Manual Del Instructor en Seguridad de La Información PDF

Manual del INSTRUCTOR en
SEGURIDAD de la INFORMACIN
Versin 1.0 Noviembre 2007
Gran parte del proceso de construccin del conocimiento en las organizaciones
tiene que ver con ayudar a la gente a saber lo que sabe,

tanto para que pueda transferirlo como para que pueda cuestionarlo.
E. Gore y M. Vzquez Mazzini: Una introduccin a la formacin en el trabajo.
Buenos Aires, FCE, 2004, pgina 172.
Manual del Instructor en Seguridad de la Informacin
INDICE
LICENCIA DE USO ___________________________________________________ 3
PARTE A ASPECTOS GENERALES____________________________________ 3
PRESENTACION _________________________________________________________ 3
DESCRIPCIN DE LA PROPUESTA ________________________________________ 3
FUNDAMENTACIN _____________________________________________________ 3
CONTRIBUCIN ESPERADA ______________________________________________ 3
DESTINATARIOS ________________________________________________________ 3
OBJETIVOS Y CONTENIDOS______________________________________________ 3
Objetivos Generales del Manual ____________________________________________________3
Objetivos Particulares del Manual ___________________________________________________3
Objetivos y Contenidos Pedaggicos_________________________________________________3
DESCRIPCIN DE LA MODALIDAD _______________________________________ 3

ESTRATEGIAS METODOLGICAS Y RECURSOS DIDCTICOS _____________ 3
Elementos Requeridos para el Dictado _______________________________________________3
EVALUACIN DE LOS APRENDIZAJES ____________________________________ 3

MODALIDADES DE DESARROLLO ________________________________________ 3
PROGRAMA EXTENDIDO_________________________________________________ 3
Reunin 1 Fundamentos de la Seguridad de la Informacin______________________________3
Reunin 2 Seguridad de la Informacin en las Tareas Cotidianas _________________________3
Reunin 3 Amenazas y Herramientas de Seguridad ____________________________________3
PROGRAMA REDUCIDO__________________________________________________ 3
Reunin nica - Fundamentos de la Seguridad de la Informacin __________________________3
ESTRUCTURA DE LAS REUNIONES _______________________________________ 3

Objetivos ______________________________________________________________________3
Contenidos _____________________________________________________________________3
Actividades ____________________________________________________________________3
Duracin de cada reunin _________________________________________________________3
Cantidad de participantes por curso __________________________________________________3
Guas para la exposicin __________________________________________________________3
PARTE B ASPECTOS PEDAGGICOS _________________________________ 3

REUNIN 1 ______________________________________________________________ 3
Instrumentos para la evaluacin de la actividad_________________________________________3
Desarrollo de la propuesta _________________________________________________________3
Preguntas para reflexionar sobre mi tarea como instructor ________________________________3
Lecturas sugeridas para ampliar el conocimiento de los contenidos pedaggicos_______________3
Bibliografa consultada ___________________________________________________________3
REUNIN 2 ______________________________________________________________ 3
La exposicin oral _______________________________________________________________3
Lecturas sugeridas para ampliar el conocimiento de los contenidos pedaggicos_______________3
REUNIN 3 ______________________________________________________________ 3
Evaluacin en capacitacin laboral __________________________________________________3
Bibliografa sugerida _____________________________________________________________3
PARTE C CONTENIDOS TCNICOS___________________________________ 3

REUNIN 1 FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIN ___ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
SGP INAP ONTI ArCERT
Pgina: 2 de 86
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
Bibliografa de referencia _________________________________________________________3
REUNIN 2 SEGURIDAD DE LA INFORMACIN EN LAS TAREAS

COTIDIANAS ____________________________________________________________ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
REUNIN 3 AMENAZAS Y HERRAMIENTAS DE SEGURIDAD ______________ 3

Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre y evaluacin de la actividad __________________________________________________3
PROGRAMA REDUCIDO__________________________________________________ 3
REUNIN NICA FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIN __________________________________________________________ 3
Contenidos _____________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
PARTE D PRESENTACIN DE DISEOS DE CAPACITACIN ___________ 3

CMO COMPLETAR EL INSTRUMENTO COMPONENTES PARA LA
PRESENTACIN DE DISEOS DE CAPACITACIN ________________________ 3
BIBLIOGRAFA __________________________________________________________ 3
PARTE E BIBLIOGRAFA____________________________________________ 3
BIBLIOGRAFA PARA LOS CONTENIDOS INFORMTICOS _________________ 3
BIBLIOGRAFA PARA LOS CONTENIDOS PEDAGGICOS __________________ 3
Pgina: 3 de 86
LICENCIA DE USO
El presente Manual se distribuir con la siguiente licencia:
1.
OBJETO DE LA LICENCIA. El LICENCIANTE confiere al LICENCIATARIO una licencia que

permite la utilizacin del Manual del Instructor en Seguridad de la Informacin a
ttulo gratuito y por tiempo indeterminado, destinado a facilitar la transmisin
de conceptos esenciales en materia de seguridad de la informacin con arreglo
a las condiciones que siguen a continuacin.
2.
DERECHOS DEL LICENCIATARIO. El LICENCIANTE faculta al LICENCIATARIO en forma no

exclusiva a realizar los siguientes actos:
3.
a.
Usar, copiar, modificar y distribuir el Manual del Instructor en Seguridad de la

Informacin.
b.
Hacer obras derivadas del Manual del Instructor en Seguridad de la

Informacin.
OBLIGACIONES DEL LICENCIATARIO. Los derechos mencionados en la clusula 2 se

otorgan bajo las siguientes condiciones:
a.
Mencionar en todo momento, inclusive en los trabajos derivados, que la obra es de

titularidad de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE
GABINETE DE MINISTROS y que la misma ha sido desarrollada por el personal de
ArCERT de la OFICINA NACIONAL DE TECNOLOGAS DE LA INFORMACIN y del
INSTITUTO NACIONAL DE LA ADMINISTRACIN PBLICA.
b.
No usar, copiar, distribuir o realizar cualquier acto con el Manual del Instructor en
Seguridad de la Informacin con fines comerciales.
c.
Distribuir las eventuales obras derivadas del Manual del Instructor en Seguridad de la
Informacin con una licencia idntica a la presente e informando a los nuevos
usuarios que se trata de una obra derivada.
d.
Notificar a los eventuales nuevos usuarios los trminos y condiciones de esta licencia
al momento de ejercer cualquiera de los derechos conferidos en la clusula 2.
e.
No borrar, alterar u ocultar las indicaciones de Copyright existentes en el Manual del

Instructor en Seguridad de la Informacin.
El incumplimiento de las condiciones estipuladas extinguir automticamente los derechos

surgidos de esta licencia.
4.
ACTOS VEDADOS AL LICENCIATARIO. El LICENCIANTE se reserva todas las facultades

autorales no licenciadas explcitamente.
5.
FORMA DE ACEPTACIN. Est legalmente prohibido usar, copiar, modificar o

distribuir la obra a menos que se acepten los trminos y condiciones de la
presente licencia. Por lo anterior, del acto de usar, copiar, modificar o distribuir
la obra se presume la aceptacin de los trminos y condiciones de la presente
licencia.
Pgina: 4 de 86
PARTE A ASPECTOS GENERALES

PRESENTACION
Estimado/a colega:
Usted est recibiendo un material elaborado con el propsito de ayudarlo/a a implementar una
propuesta de capacitacin en seguridad de la informacin.
Las organizaciones dependen cada vez ms del procesamiento de su informacin, y por otra
parte, el Estado viene desarrollando desde hace tiempo iniciativas sobre Gobierno Electrnico y
sobre Seguridad de los Sistemas de Informacin.
Sobre este ltimo punto, la Jefatura de Gabinete de Ministros ha requerido, a travs de la
Decisin Administrativa N 669/2004, la redaccin de polticas de seguridad de la informacin en
los organismos de la Administracin Pblica Nacional. Estas incluyen un captulo de seguridad
del personal, donde se establece la necesidad de capacitar a todo el personal sobre cuestiones
vinculadas con la seguridad de la informacin, el uso correcto de la informacin que se
administra, etc.
A los fines de sensibilizar sobre la importancia de la seguridad de la informacin y de difundir
herramientas que contribuyan a instalar buenas prcticas al respecto, hemos tomado la
estrategia de la formacin de instructores: es decir, formar a usuarios avanzados en los
organismos que puedan replicar actividades de sensibilizacin y capacitacin en esta temtica.
El material fue elaborado conjuntamente por dos Oficinas de la Subsecretara de la Gestin
Pblica:
la Oficina Nacional de Tecnologa de la Informacin (ONTI), con la participacin
del equipo de Coordinacin de Emergencias en Redes Teleinformticas
(ArCERT), unidad que entiende sobre la problemtica de la seguridad en los Organismos
de la Administracin Pblica Nacional y
el Instituto Nacional de la Administracin Pblica (INAP) que es el organismo
especializado en temas de capacitacin en el sector pblico, con la participacin del
equipo de la Direccin del Sistema Nacional de Capacitacin.
En el marco de la estrategia de formacin de instructores, le proponemos este Manual porque
entendemos que:
facilita la sistematizacin del trabajo de formacin de instructores;
ofrece al futuro instructor un conjunto de estrategias para planificar e implementar su
prctica de capacitacin;
promueve en el futuro instructor un sentimiento de mayor seguridad al ofrecerle los
elementos necesarios para desarrollar su actividad.
Son propsitos de este Manual que usted logre:
fortalecer sus conocimientos de herramientas de seguridad de la informacin,
valorar la importancia de socializar conocimientos sobre seguridad de la informacin,
aplicar herramientas tericas y prcticas para disear e implementar actividades de
capacitacin en temas de seguridad de la informacin.
Finalmente, este Manual del Instructor es el resultado de la experiencia del ArCERT en la
temtica de seguridad de la informacin, del INAP en materia de formacin de formadores y del
trabajo compartido que el INAP y la ONTI vienen desarrollando.
Pgina: 5 de 86
DESCRIPCIN DE LA PROPUESTA
Nuestra propuesta lo invita a transitar por contenidos informticos y pedaggicos que hemos
seleccionado en funcin de su relevancia para el desarrollo de las competencias propias del
instructor en seguridad de la informacin. Este recorrido va a estar acompaado de:
desarrollo de contenidos informticos,
sugerencias para el instructor,
actividades y recursos para la enseanza,
actividades de reflexin sobre la tarea del instructor,
lecturas sugeridas para ampliar el conocimiento de los contenidos informticos y
lecturas sugeridas para ampliar el conocimiento de los contenidos pedaggicos.
A continuacin hemos incorporado el programa que desplegaremos, en el cual estn separados
los temas de informtica (que usted deber ensear en su actividad de capacitacin) de los
temas pedaggicos; esta separacin responde fundamentalmente a criterios organizativos ya que
ambos tipos de contenidos sern abordados conjuntamente a lo largo del Manual.
El Manual contempla el dictado en dos formatos: uno breve, con fines de concientizacin, con
una duracin estimada de 4 horas y uno ms amplio, destinado a la capacitacin en seguridad
informtica, a dictarse en tres medias jornadas.
FUNDAMENTACIN
El uso intensivo de las herramientas informticas es una realidad actual en todas las
organizaciones. Ello trae aparejado innumerables beneficios, pero tambin surgen nuevas
problemticas como la aparicin de fallas de seguridad informtica, algunas relacionadas con
aspectos tcnicos y otras con cuestiones humanas, operativas, etc. De esta nueva realidad
surgen riesgos que deben ser mitigados.
Existe entonces la necesidad de preservar la seguridad de la informacin, es decir, su
disponibilidad, confidencialidad e integridad.
A todo esto, no se deben dejar de lado las normas establecidas, muchas de las cuales comienzan
a incorporar temas del rea informtica.
Por otra parte, el avance de las iniciativas de Gobierno Electrnico, hace que los organismos del
Estado estn inmersos en planes de apertura de sus sistemas hacia la comunidad.
Los puntos anteriores refieren a un estado de situacin en materia de seguridad informtica que
exige que los usuarios de diferentes herramientas conozcan y utilicen principios y normas que les
permitan evitar o saber manejarse frente a los incidentes de seguridad ms frecuentes.
CONTRIBUCIN ESPERADA
A travs de una actividad de formacin de instructores en seguridad de la informacin, se
espera que los organismos cuenten con personal competente para difundir y capacitar a distintos
usuarios de informtica, en materia de normas y buenas prcticas en seguridad de la
informacin.
Asimismo, se espera que en los organismos se observe un aumento de la eficacia en el uso de las
herramientas informticas y disminuyan las situaciones que se originan en prcticas que no
responden a los principios de la seguridad informtica.
Pgina: 6 de 86
DESTINATARIOS
El presente Manual fue desarrollado como una herramienta para el personal de la Administracin
Pblica a quien se le asigne la tarea de dictar un taller en seguridad de la informacin para los
usuarios de su organismo, pudiendo asimismo ser utilizado por otras organizaciones que lo
consideren de inters.
Perfil requerido para la postulacin:
Los siguientes puntos refieren al uso de este Manual por parte del personal de Organismos
Pblicos.
Formacin
Acreditar capacitacin o formacin en temas relacionados con la docencia o en la
conduccin de equipos de trabajo, de liderazgo, de manejo de las relaciones
interpersonales.
Experiencia laboral
Desempearse como agente del organismo en el cual ser instructor.
Acreditar experiencia en la conduccin/coordinacin de equipos o reas de
trabajo en el sector pblico (no excluyente).
En relacin con la docencia: experiencia en capacitacin y/o educacin de
adultos, especialmente en educacin no formal (no excluyente).
Acreditar experiencia como usuario avanzado de sistemas informticos,
particularmente en:
Manejo avanzado de Sistemas Operativos (Windows, Linux, etc.) y

herramientas de Oficina.
Experiencia avanzada en el uso de Internet.
Caractersticas personales
Comprobada capacidad de escucha y de dilogo.
Actitud reflexiva frente a los problemas de la prctica laboral.
Disposicin a compartir conocimientos.
Compromiso con el propio aprendizaje y con el de los dems.
Del curso que dictar el instructor utilizando el Manual
Todos los usuarios del organismo de pertenencia que hacen uso de la herramienta
informtica.
OBJETIVOS Y CONTENIDOS
Dada la naturaleza de esta propuesta, los contenidos a desarrollar incluyen: saberes informticos
y saberes pedaggicos.
Los contenidos informticos se organizan en reuniones y las estrategias utilizadas para la
enseanza de estos contenidos, se constituyen en contenidos pedaggicos, as como las lecturas
sugeridas.
Pgina: 7 de 86
Objetivos Generales del Manual

