar rpidamente obsoleto o ser
desconocido por las nuevas personas que
ingresan a la organizacin.
REFERENCIAS

[1] A. Douglas, Awareness, A Never Ending Struggle,


SANS Institute, 2001.
[2] B. Voss, The Ultimate Defense of Depth: Security
Awareness in Your Company, SANS Institute, 2001.
[3] C. Gilbert, Developing an Integrated Security
Training, Awareness, and Education Program, SANS
Institute, Junio 2003.
[4] Ch. Russell, Security Awareness Implementing an
Effective Strategy, SANS Institute, Octubre 25, 2002.
[5] D. Clark, Introduction to Instructional System
Design,
http://www.nwlink.com/~donclark/hrd/sat1.html,
Noviembre 6, 2000.
[6] D. Sustatita, Security Awareness Training Quiz Finding the WEAKEST link!, SANS Institute, Agosto
13, 2001.
[7] E. Stanton, Fortify Security through
Assurance Practices, SANS Institute, 2001.

Quality

Magster en Ingeniera de Sistemas y Computacin


Administracin de la Seguridad Informtica. 2004-II

13

[8] F. Hinchcliffe, Creating the effective Security


Awareness Program and Demonstration, SANS
Institute, Febrero 20, 2003.
[9] H. Kaur, Introduction and education of Information
Security Policies to employees in my organization,
SANS Institute, 2001.
[10] K. Smith, Security Awareness: Help the Users
Understand, SANS Institute, Octubre 17, 2001.
[11] LL. Guyot, Essential Information Security For
Corporate Employees, SANS Institute, Junio 2003.
[12] M. Boeckeler, Overview of Security Issues Facing
Computer Users, SANS Institute, Marzo 17, 2004.
[13] M. Johnston, Security Awareness Training and
Privacy, SANS Institute, 2001.
[14] M. Munley, Moving from Consciousness to Culture:
Creating an Environment of Security Awareness,
SANS Institute, Abril 10, 2004.
[15] M. Wilson, J. Hash, Building an Information
Technology Security Awareness and Training
Program, NIST, Octubre de 2003.
[16] M. Wilson, et Al, Information Technology Security
Training Requirements:A Role- and PerformanceBased Model, NIST, Abril de 1998.
[17] R. Behm, The Many Facets of an Information
Security Program, SANS Institute, Diciembre 6,
2003.
[18] S. Kakar, G. Soltys, IT Security Training for IT and
IA Professionals and System End-Users, Karta
Technologies.
[19] W. Farrar, Security Awareness Starts in IT, SANS
Institute, 2001.
[20] W. Hubbard, Methods and Techniques of
Implementing a Security Awareness Program, SANS
Institute, Abril 8, 2002.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Anexo A. GLOSARIO
Acreditacin: conocido tambin
como
procesamiento autorizado y aprobado para operar
(OMB Circular A-130, Appendix III). Esta
autorizada por un ente administrativo oficial la
cual provee medidas importantes de control de
calidad. Por la acreditacin un gerente acepta el
riesgo asociado en un sistema o aplicacin.
Administracin del riesgo:
El proceso
continuo de evaluacin del riesgo en los recursos
de la tecnologa de la informacin, como parte de
un acercamiento basado en el riesgo, para
determinar la adecuada seguridad del sistema,
analizando los ataques, las vulnerabilidades y
seleccionando los controles costo / beneficio
adecuados, para obtener y mantener un nivel
adecuado de riesgo.
Aprendizaje: Conocimiento obtenido por el
estudio (en clase, o a travs de bsqueda
individual o investigacin).
Ataque: Una actividad deliberada o no
intencional, con el potencial de causar dao a un
sistema de informacin automatizado o a una
actividad.
Certificacin: Es el proceso formal de probar
los componentes o sistemas contra un grupo
especificado de requerimientos de seguridad La
certificacin la realiza normalmente una persona
independiente mas que una persona que este
involucrada en la construccin de un sistema.
Confidencialidad: Es asegurar que la
informacin no esta disponible a individuos o
procesos no autorizados.
Conocimiento (Awareness): Es el proceso de
aprendizaje que establece las etapas para el
entrenamiento de las actitudes individuales y
organizacionales, para darse cuenta de la
importancia de la seguridad y de las
consecuencias adversas de su omisin.
Cuerpo del conocimiento de la seguridad
de la tecnologa de la informacin: Es un
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