Que los participantes:
se apropien de conocimientos de seguridad de la informacin para replicar en sus
organismos de pertenencia a travs de la capacitacin de usuarios;
adquieran herramientas pedaggicas que les permitan transferir conocimientos de
seguridad en el campo del tratamiento de la informacin;
fortalezcan su compromiso y vean facilitada la tarea de capacitacin y/o concientizacin
en su organismo.
Objetivos Particulares del Manual

Fundamentos de la Seguridad de la Informacin
Objetivos
Que los participantes logren:
Conocer las amenazas que atentan contra la seguridad de la informacin.
Comprender la necesidad de implementar medidas de seguridad.
Comprender los conceptos de disponibilidad, confidencialidad e integridad.
Comprender el concepto de incidente de seguridad.
Comprender la importancia y la funcin de una poltica de seguridad de la informacin en
toda organizacin.
Conocer el marco legal vigente en relacin con las Tecnologas de la Informacin y las
Comunicaciones (TIC).
Seguridad de la Informacin en las Tareas Cotidianas

Objetivos
Conocer las buenas prcticas para el uso seguro de la tecnologa.
Desarrollar una actitud favorable para la aplicacin de dichas prcticas.
Comprender los recaudos a tomar para garantizar el uso efectivo de claves de acceso.
Adquirir tcnicas para prevenir el acceso de terceros a informacin confidencial.
Reconocer situaciones donde se violan medidas de seguridad a travs de tcnicas de
ingeniera social.
Entender la problemtica del cdigo malicioso.
Comprender las amenazas que acarrean los sistemas de mensajera instantnea y las
redes P2P.
Amenazas y Herramientas de Seguridad

Objetivos
Aplicar normas de seguridad en el intercambio de mensajes de correo electrnico.
Conocer la firma digital como herramienta para asegurar la informacin.
Comprender la necesidad de detectar y reportar incidentes.
Pgina: 8 de 86
Objetivos y Contenidos Pedaggicos

Objetivos
Ubicar la actividad de capacitacin en el marco de las necesidades de capacitacin en el
organismo.
Compartir experiencias de la prctica como instructores y reflexionar sobre la estrategia
utilizada para la enseanza de contenidos informticos.
Caracterizar al adulto en situacin de aprendizaje en el mbito laboral.
Valorar la importancia del diseo como una herramienta para guiar la implementacin de
actividades de capacitacin en seguridad de la informacin.
Intercambiar las experiencias y apreciaciones sobre la elaboracin del propio diseo.
Reconocer los momentos de un encuentro de capacitacin, apertura, desarrollo y cierre y
seleccionar estrategias adecuadas a los mismos.
Comprender las funciones de la evaluacin.
Conocer las tcnicas apropiadas para la evaluacin de actividades de capacitacin en
seguridad de la informacin.
Contenidos
La capacitacin como una herramienta para atender necesidades de gestin:
fundamentacin y contribucin esperada.
El diseo como herramienta que orienta la accin formativa en diferentes dimensiones:
personal, institucional, interpersonal, didctica y tica.
Las Tcnicas y recursos para la presentacin de contenidos informticos: presentaciones,
exposicin dialogada, situacin problemtica, anlisis de casos, demostracin. Para qu,
cundo, cmo y dnde utilizarlas.
El uso de la evaluacin para comprender, para reflexionar y para mejorar.
Las tcnicas de evaluacin en actividades de capacitacin en informtica: resolucin de
casos; anlisis de situaciones problemticas; pruebas de ejecucin; otras.
DESCRIPCIN DE LA MODALIDAD
Modalidad no presencial. Se entrega este material a los participantes con desarrollo de
contenidos informticos y pedaggicos y con propuesta de actividades para el diseo y la
implementacin de una actividad de capacitacin en seguridad de la informacin en sus
organismos de pertenencia.
ESTRATEGIAS METODOLGICAS Y RECURSOS DIDCTICOS

Las estrategias metodolgicas se derivan de la modalidad no presencial. Se espera que los
participantes lean los materiales, resuelvan las actividades que figuran en el mismo,
completen el instrumento para disear actividades de capacitacin de acuerdo con la
modalidad de desarrollo elegida (actividad de capacitacin o actividad de sensibilizacin)
Se entregar a cada participante un material con el desarrollo de contenidos informticos y
pedaggicos y propuestas detalladas para implementar actividades de sensibilizacin o
capacitacin en seguridad de la informacin en los organismos de pertenencia de los
participantes.
Pgina: 9 de 86

Los recursos a utilizar incluyen bsicamente presentaciones, casos de estudio, actividades de
reflexin y de evaluacin; recomendaciones para el instructor y lecturas y sugerencias de
bibliografa para ampliar conocimientos pedaggicos.
Elementos Requeridos para el Dictado

PC con visualizador de archivos PPT (Ms PowerPoint) y PDF instalado.
Proyector para PC.
Pizarra o rotafolios y marcadores.
Material del curso impreso segn clase.
Pantalla para proyeccin (preferentemente).
Aula con instalaciones que permitan el trabajo en grupo.
EVALUACIN DE LOS APRENDIZAJES

Evaluacin de contenidos informticos. Se realizarn auto evaluaciones:
de proceso, a travs de las actividades planteadas en el material y
de producto, a travs de la realizacin de un trabajo prctico final de integracin,
tambin planteado en el material.
Evaluacin de los contenidos pedaggicos. Se realizarn auto evaluaciones:
de proceso, a travs de responder a las preguntas formuladas en el material en
relacin con los contenidos pedaggicos y
de producto, a travs de la elaboracin del diseo, sobre la base del presente Manual,
de una actividad breve (de sensibilizacin) y/o extendida (de capacitacin) en el tema
de seguridad de la informacin.
IMPORTANTE: En el caso de los/as agentes instructores que se desempeen en
organismos comprendidos en el Sistema Nacional de Capacitacin:
Para la evaluacin final de aprobacin del taller no presencial,

el diseo elaborado deber responder a las pautas del
instrumento Componentes para la presentacin de diseos de
capacitacin y deber ser acreditado por INAP.
MODALIDADES DE DESARROLLO
Este Manual le presenta dos opciones para desarrollar actividades de capacitacin en seguridad
de la informacin segn dos propsitos diferenciados:
a) Promover el conocimiento y utilizacin de herramientas de seguridad de la informacin
en las distintas reas del organismo,
b) Sensibilizar sobre la importancia de tomar precauciones tendientes a preservar la
Pgina: 10 de 86
En qu casos usted implementara actividades tendientes al logro de objetivos de

conocimiento y utilizacin de herramientas de seguridad de la informacin?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
En qu casos usted implementara actividades tendientes al logro de objetivos de

sensibilizacin en temas de seguridad de la informacin?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
Ahora, le ofrecemos en el siguiente cuadro las situaciones o casos que identificamos nosotros.
Establezca propsitos para promover el
conocimiento y utilizacin de herramientas de
Seguridad de la Informacin cuando:
Establezca propsitos para sensibilizar sobre

temas de Seguridad de la Informacin cuando:
Hay disponibilidad de tiempo (12 a 15

horas) y la organizacin plantea el objetivo de
instalar la cultura de la Seguridad Informtica.
Es posible armar grupos de hasta 30
personas.
El organismo est comprometido con la
adquisicin y aplicacin eficaz de herramientas
de SI.
_________________________________
Hay baja disponibilidad de tiempo.

El pblico es muy numeroso y el tiempo
disponible para el instructor es breve (3
4 horas).
La organizacin plantea una actividad
inicial, masiva, a partir de la cual instalar la
preocupacin de la SI.
Los destinatarios de la actividad son
directivos del organismo que tienen la
responsabilidad de generar compromiso
con la SI en las reas que conducen.
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
Agregue en las lneas vacas de las columnas anteriores aquellos casos o situaciones que escribi
anteriormente y que no estn contempladas en las ya enunciadas.
Cules son los propsitos para su actividad de capacitacin? Sensibilizacin? Difusin

de herramientas? Antelas [Estas preguntas estn destinadas a promover un espacio de reflexin para
el instructor, para que piense acerca de la tarea que va a desarrollar y determine sus objetivos.]
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Pgina: 11 de 86
Ahora le ofrecemos un esquema de dos recorridos posibles segn los propsitos identificados.
Propsitos de promover el
conocimiento y utilizacin de
herramientas de seguridad de
la informacin
Propsitos de sensibilizar sobre

la importancia de tomar
precauciones tendientes a
preservar la seguridad de la
informacin.
PROGRAMA EXTENDIDO
Pg. 13
PROGRAMA REDUCIDO
Pg. 14
Pgina: 12 de 86
PROGRAMA EXTENDIDO
Reunin 1 Fundamentos de la Seguridad de la Informacin
Objetivos
Comprender la necesidad de implementar seguridad.
Comprender los conceptos de disponibilidad, confidencialidad e integridad.
Comprender el concepto de incidente de seguridad.
Comprender la importancia y la funcin de una Poltica de Seguridad de la
Informacin en toda organizacin.
Conocer el marco legal vigente en relacin con las TIC.
Contenidos
Amenazas a la Seguridad de la Informacin
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Polticas de Seguridad de la Informacin
Normas vigentes
Reunin 2 Seguridad de la Informacin en las Tareas

Cotidianas
Objetivos
Conocer las buenas prcticas para el uso seguro de la tecnologa.
Comprender los recaudos a tomar para garantizar el uso efectivo de claves de
acceso.
Adquirir tcnicas para prevenir el acceso de terceros a informacin confidencial.
Reconocer situaciones donde se violan medidas de seguridad a travs de tcnicas
de ingeniera social.
Entender la problemtica del cdigo malicioso.
Comprender las amenazas que acarrean los sistemas de mensajera instantnea y
las redes P2P.
Pgina: 13 de 86
Contenidos
Mecanismos de control de acceso a los sistemas de informacin
Administracin de claves de acceso
Poltica de pantalla y de escritorios limpios
Ingeniera Social
Cdigo Malicioso
Amenazas en la navegacin por Internet
Mensajera Instantnea y Redes P2P
Reunin 3 Amenazas y Herramientas de Seguridad

Objetivos
Aplicar normas de seguridad en el intercambio de mensajes de correo electrnico.
Comprender la necesidad de detectar y reportar incidentes.
Contenidos
Uso seguro del correo electrnico
Firma Digital: funcionamiento y beneficios
Reporte de incidentes de seguridad
PROGRAMA REDUCIDO
Reunin nica - Fundamentos de la Seguridad de la
Informacin
Objetivos
Comprender la necesidad de implementar seguridad.
Comprender la importancia y la funcin de una Poltica de Seguridad de la
Informacin en toda organizacin.
Conocer las buenas prcticas para el uso seguro de la tecnologa (correo
electrnico, Internet, etc.).
Comprender la necesidad de detectar y reportar incidentes informticos.
Pgina: 14 de 86
Contenidos
Confidencialidad
Integridad
Disponibilidad
Normas vigentes
Ingeniera Social
Cdigo Malicioso
ESTRUCTURA DE LAS REUNIONES

Le ofrecemos una propuesta de doce horas de duracin, para el programa extendido, con una
distribucin de tres reuniones de cuatro horas cada una, preferentemente con una frecuencia
de una vez por semana. En el caso del programa reducido, se propone una sola reunin de
cuatro horas de duracin.
Se trata de una planificacin con objetivos, contenidos y actividades para cada una de las
reuniones.
Objetivos
Son los logros de aprendizaje que se esperan obtener de los participantes.
Contenidos
Son los temas correspondientes a cada reunin.
Actividades
Comprenden actividades a realizar por el instructor y actividades grupales propuestas para
los participantes.
Cada reunin se organiza en tres momentos: apertura, desarrollo y cierre. Usted
encontrar actividades especficas para cada uno.
Apertura
Actividades que deber desarrollar el instructor al inicio de la reunin. Puede tratarse de la
presentacin del curso, de la presentacin de las actividades del da, de la recuperacin de
temas de reuniones anteriores, etc.
Desarrollo
Pgina: 15 de 86