14

grupo de 12 tpicos de alto nivel que incorporan


todo el cuerpo del conocimiento para el
entrenamiento en la seguridad de la informacin.
Disponibilidad: Acceso confiable y a tiempo a
los datos y a los sistemas de informacin para los
usuarios autorizados.
Educacin: La educacin en seguridad de la
tecnologa de informacin, este enfocada en el
desarrollo y visin para la ejecucin de
actividades complejas y multidisciplinarias y en
las habilidades necesarias para el ejercicio de la
seguridad en la tecnologa de la informacin. La
educacin incluye la bsqueda y el desarrollo
necesarios para mantenerse al da con las
tecnologas cambiantes y los ataques de
seguridad.
Entrenamiento (Training): Ensear a las
personas el conocimiento y las habilidades que
debern capacitarlos para la ejecucin de sus
trabajos en forma ms adecuada.
Integridad: La calidad de un sistema de
tecnologa de informacin, la exactitud y
confiabilidad de un sistema operacional, la
completez del hardware y software que
implementa los mecanismos de proteccin y la
consistencia y ocurrencia de las estructuras de
datos almacenadas.
Mnimo nivel de Proteccin: La reduccin en
el riesgo total que resulta del impacto de las
medidas de seguridad en el lugar.
Niveles de conocimiento: Verbos
que
describen las acciones que un individuo es capaz
de ejecutar en su labor, despus de la terminacin
del entrenamiento. Estos verbos se identifican por
los siguientes tres niveles: aprendiz, intermedio y
avanzado.
Resultados del comportamiento: Es lo que
se espera de un individuo que ha terminado un
modulo de entrenamiento, sea capaz de hacer,
relacionado con la seguridad, en lo referente a su
desempeo en el trabajo.

> Universidad de los Andes. Castillo, Di Mare, Daz, Dez. Concientizacin en seguridad de la informacin

Riesgo: La probabilidad que un ataque de


seguridad particular explote la vulnerabilidad del
sistema.
Riesgo Aceptable: Es el nivel de riesgo
residual que se ha determinado como un nivel
razonable de perdidas/ interrupcin por un
sistema de informacin especifico.
Riesgo Residual: La ocurrencia potencial de
un evento adverso despus de haberse ajustado el
impacto de las medidas de seguridad.
Roles y Responsabilidades: Funciones
realizadas por alguien en una situacin
determinada y las obligaciones a las tareas y
labores para las cuales esta persona debe
responder.
Seguridad adecuada: Es la seguridad
evaluada con el riesgo y la magnitud de dao
resultante de las perdidas, mal uso, o accesos no
autorizados a la informacin o modificacin de la
misma. Tambin incluye la certeza que los
sistemas operan correctamente y proveen la
confiabilidad, integridad y disponibilidad a travs
del uso de una administracin costo / efectiva, y
la adquisicin, desarrollo, instalacin, operacin
de controles tcnicos.
Seguridad Base: Son los mnimos controles de
seguridad requeridos para salvaguardar un
sistema de informacin. Esta basado en la
identificacin
de
las
necesidades
de
confidencialidad, integridad o proteccin de la
disponibilidad.
Seguridad de la tecnologa de la
informacin: Es la disciplina tecnolgica que
asegura que los sistemas de informacin
funcionan como se espera; que la informacin
provee la proteccin adecuada para la
confidencialidad; que la integridad de se
mantiene y que la informacin y los recursos del
sistema estn protegidos contra interrupciones no
planeadas de procesamiento que pueden afectar
seriamente el objetivo de la organizacin.
Sensitividad: El grado al cual un sistema de
tecnologa de informacin requiere proteccin
Magster en Ingeniera de Sistemas y Computacin
Administracin de la Seguridad Informtica. 2004-II

15

(para asegurar la confidencialidad, integridad y


disponibilidad), determinado por la evaluacin de
la naturaleza y criticidad de los datos procesados,
la relacin con el sistema a la misin de la
organizacin y el valor econmico de los
componentes del sistema.
Tecnologa de la informacin (IT):
Componentes de software y hardware de
computacin o comunicacin y recursos
relacionados que pueden agruparse, almacenarse,
compartirse o transmitirse. Los componentes de
IT incluyen computadores y dispositivos
asociados, sistemas operacionales, software de
utilidad o de soporte y hardware y software de
comunicaciones.
Vulnerabilidad: Una falla o debilidad que
puede permitir que un dao ocurra en el sistema
de tecnologa de informacin o en alguna
actividad.