Gua para el desarrollo de la clase. Incluye descripcin y contenido de las actividades, de
las presentaciones y los ejercicios prcticos. Muchos de los puntos incluirn referencias
para ampliar la informacin de ciertos temas.
Cierre
Actividades del cierre de la reunin, reflexiones sobre lo visto hasta all, encuestas y
espacio de preguntas de los participantes.
Duracin de cada reunin

Para cada diapositiva y actividad, se sugieren tiempos estimados de duracin. Estas
estimaciones deben tomarse como sugerencias, recomendndose su ajuste en funcin de
la cantidad y las caractersticas de los participantes.
Cantidad de participantes por curso

Para el Programa extendido, se sugieren grupos de entre 20 y 30 personas. Para el
reducido, grupos de no ms de 50 personas. Las estimaciones de tiempo para cada
actividad se basan en grupos de los tamaos referidos.
Guas para la exposicin

Para cada diapositiva se sugiere un texto mnimo a presentar. A los fines de la exposicin,
este texto deber ser adaptado a la realidad del organismo y ampliado en base a la
bibliografa sugerida.
NOTA: En cada uno de estos segmentos, Ud. encontrar iconos que indicarn:
Desarrollo de contenidos con exposicin dialogada (normalmente Diapositivas).
Actividad grupal (en plenario y en pequeos grupos).
Trabajo con documento de texto.
Recomendaciones/Sugerencias.
Pgina: 16 de 86
PARTE B ASPECTOS PEDAGGICOS

REUNIN 1
En esta seccin encontrar guas pedaggicas para la preparacin y el dictado del curso, as
como lecturas sugeridas.
Instrumentos para la evaluacin de la actividad

Encuesta para la evaluacin de reaccin, elaborada por INAP.
Despus de haber ledo el programa del taller no presencial y para que usted tenga una primera
aproximacin a los contenidos, le presentamos el siguiente esquema conceptual: obsrvelo
atentamente y responda las preguntas que aparecen a continuacin.
CONTEXTO INSTITUCIONAL
Qu reflexiones puede hacer acerca del esquema anterior? Qu le interesa ms en relacin
con los contenidos del esquema? Escriba a continuacin sus respuestas a estas preguntas.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Pgina: 17 de 86
Desarrollo de la propuesta
A lo largo del Manual, usted encontrar una secuencia de contenidos y actividades que deber
replicar en la actividad de capacitacin en seguridad de la informacin que realizar en su
organismo.
La tarea a emprender constituye un desafo importante para usted en relacin con su rol en el
organismo y para ste, un aporte vinculado con las prcticas de preservacin de la informacin.
Le proponemos algunas preguntas sobre estas cuestiones.
Piense acerca de ellas y escriba las respuestas debajo de cada una.
Por qu mi organismo necesita realizar esta capacitacin en seguridad de la informacin?
Para qu se realiza? Qu cambios pueden ocurrir a partir de la actividad de capacitacin

en seguridad de la informacin?
Qu reas de la organizacin se beneficiarn ms con esta actividad de capacitacin en

seguridad de la informacin?
Cmo me veo a m mismo/a como instructor/a en temas de seguridad de la informacin?
Cules son mis expectativas en relacin con la actividad y en relacin con el desempeo
de mi rol de instructor?
Puede profundizar las reflexiones anteriores en Preguntas para reflexionar sobre mi tarea como
instructor.
Pgina: 18 de 86
Preguntas para reflexionar sobre mi tarea como instructor

Adaptado de: Fierro, C. y otras: Transformando la prctica docente. Mxico, Paids, 1999.
1. Cmo llegu a ser instructor en seguridad de la informacin? A travs de qu recorridos
personales y profesionales? Qu factores intervinieron para que me iniciara en este rol?
2. A qu figuras de mi biografa educativa y de mi trayectoria profesional he recurrido como
modelos para construir este rol de instructor en seguridad de la informacin?
3. De cules trat de apartarme?
4. Qu caractersticas destaco en unos y en otros?
5. Con qu experiencias se relacionan mis mejores momentos como instructor o como
docente?
6. Qu lugar ocupa mi funcin de instructor en seguridad de la informacin en el conjunto
de mi actividad profesional? Estoy conforme con ese lugar? Deseo ampliarlo o reducirlo?
Por qu? Qu debera hacer para darle ese lugar a mi rol de instructor?
7. Qu aprecio ms de mi trabajo como instructor en seguridad de la informacin?
Registre las reflexiones que promovieron las preguntas anteriores:
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
____________________________________________________________________________
Pgina: 19 de 86
Lecturas sugeridas para ampliar el conocimiento de los

contenidos pedaggicos
La autorregulacin del aprendizaje
Fuente: ROMERO, Claudia: Los docentes, adultos que aprenden. En: Novedades educativas,
Ao 14, N 143, noviembre 2002, pg. 24.
Trabajos de investigacin recogidos por Marcelo Garca (Formacin del profesorado para el
cambio educativo: Barcelona, 1995), dedicados a estudiar las caractersticas del aprendizaje en
los adultos y en particular el desarrollo cognitivo de los profesores, identifican algunos factores
que caracterizan el aprendizaje adulto:
Los adultos se comprometen a aprender cuando las metas y objetivos se consideran
realistas e importantes y se perciben con utilidad inmediata.
Los adultos desean tener autonoma y ser el origen de su propio aprendizaje, quieren
implicarse en la seleccin de objetivos, contenidos, actividades y evaluacin.
Los adultos se resisten a aprender en situaciones que son impuestas o creen que
ponen en cuestin su competencia.
Reconocer la importancia de la autorregulacin del aprendizaje adulto implica
reconocer la responsabilidad del adulto sobre su propio aprendizaje y comprender el
requerimiento de autoeficacia que le imprime.
Reflexione sobre el curso de capacitacin de instructores que est realizando y responda las
siguientes preguntas:
Qu metas u objetivos les propuse a los participantes para que se sientan
comprometidos con la seguridad de la informacin?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Qu estoy haciendo para que los participantes perciban que en este taller no se estn
cuestionando sus prcticas en el manejo de la informacin?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
El mtodo de casos
En qu consiste?
Este mtodo fue desarrollado por Christopher Langdell, de la Facultad de Derecho de la
Universidad de Harvard hacia fines del siglo XIX.
El caso consiste en el relato escrito con fines educativos, de una experiencia real o ficticia.
Pgina: 20 de 86

Se trata pues de hacer estudiar a un grupo, durante un nmero determinado de clases,
situaciones-problema concretas presentadas con sus detalles reales. El objetivo es provocar, a
partir del anlisis de la situacin, una toma de conciencia exacta y ajustada de la misma, una
conceptualizacin experiencial y finalmente, una bsqueda de soluciones eficaces, mediante la
discusin y el dilogo grupal.
Para qu se utiliza?
Su uso es recomendable en situaciones de aprendizaje dado que:
Posibilita la interaccin entre todos los integrantes de un grupo y favorece el trabajo
en equipo, considerando y valorando los aportes de cada uno de los miembros.
Ayuda a comprender los problemas en su complejidad y mltiples interrelaciones.
Estimula la flexibilidad mental, ya que para la resolucin de un caso nunca existe una
nica alternativa.
Permite capitalizar al mximo las experiencias de los participantes a travs de un
mtodo de aprendizaje cooperativo y un proceso de reflexin crtica.
Presenta la posibilidad de identificar una serie de problemas representativos de una
profesin, otorgando a sus miembros legitimidad y familiaridad profesional.
Involucra personalmente al estudiante en el caso, de tal manera que su resolucin lo
lance simultneamente hacia la investigacin activa.
Es til para la formacin en diagnstico y toma de decisiones.
Procura combinar de manera eficiente la adquisicin de conocimientos tericos y el
desarrollo de una experiencia profesional til.
Existen diferentes tipos de casos?

S, y es bueno que los conozca para poder elegir entre la variedad existente, cul se ajusta
mejor a la madurez del grupo, a los conocimientos previos del mismo, a los contenidos a
trabajar, y a la finalidad que se desee alcanzar.
Caso Harvard: Este caso, el original, es extremo y complejo. Contiene abundante
informacin que permite enmarcar de modo adecuado el problema, obligando al
estudiante a sistematizar y vincular hechos, reconocer subproblemas y generar
soluciones.
El caso problema: Contiene informacin previamente seleccionada en funcin de un
propsito principal. Puede ser elaborado por el equipo instructor e interpretado sin
dificultad por los participantes.
El caso grabado: Supone la presentacin oral del material sustituyendo la escritura
por la voz, dotando de caractersticas ms reales a la interaccin.
El caso presencial: Apunta al anlisis de un problema real, ocurrido en alguna
institucin concreta. La presentacin del caso est a cargo de un integrante de la
organizacin en la que tuvo lugar el problema y que est involucrado en la situacin.
El caso episodio: Conocido tambin como proceso incidente, consiste en presentar en
forma breve un episodio extrado de una situacin cotidiana de trabajo. Es as como a
travs del trabajo tanto individual como grupal, el estudiante desarrolla su capacidad de
ordenar el razonamiento de forma lgica y progresiva de identificar qu informacin til
se desconoce.
Pgina: 21 de 86
Qu supuestos subyacen a esta metodologa?

Como Ud. sabe, toda metodologa explcita o implcitamente supone concepciones previas sobre
el proceso de ensear, aprender y sobre los contenidos a tratar.
El mtodo de casos, en la medida que presenta a los participantes oportunidades para
incorporar componentes cognitivos y afectivos propios del ejercicio profesional para el que se
estn formando, requiere del participante un rol a veces alternativo al vigente. Lo mismo
sucede con respecto al rol del instructor y a la interaccin entre ambos.
Ahora bien, cabe entonces el siguiente interrogante: Qu tipo de aprendizajes supone y
promueve el mtodo de casos?
Es probable que a lo largo de su experiencia como instructor, Ud. se haya encontrado con
algunas dificultades a la hora de pedirle a los participantes que interpreten, analicen
crticamente o identifiquen los datos de una situacin.
Seguramente la mayora de dichos inconvenientes obedecen entre otras causas, a que los
participantes han tenido pocas oportunidades de participar durante su escolaridad en
situaciones de aprendizaje que significaran algo ms que la memorizacin y la repeticin de
informacin.
Es bueno prevenirlo --aunque seguramente Ud. ya lo ha notado-- que los participantes con
dificultades para interpretar, sintetizar, o reflexionar sobre una situacin debern sortear
mayores obstculos a la hora de resolver un caso, simplemente porque no han sido entrenados
en este tipo de aprendizajes.
En el contexto de la resolucin de casos, aprender no es solamente adquirir informacin. Para
que se produzcan verdaderos aprendizajes es necesario un proceso de comprensin que
permita relacionar el nuevo conocimiento con los anteriores, diferenciarlo, e incluirlo en
categoras conceptuales que el participante ya posea o crear las necesarias, si se trata de un
tema totalmente desconocido por l.
Desde esta perspectiva, el error y la duda son valorados como puntos de partida del
aprendizaje, disparadores de reflexin y de accin. No olvidemos que quien duda es porque se
pregunta y desde esa pregunta tiende a darse nuevas respuestas. En el mtodo de casos, la
posibilidad de reexaminar las situaciones y la manera cmo se las encar (a travs del
intercambio con el instructor y los compaeros) contribuye a no sacar consecuencias errneas
de la experiencia.
En general, como instructores, frente al error de nuestros participantes no vacilamos en darles
las respuestas que consideramos correctas. Es importante aclarar que para trabajar con casos
el profesor deber armarse de paciencia y esperar el momento oportuno para corregir lo
que considera desacertado. No se trata de todo vale, pero habr que estar atentos, pues una
informacin dada por el instructor fuera de tiempo, puede apresurar la resolucin del caso de
modo tal que quien termine por resolverlo sea en definitiva el profesor y no el estudiante.
Cul es el papel del instructor y del participante al trabajar con esta

metodologa?
El mtodo de casos supone un participante activo, interesado, capaz de plantearse
interrogantes y con deseos de aprender.
Dado que es muy probable que, como ya dijimos, los participantes no estn entrenados en el
uso de esta metodologa, es esperable que cuando Ud. presente un caso por primera vez la
reaccin de los estudiantes sea de indiferencia o de resistencia, al descubrir que ellos se
convierten en el eje de su propio proceso de aprender.
Para trabajar con el mtodo de casos es necesario que el participante cuente con ciertas
habilidades cognitivas tales como comparar, clasificar, identificar conceptos clave, enumerar
ejemplos, analizar supuestos, etc. El participante debe ser capaz de percibir la situacin total,
Pgina: 22 de 86

no confundir lo esencial con lo accesorio y accidental; comprender la estructura del problema y
tomar distancia para poder separar sus apreciaciones personales.
Esto constituye un verdadero desafo para el instructor que deber ofrecer a los estudiantes
las condiciones necesarias para que se desencadenen y estimulen los procesos cognitivos
enunciados precedentemente. Tarea nada sencilla pero necesaria si deseamos que nuestros
participantes aprendan verdadera y significativamente.
A continuacin le ofrecemos algunas sugerencias acerca de cmo favorecer estas tareas. Es
muy importante que los participantes realicen diferentes actividades con el material propuesto,
a saber:
Llevar a cabo una primera aproximacin a travs de una lectura global del caso.
Realizar una lectura comprensiva, pausada, para poder distinguir palabras claves en el
texto, es decir aquellas palabras o frases que constituyen partes esenciales del
material.
Organizar el material partiendo de dichas palabras claves, y realizar cuadros para
clasificar jerrquicamente la informacin. (redes conceptuales)
Una vez seguidos estos pasos preliminares, ser ms sencilla la identificacin del problema en
cuestin, la bsqueda de alternativas y la elaboracin de las soluciones pertinentes al caso.
Esta estrategia puede ser enseada y guiada por el instructor, debido a que
difcilmente los participantes puedan adquirirla espontneamente. Como ya
sealramos, es probable que existan resistencias de los participantes para asumir
un rol ms activo, especialmente en aquellos grupos acostumbrados a recibir clases
magistrales donde el conocimiento ya viene elaborado. Es necesario entonces,
buscar vas que permitan superar dichas resistencias, evitando as situaciones de
confusin o frustracin que pueden darse cuando la actividad no es guiada y
orientada apropiadamente.
Si los participantes nunca han trabajado con este mtodo, le recomendamos que
antes de analizar por primera vez un caso, dedique un tiempo considerable a la
realizacin de las siguientes tareas:
Graduar la complejidad de los casos, comenzando por un caso problema o episodio.
Definir en qu consiste un caso, cules son sus partes (qu es un problema, un dato,
un supuesto, etc.)
Recuerde que ser siempre muy orientador para el participante explicitar
claramente los objetivos de la tarea a realizar, las estrategias que deben
ponerse en juego en la resolucin del caso, los contenidos que se estn
trabajando, la finalidad, los criterios con los que se evaluar, etc.
El mtodo de casos requiere del participante no slo el dominio de ciertas habilidades cognitivas
sino adems que posea capacidad para escuchar, compartir puntos de vista y que pueda
valerse con criterio propio. Por tal motivo, consideramos que el trabajo en sugbrupos es
una instancia propicia para fomentar este tipo de actitudes. Aqu, la controversia no es
vista como desorden sino como el punto de partida de un conflicto conceptual que a travs
del intercambio de opiniones y su debida fundamentacin, puede ser resuelto y generar
cuestionamientos acerca de ideas y puntos de vista propios.
A continuacin le brindamos una serie de Pautas que lo ayudarn
adecuadamente el trabajo en grupos:
a orientar
En cuanto a la seleccin de los integrantes del grupo, puede organizarlos segn su

parecer, dado que conoce a sus participantes y sabe cmo pueden responder. Se
puede proponer formar grupos heterogneos segn las actividades laborales de los
estudiantes, su nivel de conocimientos o bien darles libertad para que se agrupen por
afinidad.
Pgina: 23 de 86

Es muy importante evaluar conjuntamente con los participantes cmo funciona cada
subgrupo y analizar la posibilidad - en caso de ser necesario - de realizar rotaciones.
Es conveniente que los grupos se conformen con un nmero reducido de participantes
y proponer que asuman roles diversos segn sus inclinaciones.
Es necesario explicitar claramente las tareas a realizar durante el trabajo en subgrupos,
y as mismo, el tiempo disponible para llevarlas a cabo.
Es esperable que el instructor asuma durante el trabajo grupal un rol de orientador del
trabajo de cada subgrupo.
Realizar una puesta en comn registrando lo que cada subgrupo aporta.
Extraer conclusiones generales; analizar la informacin obtenida; decidir si es necesario
recurrir a fuentes bibliogrficas para fundamentar las opiniones; confrontar conceptos
con hechos o datos, estableciendo una relacin fluida entre teora y prctica.
Evaluar la dinmica abordada en conjunto con todo el grupo.
Ahora bien, creemos oportuno hacer una breve aclaracin: si bien es cierto que el trabajo en
grupos resulta sumamente apropiado para la resolucin de casos, ello de ninguna manera
significa que no sean necesarios momentos de aprendizaje individual. Es el instructor el
indicado para decidir en qu situaciones conviene implementar una u otra modalidad.
Recomendamos incluir durante el proceso de aprendizaje, casos que los participantes deban
resolver individualmente.
Por lo visto hasta aqu, para llevar a cabo esta metodologa es necesario tener en cuenta que
tanto el instructor como el participante intervienen activamente en la tarea. Ya no
son suficientes un instructor que slo transmite informacin y participantes que la reciben
pasivamente. El objetivo primordial del profesor debe ser lograr que los participantes piensen,
constituyndose en un facilitador de los aprendizajes de los participantes.
El instructor como experto puede tener una visin ms acabada de la situacin, su percepcin
se extiende a aspectos menos visibles del problema, a elementos sobre los que an los
estudiantes no disponen de informacin. El conocimiento anticipado del caso como su
experiencia, le dan elementos importantes para poder distinguir lo accesorio de lo esencial, y
comprender la estructura de significacin del conjunto que examina.
Para concluir, transcribimos una afirmacin de C. Coll (pedagogo espaol contemporneo),
cuyo mensaje probablemente comparta con nosotros:
Los mtodos de enseanza no son buenos o malos, adecuados o inadecuados en
trminos absolutos, sino en funcin de que la ayuda pedaggica que ofrezcan est
ajustada a las necesidades de los participantes.... (1990)
Las partes de un caso y los momentos en su desarrollo

Generalmente, en un caso se observan las siguientes partes: ttulo, descripcin de la situacin y
consignas.
Como dijimos ms arriba, es importante que los participantes descubran por s mismos las
cuestiones ms significativas del caso. Para promover un anlisis rico y profundo del caso, es
recomendable seguir algunos pasos.
Se redacta el caso, preferentemente no demasiado extenso, con la informacin
necesaria para encontrar los elementos significativos en el anlisis posterior. La
situacin planteada puede ser tomada de la vida real o construida asociando material
impreso, experiencias y observaciones del instructor o de los participantes.
Se redactan los objetivos del caso o las especificaciones sobre lo que se espera de los
participantes.
Pgina: 24 de 86

Se redactan las consignas o las preguntas en relacin con la situacin descripta en el
caso.
Se lee el caso en forma individual o en pequeos grupos. Para esto es necesario
entregar un ejemplar del caso a cada participante.
Se analiza el caso en forma individual o en grupos, tomando en cuenta los objetivos,
las especificaciones y las consignas formuladas.
Se hace la puesta en comn de las elaboraciones de los pequeos grupos. Se analizan
las diferentes respuestas y se elaboran conclusiones.
Se analiza el funcionamiento grupal.
Es conveniente que el instructor le indique a los grupos que:
busquen el problema respondiendo a preguntas tales como: qu, quin, cmo, cundo,
dnde, por qu;
renan los hechos eliminando las conjeturas;
evalen los hechos;
desarrollen posibles soluciones;
seleccionen la mejor solucin y describan su aplicacin
Bibliografa consultada
COLL, C. y otros: Desarrollo Psicofsico y Educacin II. Madrid, Alianza, 1990.
CUELLAR : El mtodo de casos en la preparacin de profesores.
N.C.A.E.: El sistema de casos en la formacin de administradores.
NOVAK Y GOWIN: Aprendiendo a pensar. Barcelona, Martinez Roca, 1989
PERRET CLERMONT: Interactuar y conocer. Madrid, Mio, 1988
POZO, J.: Teoras cognitivas del aprendizaje. Madrid, Morata, 1989.
RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formacin de instructores. Mc GrawHill, Mxico, 1990, cap. 4.
NICKERSON y PERKINS: Ensear a pensar. Barcelona, Paids, 1987.
Pgina: 25 de 86
REUNIN 2
Revise la clase en que se utiliza el caso Un da en la vida de Evaristo y responda las siguientes
preguntas:
El caso Un da en la vida de Evaristo se encuadra en alguno de los tipos de casos que

presenta el artculo o rene caractersticas de algunos de ellos? Por qu?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Qu ideas del artculo le resultan tiles para utilizar en la aplicacin del caso Un da en
la vida de Evaristo?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Qu otras preguntas agregara para mejorar el anlisis del caso Un da en la vida de

Evaristo?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
La exposicin oral
Debido a que buena parte de las reuniones del curso de seguridad de la informacin que
debe dictar se desarrolla sobre la base de la exposicin oral, le sugerimos la lectura de este
documento.
Definicin
Consiste en una charla o presentacin verbal dada por el instructor o expositor ante un
pblico. Su objetivo es que el conferencista transmita aspectos de sus conocimientos al
grupo, del cual se espera que los asimile y retenga.
Estructura
a)
Comienzo o introduccin
b)
Centro o ncleo central
c)
Conclusin
Pgina: 26 de 86

a) Comienzo
Conviene sealar:
Quin es usted (el conferencista)
Para qu est all
Su autoridad (competencias, antecedentes) para dirigirse al grupo
Objetivos de la presentacin
Estructura de la exposicin
Definiciones tcnicas (o explicitacin de marcos conceptuales)
Antecedentes del tema
Justificacin de la importancia del tema para los participantes
b) Centro o ncleo
Debe incluir:
Puntos clave analizados consecutivamente
Comparaciones entre diferentes enfoques del problema o tema de la exposicin
Ejemplos o ancdotas personales que ilustren el tema
Planteo de preguntas
Sntesis parciales
Solicitud de comentarios a los asistentes (para evaluar el grado de asimilacin
de los contenidos)
c) Conclusin
Se recomienda:
Hacer un repaso de la informacin presentada
Recalcar los principales mensajes o puntos del aprendizaje
Hacer una recapitulacin vinculada al futuro o a la evolucin de la problemtica
tratada en el futuro
Formular aplicaciones posibles del tema a diversas reas de actividad
Comparar los resultados con los objetivos planteados
Ventajas
Permite concentrar grandes cantidades de informacin en poco tiempo
Es una forma directa de enseanza
Si el expositor est abierto y dispuesto, permite registrar el grado de comprensin y
atencin con que los participantes siguen la exposicin
Es aplicable tanto a grupos grandes como a grupos pequeos
Desventajas
La participacin activa se reduce
El nivel de retencin tiende a disminuir a medida que avanza la exposicin
No permite atender las diferencias individuales
Utilizada en exceso, resulta aburrida
Pgina: 27 de 86
Recomendaciones para su aplicacin

Establecer una comunicacin abierta y franca para la creacin de un clima de confianza
Combinarla con otras tcnicas
Elaborar un guin de la exposicin y pensar preguntas que se harn a los participantes
Hacer preguntas para chequear la comprensin a medida que se desarrolla la
exposicin
Usar un lenguaje claro y adecuado a los participantes
Mantenerse en un lugar visible
Bibliografa
FOLLARI, Roberto; SOMS, Esteban: La prctica en la formacin profesional. Bs. As.,
Humanitas, 1994.
LEIGH, David: Como entrenar un grupo eficiente. Bogot, Legis, 1992.
OCONNOR, Joseph; SEYMOUR, John: PNL para formadores. Barcelona, Urano, 1992.
Lecturas sugeridas para ampliar el conocimiento de los

contenidos pedaggicos
A continuacin encontrar dos artculos: Estrategias para formar grupos de aprendizaje y
Diez alternativas para elegir a los lderes de los grupos y designar otros roles.
Se los ofrecemos con la finalidad de que conozca otras alternativas para armar grupos y para
hacerlos trabajar asignando roles especficos a algunos de los miembros. Esto enriquece la
propuesta del Manual en relacin con la constitucin de grupos para el anlisis de los casos.
Tambin le ofrecemos una seleccin de tcnicas que puede utilizar en su estrategia
metodolgica.
Estrategias para formar grupos de aprendizaje

Adaptado de: SILBERMAN, Mel: Aprendizaje activo. Editorial Troquel.
El trabajo con grupos pequeos es una parte significativa del aprendizaje activo. Es
importante formar grupos rpida y eficientemente y, al mismo tiempo, variar la composicin
y, en ocasiones, el tamao de los grupos en el transcurso de un encuentro de capacitacin
de adultos. Las siguientes son alternativas interesantes para permitir que los participantes
elijan sus propios grupos o dividirlos en una cantidad de equipos designada por el instructor.
Tarjetas de agrupacin
Determinar cuntos participantes hay en el aula y cuntas agrupaciones distintas se
desea hacer durante la sesin. Por ejemplo, en una grupo de veinte, una actividad
puede requerir cuatro subgrupos de cinco integrantes; otra, cinco grupos de cuatro;
una tercera, seis grupos de tres con dos observadores.
Nombrar los equipos usando puntos de colores (rojo, azul, verde y amarillo para cuatro
grupos), etiquetas decorativas (con temas distintos para cinco grupos, por ejemplo:
poetas, novelistas, cineastas, directores de cine y escultores) y un nmero (del 1 al 6
para seis grupos). Preparar una tarjeta para cada participante con un nmero, un color
y una etiqueta al azar, y distribuirlas entre los asistentes. Cuando haya que formar los
grupos, identificar el cdigo empleado y pedir a los alumnos que se unan a sus
Pgina: 28 de 86

respectivos grupos en un lugar designado. De este modo se ahorra tiempo y se evitan
confusiones. Para que el proceso sea todava ms eficiente, se pueden colocar seales
indicando las distintas reas de encuentro de los grupos.
Rompecabezas
Comprar rompecabezas o crear los propios con imgenes de revistas: se pegan sobre
un cartn y se cortan con la forma y el tamao que se desee. El nmero de
rompecabezas debe coincidir con la cantidad de grupos que se quieran formar.
Separar los juegos, mezclar las piezas y entregar una pieza a cada participante. Cuando
haya que formar los grupos, pedir a los participantes que encuentren a los compaeros
con las piezas necesarias para completar un rompecabezas.
Encontrar amigos y familiares famosos y ficticios

Crear una lista de familiares y amigos famosos y ficticios, en grupos de tres o cuatro
(por ejemplo Bart, Lisa, Marge y Homero Simpson; Roxy, Panigassi, Jorge y Felicidad;
Diego Maradona, Claudia, Dalma y Yanina; Mafalda, Susanita, Manolito y Felipe;
Patoruz, a Chacha, Upa y Patora). Escoger tantos personajes de ficcin como
cursantes haya. Escribir los nombres ficticios en tarjetas, uno por cada una, para crear
una familia de tarjetas.
Cuando est listo para formar los grupos, pida a los participantes que encuentren a los
otros miembros de su familia. Una vez que est completo el grupo famoso, podrn
encontrar un lugar donde congregarse.
Etiquetas con nombres

Utilizar etiquetas con nombres de distintas formas y/o colores para designar los diferentes
grupos.
Cumpleaos
Pedir a los asistentes que se ordenen segn sus fechas de cumpleaos y luego dividirlos en
la cantidad de grupos que se necesiten para una actividad en particular. Con grupos
numerosos, formar subgrupos segn el mes de nacimiento. Por ejemplo, 60 alumnos
pueden repartirse en tres grupos de aproximadamente el mismo tamao, formados por
nacidos en (1) enero, febrero, marzo y abril; (2) mayo, junio, julio y agosto; (3) septiembre,
octubre, noviembre y diciembre.
Naipes
Utilizar un mazo de naipes para designar a los grupos. Por ejemplo, con sotas, reinas, reyes
y ases se pueden formar cuatro grupos de cuatro integrantes. Mezclar los naipes y repartir
uno a cada participante. Luego, pedirles que ubiquen a los de su misma clase para formar
un grupo.
Extraer nmeros
Determinar el nmero y el tamao de los grupos que se deseen formar; colocar papeles con
nmeros dentro de una caja, Los asistentes extraen un nmero que les indica el grupo al
cual pertenecen. Por ejemplo, si desea formar cuatro equipos de cuatro, tendr que
preparar diecisis papeles con nmeros del 1 al 4.
Pgina: 29 de 86
Sabores
Distribuir golosinas de distintos sabores para indicar los grupos. Por ejemplo, los equipos
pueden ser: limn, uva, cereza y menta.
Material impreso
El material impreso que se reparte entre los participantes puede estar codificado con clips de
colores, folletos con distintas tonalidades o etiquetas pegadas sobre las carpetas. De ese
modo quedarn predeterminados los grupos.
Diez alternativas para elegir a los lderes de los grupos y designar

otros roles
Fuente: Silberman, Mel: Aprendizaje activo. Editorial Troquel.
Una manera de facilitar el aprendizaje activo en grupos pequeos es asignar roles a algunos
integrantes, por ejemplo: lder, facilitador, cronometrista, portavoz, observador del proceso
o administrador del material impreso. En ocasiones, slo habr que pedir voluntarios que
asuman estas responsabilidades, pero algunas veces es divertido y eficiente utilizar una
estrategia de seleccin creativa.
1.
Designacin por orden alfabtico. Identificar los roles necesarios y designarlos

por orden alfabtico segn el nombre de pila. En un grupo que trabaja a largo plazo,
los roles pueden rotar siguiendo este orden.
2.
Designacin por fecha de cumpleaos. Distribuir los roles en orden cronolgico.
3.
Nmeros de lotera. Pedir a los participantes que se numeren y que escriban su

nmero en un papel. Coloque los papeles en una bolsa de papel y elija a la persona
para cada rol.
4.
Lotera de colores. Elegir un color para cada rol. La persona que vista algo con
cierto color es la designada para ese rol.
5.
Prendas de vestir. Designar responsabilidades eligiendo las prendas

correspondientes, por ejemplo gafas, joyas de plata, un suter o zapatos negros.
6.
Votacin. Pedir a los miembros del grupo que voten por la persona que ocupar el
rol. Un mtodo popular es indicar a la gente que seale a la persona por quien vota.
El que es sealado por ms participantes ocupa el cargo.
7.
Designacin al azar. Pedir a cada miembro que calcule y diga la suma de los
ltimos cuatro dgitos de su nmero telefnico (por ejemplo, 9999 suma 36). Anunciar
un nmero del 1 al 36. La persona del grupo cuya suma se acerque ms a ese
nmero ser la que ocupe el puesto.
8.
Aficionados a las mascotas. Asignar determinada tarea a la persona con mayor

cantidad de mascotas.
9.
Tamao de la familia. Asignar determinada tarea a la persona con ms (o menos)

hermanos.
10. Premios. Antes del encuentro, colocar una etiqueta identificando a un miembro del
grupo. stas pueden adherirse a una identificacin, a un asiento o escritorio, a un
folleto, etc. La persona que recibe la etiqueta es premiada con un puesto especfico
en el grupo. Para premiar con varios cargos, utilice etiquetas de distintos colores.
Pgina: 30 de 86

A continuacin le ofrecemos algunas tcnicas que pueden resultar de su inters a la hora de
introducir innovaciones en las estrategias del taller.
Tcnica
Descripcin
Utilidad
MESA
REDONDA
Un equipo de expertos que

sostienen puntos de vista
divergentes sobre un mismo tema,
exponen ante el grupo en forma
sucesiva.
Cuando se desea dar a conocer puntos de

vista divergentes o contradictorios sobre
un mismo tema.
PANEL
Un equipo de expertos discute un

tema en forma de dilogo o
conversacin ante un grupo.
dem al anterior.
DEBATE
DIRIGIDO O
DISCUSIN
GUIADA
(Tiene la ventaja de que al ser una

conversacin bsicamente informal, ofrece
mayores posibilidades de mantener la
atencin del auditorio).
Un grupo reducido trata un tema en

discusin informal con la ayuda
activa y estimulante de un
coordinador.
Cuando se desea promover el intercambio

y elaboracin de ideas e informacin
sobre un tema pasible de diversos
enfoques e interpretaciones.
Promueve el intercambio de ideas e

informacin sobre un tema, bajo la
conduccin de una persona
(docente) que hace de gua e
interrogador.
Cuando se desea desarrollar la capacidad

de anlisis, comprensin de ideas y
conceptos, o ciertas actitudes como la
tolerancia.
PEQUEO
GRUPO DE
DISCUSIN
Un grupo reducido trata un tema o

problema en discusin libre e
informal, guiado por un coordinador.
El clima es informal, existiendo un
mnimo de normas. El intercambio
de ideas sigue un cierto orden lgico
y el coordinador ordena la discusin
y seala oportunamente el
cumplimiento de las normas que el
grupo hubiese establecido para
trabajar.
dem anterior.
PHILLIPS 66
Un grupo grande se subdivide en

subgrupos de seis personas para
discutir durante seis minutos un
tema y llegar a una conclusin. De
los informes de todos los subgrupos
se extrae la conclusin general. (En
s misma no es una tcnica de
aprendizaje)
Despus de una conferencia, clase

magistral o exhibicin de un material
audiovisual, para promover el intercambio
de ideas y la elaboracin de la informacin
suministrada.
(La diferencia entre una y otra tcnica radica

en que la primera exige un coordinador que
estimule y oriente la discusin sobre la base
de interrogantes previamente establecidos. En
esta tcnica, en cambio, el clima es ms
informal y permisivo y el coordinador
solamente orienta al grupo en cuanto a su
funcionamiento y plan de trabajo):
Cuando se desea facilitar la confrontacin

de ideas o puntos de vista.
Cuando se desea obtener rpidamente
opiniones elaboradas por subgrupos,
acuerdos parciales, decisiones de
procedimientos, sugerencias de
actividades.
Pgina: 31 de 86

CUCHICHEO
En un grupo, los miembros dialogan

simultneamente de a dos para
discutir un tema o problema del
momento. Todo el grupo trabaja
simultneamente sobre un mismo
asunto. Se emplean pocos minutos
para resolver una pregunta
formulada al conjunto
Para obtener conclusiones, compartir la

impresin obtenida individualmente por
cada alumno, detectar intereses sobre un
tema, conocer la opinin de los miembros
del grupo.
PROCESO
INCIDENTE
Un grupo analiza a fondo un

problema o incidente real, expuesto
en forma muy escueta y objetiva.
Cuando se desea desarrollar la habilidad

para la resolucin de problemas de la vida
diaria o laboral y para la adopcin de
buenas decisiones.
ROLEPLAYING
Dos o ms personas representan

situaciones de la vida real (personal
o laboral), asumiendo los roles del
caso, con el objeto de que pueda ser
mejor comprendida y tratada por el
grupo.
Cuando se desea trabajar sobre

situaciones surgidas de la vida de relacin
en los distintos espacios del mbito
laboral.
La demostracin
Mediante esta estrategia, el instructor desarrolla un tema, acompaando su explicacin
verbal con la realizacin de movimientos, presentacin de grficos, manejo de equipos o
aparatos, empleo de medios audiovisuales diversos.
Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para
explicar principios cientficos y el movimiento o relacin de las piezas de una herramienta o
mecanismo.
Actualmente, con el desarrollo de la Informtica, la demostracin ha resultado una de las
estrategias ms empleadas, fundamentalmente para la presentacin de productos y para
mostrar contenidos de tipo procedimental.
La demostracin habr de completarse con la prctica del participante, a fin de que pueda
adquirir la destreza o habilidad implcita en el objetivo.
Algunas sugerencias para su realizacin
Es necesario que se planifique cuidadosamente. Es conveniente que la demostracin
tenga dos momentos: uno en el que la tarea se realiza a velocidad normal y otro en el
que se realiza ms lentamente para mostrar los aspectos ms complejos de la
actividad. Al planificar, hay que cerciorarse de que se contar con los elementos
necesarios en el momento de realizar la demostracin y que todos funcionarn
correctamente. Suele ser de ayuda ensayar antes de realizar la demostracin; esto
permite anticipar problemas y ganar seguridad en el manejo de la tcnica.
Un aspecto importante a tener en cuenta es el espacio disponible y la ubicacin de los
materiales y de los asientos ya que es fundamental que todos los participantes tengan
una visin directa de la demostracin.
Es importante comunicar los objetivos de la demostracin y de la prctica posterior a
los participantes.
En la demostracin, conviene considerar los siguientes pasos:
explicar en forma general las actividades a realizar;
Pgina: 32 de 86
realizar la actividad explicando brevemente cmo se realiza y los cuidados que se

requieren;
reconstruir la actividad mediante una breve recapitulacin de lo realizado.
La duracin de la demostracin no debe ser muy prolongada para no agotar la atencin

de los participantes;
Durante la prctica de los participantes, es conveniente hacer correcciones y
retroalimentar sobre su desempeo;
Es recomendable combinar la tcnica de la demostracin con otras, tales como una
breve exposicin oral o un intercambio de preguntas con los participantes. Algunas
preguntas a formular a los participantes pueden ser: qu riesgos identifica en la
realizacin de esta actividad?; cmo se siente realizando esta actividad?; qu otras
cosas hara?; qu considera que no debe hacerse?; qu cuidados considera
importantes para la realizacin de la actividad?
FUENTE: Estrategias metodolgicas. Separata de: RUBBO, Elsa; LEMOS, Elisa: Manual del
formador. Buenos Aires, INAP, DNC, 1995.
Qu ideas, prcticas, tcnicas puede extraer de los documentos anteriores que le

sirvan para incorporar en su propio diseo?
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Pgina: 33 de 86
REUNIN 3
A continuacin encontrar un texto sobre el tema de la evaluacin en capacitacin laboral.
Le sugerimos su lectura para enriquecer su actividad de capacitacin incorporando criterios y
tcnicas en el tem evaluacin.
Evaluacin en capacitacin laboral

La evaluacin siempre consiste en una determinacin de los mritos y los defectos. A veces,
es mucho ms, pero su funcin esencial es la de establecer el mrito de algo. sta es su

finalidad primera. sta es su definicin
STAKE, Robert: Evaluacin comprensiva. 1. ed., Barcelona, Gra, 2006.

En capacitacin laboral, la evaluacin constituye, al igual que en el sistema educativo, una
preocupacin muy importante. Debemos tener en cuenta que cuando evaluamos en
capacitacin, hay al menos tres dimensiones que considerar: la de los aprendizajes de los
participantes; la de la satisfaccin de estos con la actividad desarrollada y la de los
resultados esperados en la organizacin.
Como instructores, tenemos responsabilidad sobre las tres, aunque diferentes.
Evaluacin de los aprendizajes

Podemos reconocer cuatro aspectos: evaluacin del aprendizaje, evaluacin para el
aprendizaje, evaluacin como aprendizaje y evaluacin desde el aprendizaje1.
En la evaluacin del aprendizaje nos preocupamos por conocer qu aprendieron los
participantes, si lograron los objetivos de aprendizaje, si se apropiaron de los
contenidos, si adquirieron capacidades previstas en el diseo de la actividad de
capacitacin.
Ejemplo: los casos para resolver durante el taller de instructores en seguridad
informtica o la actividad final de evaluacin e integracin planteada al finalizar el
mismo.
La evaluacin para el aprendizaje se refiere al aprovechamiento que de ella tienen los
participantes y los instructores. Aqu interesa el uso de los resultados de la evaluacin
como retroalimentacin para los participantes y para el instructor en el marco de un
dilogo constructivo. Este dilogo debe girar alrededor de las fortalezas y debilidades
en el proceso de aprendizaje y de las alternativas para superar estas ltimas y para
fortalecer las primeras. Para el instructor, supone tomar informacin sobre su propia
estrategia de enseanza y sus efectos.
Ejemplo: a partir de las respuestas dadas en la actividad de evaluacin integradora, se
puede desarrollar un dilogo acerca de qu nociones y qu procedimientos los
participantes pudieron aplicar ms fcilmente para resolver la actividad, qu temas es
necesario revisar porque se comprendieron superficialmente, cmo llegaron a resolver
la actividad, si se observ en la resolucin la integracin de saberes previos con los
nuevos contenidos de aprendizaje.
La evaluacin como aprendizaje remite al anlisis y a la reflexin que pueden hacer los
sujetos acerca de las prcticas evaluativas que han realizado en el marco de la
propuesta de capacitacin. Este aspecto es muy importante si tenemos en cuenta que,
en capacitacin laboral, la situacin de evaluacin puede activar recuerdos y/o
1
BARBER, Elena: Aportaciones de la tecnologa a la e-Evaluacin. En RED. Revista de

Educacin a Distancia: http://www.um.es/ead/red/M6
Pgina: 34 de 86

experiencias negativas de la historia escolar de los sujetos; experiencias en las cuales la
sensacin de fracaso y de incompetencia pudieron haber dejado marcas importantes
para toda la vida. Asimismo, la evaluacin como aprendizaje puede servir como
instancia de reflexin sobre la ayuda que provee la situacin de evaluacin para la
transferencia de los aprendizajes al puesto de trabajo.
Ejemplo: Luego de la actividad de evaluacin puede realizarse el siguiente anlisis.
Qu experimentaron durante la realizacin de la actividad de evaluacin? Cmo se
sintieron en la situacin? Qu expectativas tenan: pensaban que podran resolverla o
que no lo lograran? Por qu? Qu piensan que aprendieron de este ejercicio de
evaluacin? De qu manera este ejercicio los prepara para usar los nuevos
conocimientos en sus lugares de trabajo?
La evaluacin desde el aprendizaje se relaciona con los conocimientos previos que traen
los participantes sobre la temtica a desarrollar. Este reconocimiento es necesario
(tambin es conocido como evaluacin diagnstica) porque es a partir de los saberes y
experiencias que traen las personas que se pueden realizar los nuevos aprendizajes.
Ejemplo: Cuando comienza la actividad de capacitacin, preguntarle a las personas
qu saben sobre el tema de seguridad de la informacin, qu tipo de medidas se toman
en el organismo, qu cuidados tienen ellos en el manejo de sus PCs. Tambin se puede
tomar como ejemplo de evaluacin desde el aprendizaje, la informacin que surge de la
resolucin del primer caso de estudio y analizar si utilizaron informacin previa y/o
nueva informacin (trabajada en la reunin) para resolver el caso.
A continuacin le ofrecemos algunas tcnicas que puede utilizar para realizar

evaluaciones durante y al finalizar la actividad de capacitacin en seguridad de la
informacin.
Tcnica: Debate individual o grupal
Descripcin
Aplicaciones
El docente y los cursantes debaten sobre un tema determinado, aportando

informacin, analizando aspectos principales y secundarios y emitiendo
opiniones personales sobre el mismo, a partir de los conocimientos construidos
durante la actividad.
El docente controla los tiempos y la pertinencia de las intervenciones.
Se recomienda cuando:
El tema o problema en anlisis puede ser analizado desde varios puntos
de vista.
Ventajas
Permite captar matices no accesibles a travs de otros procedimientos.

Favorece la participacin, el intercambio de ideas y el hbito de
escuchar.
Limitaciones
Requiere un ajustado manejo de los tiempos.

Requiere habilidad del docente para coordinar pequeos grupos.
Requiere entrenamiento del grupo en este tipo de actividades
Observaciones
Si bien tambin se emplea como tcnica de enseanza, es posible, a travs de

ella, obtener informacin sobre el logro de los objetivos, la obtencin de
resultados y la evolucin del proceso.
Tcnica: Situacin Problemtica

Descripcin
Se describe un problema y se entrega material informativo de base,

sobre el que el cursante habr de ir resolviendo el problema
Aplicaciones
Es necesario comprobar: integracin de conocimientos; aplicacin de
Pgina: 35 de 86

informacin desarrollada tericamente; elaboracin de respuestas
alternativas frente a un problema complejo; el desarrollo del
pensamiento crtico
Ventajas
Posibilita evaluar varios resultados de aprendizaje simultneamente.

Permite evaluar el nivel de elaboracin de uno o varios temas
simultneamente.
Presenta un alto grado de participacin del cursante por el tipo de procesos y
actuaciones que exige.
Limitaciones
Requiere una elaboracin previa de materiales y casos o problemas que

es ms compleja que la confeccin de preguntas.
Tcnica: Estudio de casos

Descripcin
Se realiza como los casos que se disean como estrategia para la enseanza
de un tema. Es necesario describir la situacin; en esto se diferencia de la
tcnica anterior (situacin problemtica), en la cual se plantea brevemente la
situacin a resolver.
Ventajas
Para el taller de capacitacin en seguridad informtica es una tcnica muy

adecuada: primero, porque los participantes tienen ya experiencia en haber
resuelto casos y segundo, porque permite reproducir situaciones de la realidad
laboral de los participantes, de modo que puedan anticipar la aplicacin de los
conocimientos a sus puestos de trabajo.
Limitaciones
La limitacin que puede sealarse es el tiempo que insume pero, al ser tan
indicada para los contenidos en seguridad informtica, conviene invertir el
tiempo en aplicar esta tcnica.
Tcnica: Discusin de dilemas

Descripcin
Se plantea un dilema, por ej.: dicen que las medidas para proteger la
seguridad de la informacin son necesarias para evitar que se produzcan
incidentes, pero en mi trabajo se aplican y los incidentes no disminuyen.
Luego se propone la reflexin por pequeos grupos o por parejas, que
debern argumentar a favor o en contra de la afirmacin, fundamentando en
los contenidos aprendidos durante el taller.
Ventajas
Tambin es una tcnica adecuada para el taller de seguridad de la informacin

ya que permite integrar contenidos y aplicarlos en el anlisis de una afirmacin
relacionada con los temas tratados.
Limitaciones
Es necesario construir cuidadosamente las afirmaciones y definir los

contenidos que se espera que los participantes utilicen en el anlisis.
Tcnica: Pruebas prcticas o de ejecucin

Esta tcnica es apropiada para evaluar la ejecucin de una actividad. Cuando se utiliza, el instructor
observa al participante mientras efecta la actividad que le ha sido solicitada y evala su ejecucin.
Se evala el nivel de ejecucin de acuerdo a los objetivos de aprendizaje y es conveniente observar
tanto el proceso como el producto, para lo cual se recomienda utilizar una lista de control con la
cual registrar el cumplimiento de los pasos requeridos y una escala (preferentemente ordinal) con la
cual registrar el nivel de correccin en la realizacin de los pasos.
Evaluacin de satisfaccin
Con esta evaluacin obtenemos informacin sobre la opinin que se llevan los
participantes acerca del desarrollo del curso; por ejemplo: el tratamiento y la utilidad
Pgina: 36 de 86

de los contenidos, las tcnicas y recursos utilizados en la estrategia metodolgica; el
desempeo docente; el clima grupal, los materiales entregados, etc.
Existen numerosos instrumentos que pueden aplicarse en forma pura o adaptada.
Sugerimos que consulte con el rea de capacitacin de su organismo para disear un
instrumento que resulte adecuado a sus necesidades y a las caractersticas del taller
que va a implementar.
Asimismo, ms abajo le ofrecemos algunos ttulos que puede consultar para la ampliar
sus conocimientos sobre el tema de evaluacin en capacitacin y donde tambin
encontrar una seleccin de estos instrumentos:
Evaluacin de los resultados esperados en la organizacin

Esta evaluacin hace referencia a los cambios que se esperan en la organizacin una
vez que los participantes han finalizado el proceso de capacitacin y regresan a sus
puestos de trabajo.
En el caso del taller de seguridad de la informacin, un resultado esperado puede ser:
disminucin de los incidentes reportados originados en incumplimiento de las normas
de seguridad de la informacin.
Para construir este tem, usted debe completar los puntos 1. Fundamentacin y 2.
Contribucin esperada del documento Componentes para la presentacin de
diseos de actividades de capacitacin.
De esta manera, a partir de las necesidades organizacionales que generan la

demanda de un taller en seguridad de la informacin, usted podr identificar los
resultados esperados, que le servirn de gua para la evaluacin de resultados de la
capacitacin.
Bibliografa sugerida
LE BOTERF, Guy: Ingeniera de las competencias. 1. ed., Coed. Epise, Training Club y
Gestin 2000, Barcelona, 2001.
GORE, Ernesto; VAZQUEZ MAZZINI, Marisa: Una introduccin a la formacin en el
trabajo. Buenos Aires, FCE, 2004.
PAN, Abraham: Cmo evaluar las acciones de capacitacin. Buenos Aires, Granica,
1993.
RODRIGUEZ ESTRADA, Mauro; AUSTRIA
instructores. Mxico, D.F., Mc Graw-Hill, 1990.
TORRES,
Honorata:
Formacin
de
STAKE, Robert: Evaluacin comprensiva. 1. ed., Barcelona, Gra, 2006

ZABALZA, Miguel A. Diseo y desarrollo curricular. 6 ed., Madrid, Narcea, 1995.
Pgina: 37 de 86
PARTE C CONTENIDOS TCNICOS

REUNIN 1 FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIN
Contenidos
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Normas vigentes
Apertura
Descripcin de la actividad
Presntese y d la bienvenida a los participantes. Diga su nombre, qu tareas
desempea en el organismo y para qu est Ud. all.
Pida a los participantes que se presenten: que digan su nombre, el rea a la que
pertenecen y que se caractericen brevemente como usuarios de sistemas
informticos.
Tiempo
sugerido
5
10
Registre a medida que los participantes se caracterizan como

usuarios de sistemas informticos. Esto le ayudar a tener una
visin de la experiencia de los participantes en relacin con el
tema.
Presente el programa del curso. Entregue una copia impresa del programa a cada
participante y solicite que lo lean en forma individual.
Pregunte a los participantes qu les parece el programa y si responde a las

expectativas que tienen sobre el curso.
Registre las expectativas que traen los participantes. Aclare los

propsitos y temas del curso cuando las expectativas no se
correspondan con el mismo. Esto es importante para evitar
equvocos con respecto al curso.
Pgina: 38 de 86
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL: EL VALOR DE LOS ACTIVOS
El objetivo de esta actividad es introducir a los participantes en el concepto de la informacin
como activo de la organizacin. Para ello plantearemos un ejercicio con los bienes inventariables
del organismo y trataremos de establecer similitudes con respecto a la informacin, en cuanto a
controles de acceso, uso, etc.
Tiempo
sugerido
Forme grupos de cuatro o cinco personas y anote la siguiente pregunta en la pizarra:
15
Qu procedimientos deben seguirse cuando se ingresa o retira un

bien del organismo o cuando se asignan a una oficina?
Pida a los grupos que respondan esta pregunta y traten de describir el procedimiento.
Haga una puesta en comn de las respuestas de los grupos y antelas en la pizarra.
Registre todas las respuestas.
10
Pregunte a los participantes en general, qu conclusiones se pueden extraer a partir

de las respuestas obtenidas.
Pregunte a los participantes en general, si puede establecerse una relacin entre la

preservacin (registro y cuidado patrimonial) de los bienes materiales y la
preservacin de la informacin del organismo.
Anote las conclusiones en la pizarra.
Fin actividad grupal

Utilizando el Archivo curso-r1.ppt, como base para la presentacin, desarrolle la siguiente
EXPOSICIN
Descripcin
nmero
tiempo
Estas diapositivas corresponden a la cartula y al ndice de la Reunin.

Recorra rpidamente los temas a tratar durante la reunin.
1y2
2'
Como concluimos en la actividad grupal realizada, la informacin es un

activo valioso de la Organizacin, dado que de ella dependen sus
actividades y bsicamente su subsistencia. Es por ello que, como el resto
de los activos, la informacin debe resguardarse.
En particular, para los organismos pblicos, se deber tener en cuenta

tambin, que existen polticas y lineamientos gubernamentales tendientes
a poner cada vez ms informacin a disposicin del ciudadano. Estas
acciones se enmarcan en lo que se conoce como Gobierno Electrnico.
Este proceso, que produce una mejora en los servicios y en la gestin del
Estado, trae aparejado un aumento del riesgo de seguridad de la
informacin que manejan los organismos pblicos, por lo que se torna
indispensable que se adopten las medidas adecuadas para su tratamiento
y resguardo.
Entendiendo que la informacin debe preservarse, deberemos entender
con respecto a qu es preciso resguardarla. Esto es, conocer las
amenazas que atentan contra la seguridad de la informacin. Podemos
encontrar amenazas de origen natural o humano, deliberadas o fortuitas,
Pgina: 39 de 86
Descripcin
nmero
tiempo
etc.
Estas amenazas existen a partir de vulnerabilidades y pueden generar
graves consecuencias para la organizacin.
10
Se entiende por vulnerabilidad como una debilidad en un activo.

Ya mencionamos que tanto la informacin, como los programas y recursos
informticos como el equipamiento, los insumos, etc., se consideran
activos de una organizacin, por lo que su prdida puede traer
consecuencias graves.
Por otra parte, una amenaza es una violacin potencial de la seguridad.
No es necesario que la violacin ocurra para que la amenaza exista. Las
amenazas surgen a partir de la existencia de vulnerabilidades.
A continuacin veremos una forma de clasificar las amenazas existentes
En este cuadro vemos que las amenazas pueden tener un origen natural o
humano. Dentro de las amenazas provocadas por el hombre, encontramos
que estas pueden ser maliciosas (deliberadas) por un lado y no maliciosas
(no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusin (ingresar sin autorizacin a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algn incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de informacin, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por ltimo mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque tambin hay
que tener en cuenta el corte de servicios (energa elctrica, conectividad,
etc.).
Cuando hablamos de preservar la informacin, nos referimos a algunas de
sus cualidades. Entre stas, podemos citar principalmente:
CONFIDENCIALIDAD: Se garantiza que la informacin se encuentre
accesible slo a aquellas personas autorizadas.
Pensemos qu podra ocurrir si en la dependencia donde trabajamos,
alguien accediera a la informacin personal que se tiene de los ciudadanos
o de los empleados del organismo (por ejemplo, ingresos anuales, deudas
impositivas, domicilio, historia clnica), sin la debida autorizacin.
INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la
informacin y de los mtodos de procesamiento y transmisin.
Qu ocurrira si se alteran los datos contenidos en nuestras PC, o se
cambiara su configuracin, sin la debida directiva o autorizacin.
Seguramente en muchos casos, esto tendra graves consecuencias para
nosotros, para el organismo y/o para terceros.
DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen
acceso a la informacin y a los recursos relacionados, toda vez que lo
requieran.
Supongamos que un organismo publica informacin importante en su sitio
Pgina: 40 de 86
Descripcin
nmero
tiempo
web, como por ejemplo vencimientos de pagos o instrucciones para

realizar un trmite complicado, presentacin en lnea de declaraciones
juradas, y alguien impide que se pueda acceder a dicho sitio.
Habiendo establecido la necesidad de preservar la informacin, conocido
el origen de las amenazas y sabiendo las caractersticas principales que se
deben asegurar, podemos presentar la definicin de incidente.
10
11
10
INCIDENTE: Un incidente de seguridad, es un evento adverso que

puede afectar a un sistema o red de computadoras.
Puede ser causado por una falla en algn mecanismo de seguridad,
un intento o amenaza (concretada o no) de romper mecanismos de
seguridad, etc.
Ntese que se indica que un intento de romper un mecanismo de
seguridad tambin es considerado un incidente, ya que muchas veces los
intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen
revisar su confiabilidad.
En este cuadro se presentan algunos incidentes de seguridad, indicando
en cada caso, qu propiedad de la informacin est comprometiendo.
1) En este caso, la informacin no llega a los usuarios autorizados, por lo
tanto se compromete la DISPONIBILIDAD
2) En este caso, la informacin llega al destinatario autorizado, pero
tambin es captada por alguien no autorizado, por lo cual se
compromete la CONFIDENCIALIDAD
3) Aqu vemos que el usuario destinatario de la informacin, no la recibe
en el estado original, sino modificada por un tercero, comprometiendo
su INTEGRIDAD. Al ser interceptada la informacin, tambin se
compromete la CONFIDENCIALIDAD.
4) Por ltimo, vemos el caso en que un usuario recibe informacin que
no ha sido generada por una fuente vlida, por lo tanto su contenido
no respeta la condicin de INTEGRIDAD.
Las amenazas existentes aumentan a lo largo del tiempo. Esto
compromete a los sistemas de informacin que cada vez son ms
imprescindibles y de los cuales depende la continuidad de las actividades
de las organizaciones.
12 a 13
10
Hablaremos brevemente de algunas de las causas del incremento de las

amenazas (encontrar ms informacin ms adelante en este documento
bajo el ttulo: Algunas causas del aumento de las amenazas).
Como ya vimos en el segmento anterior, estas amenazas exponen a las
organizaciones a riesgos y pueden provocar vulnerabilidades en sus
sistemas y recursos informticos, con graves consecuencias para su
actividad.
14
RIESGO: Se entiende por riesgo la probabilidad o posibilidad de que

ocurra un acontecimiento indeseado o se realice una accin no
deseada de modo que afecte negativamente a la organizacin, a sus
activos y/o a la consecucin de sus fines, objetivos y resultados.
PAUSA (Duracin total desde su inicio hasta el reinicio de la exposicin)
Finalmente hablaremos de la Poltica de Seguridad de la Informacin
15
15 a 18
15
Pgina: 41 de 86
Descripcin
nmero
tiempo
(PSI).
Las organizaciones deben gestionar los riesgos a que se encuentran
expuestas, realizando las tareas necesarias para garantizar los niveles de
seguridad considerados aceptables en su mbito. La seguridad de sus
sistemas de informacin debe ser entendida como un proceso y basarse
en un documento denominado Poltica de Seguridad de la Informacin
(PSI).
Una PSI constituye un marco general que define las pautas que deben
cumplirse para preservar la seguridad de la informacin de una
organizacin.
Esto les permite planificar las actividades a realizar, planteando el
escenario completo de los aspectos a custodiar.
Una Poltica consiste entonces en una serie de condiciones para garantizar
la seguridad de la informacin. Luego se deber profundizar el nivel de
detalle en normas y procedimientos que indiquen cmo implementar
dichas disposiciones.
Asimismo, y como la seguridad de la informacin debe ser considerada un
proceso, debe contemplarse la realizacin de revisiones peridicas de la
Poltica, garantizando su adaptacin a la realidad y a los cambios
tecnolgicos.
Por ltimo, se debe asegurar el cumplimiento de toda la normativa
vigente.
Actualmente en nuestro pas, as como en el resto del mundo, existen
normas que regulan el uso de los recursos informticos y de la
informacin.
19
Toda violacin a estas disposiciones dar lugar a sanciones

administrativas y, segn la gravedad del hecho, podr generar
responsabilidad civil y penal.
Las Polticas de Seguridad de la Informacin de las organizaciones sirven
adems para colaborar con la organizacin en su alineamiento con dichas
normativas, de forma de que puedan ser cumplidas.
20 a 21
20
Adems existen otras normas respecto al tratamiento de la informacin,

como por ejemplo la Ley de Proteccin de Datos Personales, Ley de
Derecho de Autor, de Firma Digital, etc.
En particular la Decisin Administrativa N 669 de diciembre de 2004
establece para los organismos de la Administracin Pblica Nacional la
obligatoriedad de redactar, aprobar e implementar una Poltica de
Seguridad de la Informacin que se maneja en su mbito, de designar un
responsable de seguridad y de convocar un Comit conformado por
Directores de reas sustantivas, para el tratamiento de los temas
vinculados a la seguridad de la informacin.
La poltica de seguridad de la informacin de cada organismo debe
basarse en el modelo aprobado por la ONTI mediante la Disposicin N
06/2005. Su implementacin se lleva a cabo mediante procedimientos
formalizados, referidos al tratamiento de la informacin, su
confidencialidad, etc.
Un aspecto importante a tener en cuenta es la clasificacin de la
informacin y el inventario de los recursos de informacin. Conocer los
recursos con los que se cuenta y el tipo de informacin que se maneja y
Pgina: 42 de 86
Descripcin
nmero
tiempo
establecer su criticidad permite identificar los riesgos y, en base a ello,

establecer las medidas que se adoptarn para su proteccin.
(Se recomienda en esta seccin realizar una referencia a las
polticas y procedimientos de seguridad aprobados en el
organismo)
Existen adems otras normas vigentes en nuestro pas que regulan
aspectos vinculados con el uso de la informacin y de los recursos
informticos.
22
23
Respecto al uso de la informacin en el Estado, la Ley 25.164 establece

deberes para todos los funcionarios pblicos, es decir, para todas
aquellas
personas
que
prestan
servicios
para
el
Estado
independientemente del estado de revista. Entre estos deberes se
encuentra el de observar el deber de fidelidad que se derive de la ndole
de las tareas que le fueron asignadas y guardar la discrecin
correspondiente o la reserva absoluta, en su caso, de todo asunto del
servicio que as lo requiera.
Respecto al uso de los recursos informticos en la Administracin Pblica,
la ley 25.164 prohbe a los funcionarios pblicos hacer uso indebido o con
fines particulares del patrimonio estatal (computadoras, impresoras,
software, etc.)
Con el mismo alcance y finalidad, la ley 25.188 dispone la obligacin para
todos los funcionarios pblicos de abstenerse a utilizar informacin
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de
intereses privados.
Las normas mencionadas precedentemente alcanzan tambin a la
informacin que se procesa en una computadora, cualquiera sea su
formato o soporte (papel, un disco rgido, un disquete, un archivo adjunto
a un mensaje de correo electrnico, etc.).
Esta ley tambin establece la obligacin de proteger y conservar la
propiedad del Estado y slo emplear dichos recursos con los fines
autorizados.
Dentro del universo de informacin que se genera, procesa y transmite en
el Estado, encontramos un subconjunto compuesto por los datos
personales, es decir, aquellos datos que refieren a una persona.
24 a
25
10
El derecho a la proteccin de los datos personales adquiri jerarqua

constitucional en la reforma del ao 1994.
Debido a su sensibilidad, estos datos gozan de un rgimen particular, el
que viene a complementar a las leyes mencionadas. As, la ley 25.326 y
sus normas complementarias buscan proteger los datos personales y el
derecho de sus titulares a conocer y en su caso, actualizar, modificar o
suprimir aquellos que sean inexactos.
La ley establece que los datos personales no pueden procesarse sin el
consentimiento expreso del titular, salvo contadas excepciones. Todo
aquel que adquiera, procese o ceda datos personales sin el
consentimiento del titular estar realizando una actividad ilcita susceptible
Pgina: 43 de 86
nmero
Descripcin
tiempo
de ser sancionada. Por lo tanto, queda ms que claro que la cesin de

datos personales o de bases de datos que los contengan constituye un
delito.
La Direccin Nacional de Proteccin de Datos Personales del Ministerio de
Justicia y Derechos Humanos es la Autoridad de Aplicacin. Todos los
organismos pblicos y las entidades privadas deben registrar sus bases de
datos y cumplir con las medidas de seguridad y confidencialidad
establecidas.
Por otro lado, el software es considerado una obra intelectual que goza de
la proteccin de la Ley 11.723. Esta ley permite que la explotacin de la
propiedad intelectual sobre los programas de computacin se realice
mediante licencias para su uso o reproduccin. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violar
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
26 a
27
10
Instalar un programa sin contar con la debida licencia, puede traer

consecuencias legales tanto para el organismo como para quien lo instala.
La Ley 25.506 habilita el uso del documento digital, la firma electrnica y
la firma digital. Define el documento electrnico como la representacin
digital de actos o hechos con independencia del soporte utilizado para su
fijacin, almacenamiento o archivo, reconociendo que cumple el requisito
de escritura. Por otra parte establece que cuando una norma requiera una
firma, esta exigencia queda cumplida cuando se utiliza una firma digital.
En otras palabras, una firma digital produce los mismos efectos que una
firma manuscrita. Por otro lado, define la firma electrnica como un medio
para demostrar la autora de un documento digital, que carece de alguno
de los requisitos que la Ley exige a la firma digital.
28
Durante la exposicin, formule preguntas sugerentes sobre el tema; invite

a los participantes a compartir alguna experiencia relacionada con el tema
y a compartir dudas y preguntas.
Cierre
Actividad Grupal
El objetivo de esta actividad es que los participantes recapitulen los contenidos presentados y
reflexionen sobre ellos.
Tiempo
Sugerido
En pequeos grupos, elaboren un listado de los temas tratados que consideren ms

importantes. Formulen al menos una pregunta y/o sugerencia relacionada con el
listado.
10
Puesta en comn.
Solicite a los grupos que expongan sus listados. Analice semejanzas y diferencias en
los listados y proponga un intercambio de respuestas posibles a las preguntas
formuladas. Analice las sugerencias planteadas.
15
Pgina: 44 de 86
Recapitulacin
Una vez terminada la reunin, escriba los momentos que considera que fueron los ms
importantes. Registre tambin la percepcin que usted tuvo sobre los intereses de los participantes
y su nivel de participacin e involucramiento con el tema.
Algunas causas del aumento de las amenazas

Mayor dependencia de los sistemas, servicios de informacin y de tecnologas
asociadas
La mayora de las organizaciones modernas procesan su informacin administrativa, contable
y de gestin mediante sistemas de informacin y aprovechan las ventajas de las nuevas
tecnologas para el procesamiento de sus transacciones y para una mayor interconexin con
sus clientes y proveedores. El uso intensivo de estas tecnologas garantiza la continuidad de
sus operaciones, creando una fuerte dependencia hacia sus sistemas, servicios de
informacin y tecnologas asociadas.
Crecimiento exponencial de las redes y usuarios interconectados
Esto implica la multiplicidad de puntos de acceso a una red, dada su relacin con otras redes.
Por otro lado, las actividades de monitoreo se hacen ms complejas y tienden a no realizarse.
Profusin de Bases de Datos On-Line
Cada vez son ms las aplicaciones que se publican en la Web y que tienen como soporte una
Base de Datos. Esto implica una nueva fuente de amenazas, ya que cada motor tiene su
conjunto de vulnerabilidades y aparecen nuevas continuamente.
Inmadurez de las nuevas tecnologas
Constantemente aparecen nuevas tecnologas y nuevos componentes, los cuales son puestos
en funcionamiento sin conocerse demasiado su entorno de desarrollo ni caractersticas
tcnicas. Un ejemplo de estos das es el de las comunicaciones inalmbricas (wireless).
Otro caso, es el de los cambios tecnolgicos en equipos de tratamiento de datos. Por
ejemplo, es posible que muchos de los sitios donde no se permita el ingreso de cmaras de
fotos o video, hayan tardado en tener en cuenta el ingreso de celulares con esas
caractersticas. O por ejemplo, en muchas organizaciones las estaciones de trabajo no poseen
o tienen deshabilitadas las disketeras a fin de impedir que se sustraiga informacin, pero
seguramente esas estaciones de trabajo tienen un puerto USB donde conectar un dispositivo
de almacenamiento removible que cabe en cualquier bolsillo
Alta disponibilidad de herramientas automatizadas de ataque
No existe ya la creencia que las personas que pueden vulnerar los controles de seguridad de
los equipos de procesamiento de datos de una Organizacin, son avezados conocedores de
tecnologas y expertos en trucos a tal fin. Existen hoy infinidad de sitios donde se pueden
descargar herramientas, programas o textos donde se explican distintas formas de
aprovecharse de ciertas vulnerabilidades. Por lo tanto cualquier principiante puede apropiarse
de estas facilidades.
Nuevas tcnicas de ataque distribuido
En la actualidad, los ataques no son necesariamente lanzados desde un slo equipo, con un
intruso detrs comandndolo. Existen muchas tcnicas que permiten tomar el control de
equipos diseminados por una determinada red (Internet por ejemplo) y coordinar un ataque
en conjunto contra un objetivo determinado.
Pgina: 45 de 86

Tcnicas de ingeniera social
Es importante concientizar al usuario acerca de que la seguridad de la informacin se
comienza a gestar desde el escritorio mismo de su puesto de trabajo. Por lo tanto es
necesario alertar sobre las distintas tcnicas de ingeniera social, que sirven para obtener
informacin confidencial de usuarios desprevenidos. Coloquialmente, una de las formas de
ingeniera social es el conocido cuento del to aplicado al mbito informtico.
Bibliografa de referencia
http://www.arcert.gov.ar, Coordinacin
Subsecretara de Gestin Pblica.
de
Emergencias
en
Redes
Teleinformticas,
Modelo de Poltica, aprobado por la ONTI mediante la Disposicin 006/2005, 25/07/2005.

Disposicin N 06/2005, Poltica de Seguridad de la Informacin Modelo, 3/08/2005.
Resolucin SGP 45/2005, Poltica de Seguridad de la Informacin, Subsecretara de la Gestin
Pblica, 24/06/2005
Decisin Administrativa 669/2004, Poltica de Seguridad de la Informacin, Sector Pblico
Nacional Adecuacin, Jefatura de Gabinete de Ministros, 20/12/2004
http://infoleg.mecon.gov.ar, Informacin Legislativa - Ministerio de Economa y Produccin
Pgina: 46 de 86
REUNIN 2 SEGURIDAD DE LA INFORMACIN EN LAS TAREAS

COTIDIANAS
Contenidos
Ingeniera Social
Cdigo Malicioso
Mensajera Instantnea y Redes P2P
Apertura
Tiempo
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la
reunin anterior.
Presente los temas que se tratarn en esta reunin.
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL UN DIA EN LA VIDA DE EVARISTO:
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de e-mails inseguros e ingeniera social.
Esta actividad se realiza con anterioridad a la exposicin de los temas
de seguridad. La idea es retomar ms adelante esta misma actividad y
verificar si los participantes incorporaron los conceptos desarrollados.
Caso Un da en la vida de Evaristo

Tiempo
Sugerido
Solicite a los participantes que formen grupos de no ms de cuatro integrantes, con las
personas prximas.
Entrgueles una copia del caso Un da en la vida de Evaristo ( caso-r2a.pdf)
Solicite que lean el documento entero y asigne un tiempo para que elaboren por escrito
una respuesta a la consigna del caso.
15
ANLISIS
10
Pgina: 47 de 86
Solucin
A continuacin se listan situaciones anmalas que los asistentes deberan identificar:
1)
Cuando Evaristo ingresa su clave, utiliza 8 caracteres y recuerda a su hija Florencia, por lo que
podemos inferir que su clave es un nombre propio, y adems el de un familiar.
2)
Deja la mquina desatendida, mientras llegan sus correos a su cuenta de mail, y va a buscar
caf.
3)
Recibe un mail supuestamente de su primo (situacin que no verifica) y que contiene un

archivo adjunto. ste a su vez, es un ejecutable (extensin .exe) y por lo que se desprende
del texto lo ejecuta para ver de qu se trata.
4)
La situacin con Paez Umpierrez es en conjunto, un caso de Ingeniera Social. Evaristo no

verifica de quin se trata, ni si lo estn llamando desde el mismo organismo, y finalmente,
accede a entregarle documentacin va correo electrnico.
5)
Paez Umpierrez le solicita la documentacin a una cuenta de Hotmail, en este caso, tal que ni
siquiera valida que se trate de alguien que trabaja en el organismo. Recordemos que
finalmente, no debera entregar informacin confidencial sin la debida autorizacin.
6)
Para salvar la situacin, intenta ubicar el documento en el equipo de un compaero, cuando

no debera guardarse informacin confidencial en un equipo de escritorio.
7)
Para obtener acceso al equipo de un compaero de trabajo, pregunta por la clave de acceso,
que es conocida por el resto de la gente de la oficina, y adems, es trivial.
8)
Para culminar, Evaristo no chequea la informacin del mail enviado, y equivoca la direccin
del supuesto Paez Umpierrez.
Fin Actividad Grupal

Utilizando el Archivo curso-r2.ppt, como base para la presentacin, desarrolle la siguiente
EXPOSICIN
Descripcin
Estas diapositivas corresponden a la cartula y al ndice de la Reunin
El acceso a los sistemas de informacin normalmente se realiza mediante la
identificacin del usuario que lo requiere. Para ello se solicita el ingreso de
una identificacin de usuario, esto es un nombre o un cdigo que
identifique a la persona que solicita el acceso (Ej: gomez, aperez, etc.) o a
la funcin que esta cumple (Ej: administrador, operador, etc.).
nmero
tiempo
1y2
2'
El sistema necesita validar al usuario que desea acceder, para lo cual

necesita verificar que ste sea quien dice ser. Para ello, el usuario deber
autenticarse, esto es demostrar que es el usuario que indic en el paso
anterior.
Por ltimo, el sistema controla que el usuario tiene autorizacin para
acceder al recurso que solicit. No todos los usuarios tienen permiso para
acceder a todas las aplicaciones, documentos, etc.
La autenticacin puede realizarse de diversas maneras, entre ellas:
Demostrando algo que se sabe: Tpicamente ingresando una clave.
Demostrar algo que se tiene: Para lo cual se utilizan dispositivos
externos, tales como tarjetas magnticas, tokens usb, etc.
Demostrar algo que se es: Mediante el uso de tcnicas biomtricas.
Las tcnicas biomtricas son mtodos automticos para el
Pgina: 48 de 86
Descripcin
nmero
tiempo
reconocimiento nico de personas basados en uno o ms rasgos

conductuales o fsicos intrnsecos. Ej: anlisis de las huellas digitales, el
reconocimiento de la voz, el anlisis del iris, etc.
Para aumentar la seguridad en el control de acceso se recomienda
combinar dos de estas tres alternativas.
Dado que el uso de la combinacin de usuario y clave es el mtodo
mayormente utilizado (en general porque es el ms econmico), vamos a
conocer las caractersticas que debe reunir una contrasea para que sea
segura:
Personal: se debe asignar una contrasea a cada persona que acceda

al sistema.
Secreta: slo el usuario de la contrasea debe conocerla.
Intransferible: la contrasea no puede ser revelada a ningn tercero
para su uso.
Modificable slo por el titular: el cambio de contrasea, sea cual fuere
el motivo, debe ser realizado por el usuario titular de la misma y slo
en casos excepcionales por el administrador, por ejemplo, cuando el
usuario olvida su contrasea (en este caso, el usuario debe cambiarla
inmediatamente despus de acceder a su cuenta).
Difcil de averiguar: Al momento de elegir su nueva contrasea, el
usuario debe seguir ciertos lineamientos que impidan la averiguacin de
la misma por parte de terceros. Ms adelante se vern algunos de estos
lineamientos.
La utilizacin de claves de acceso, si bien es una solucin fcil de
implementar, trae aparejada una serie de amenazas, tales como la prdida
u olvido de las mismas, ataques de terceros para descifrarlas, descuidos de
los usuarios al darlas a conocer, falta de caducidad de las mismas, etc.
Se exponen a continuacin, algunas de las tcnicas utilizadas para formar
una clave robusta, que conjugan cierta dificultad para averiguarla con
caractersticas que permiten que los usuarios la puedan recordar
fcilmente.
7a8
10
No utilice palabras comunes ni nombres de fcil deduccin por terceros
(nombre de mascota, nombre de equipo de ftbol favorito), ya que
estas claves podran ser obtenidas fcilmente mediante el uso de

tcnicas automticas que prueben acceder a la cuenta del usuario con
palabras extradas de diccionarios de palabras comunes.
No las vincule a una caracterstica personal, (telfono, D.N.I., patente
del automvil, etc.).
No utilice terminologa tcnica conocida (admin)

Combine caracteres alfabticos, maysculas y minsculas, nmeros,
caracteres especiales como espacio, guin, smbolo $, etc.
Constryalas utilizando al menos 8 caracteres.
Use claves distintas para mquinas diferentes y/o sistemas diferentes.
Use un acrnimo de algo fcil de recordar
Ej: NorCarTren (Norma , Carlos, Tren)
Aada un nmero al acrnimo para mayor seguridad: NorCarTren09
Pgina: 49 de 86
Descripcin
(Norma, Carlos, Tren, Edad del hijo)
nmero
tiempo
Mejor an, si la frase origen no es conocida por otros: Verano del 42:
Verdel4ydos
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)

Realice reemplazos de letras por signos o nmeros. (3duard0palmit0)
Elija una clave que no pueda olvidar, para evitar escribirla en alguna
parte. (arGentina6-0)
La importancia que tiene la longitud de la clave seleccionada, como as
tambin el conjunto de caracteres utilizado, son aspectos importantes en la
construccin de claves. Ilustramos para ello con el cuadro de las cantidades
de combinaciones posibles de claves, segn su longitud y conjunto de
caracteres incluidos. Cuantas ms combinaciones se puedan lograr, ms
difcil ser su averiguacin mediante herramientas de fuerza bruta.
Como podemos apreciar en el cuadro en forma de matriz de datos, donde

se conjugan ambas variables (longitud y juego de caracteres utilizado), se
indica en cada caso el tiempo que utilizara un programa de fuerza bruta
(con acceso a las claves cifradas) para descifrar claves y vulnerarlas.
10
Vemos que a mayor longitud y cantidad de caracteres que componen las

claves, mayor es el tiempo requerido para averiguarlas, ergo ms seguras
sern las mismas.
Se deben establecer normas para el uso adecuado de las contraseas, de
forma de prevenir que stas sean vulneradas y utilizadas por intrusos para
acceder a los sistemas de forma no autorizada.
11 a
12
10
Cuide que no lo vean cuando tipea su clave.

No observe a otros mientras lo hacen.
No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
No comparta su clave con otros.
No pida la clave de otro.
No habilite la opcin de recordar claves en los programas que utilice.
Si por algn motivo tuvo que escribir la clave, no la deje al alcance de
terceros (debajo del teclado, en un cajn del escritorio) y NUNCA
pegada al monitor.
NUNCA enve su clave por correo electrnico ni la mencione en una
conversacin, ni se la entregue a nadie, aunque sea o diga ser el
administrador del sistema.
No mantenga una contrasea indefinidamente. Cmbiela regularmente,
aunque las polticas de Administracin de Claves no lo obliguen.
Asimismo, los administradores de las contraseas deben seguir ciertas
pautas de seguridad.
13
No debe existir ninguna cuenta sin contrasea. Si se es administrador del

sistema, revisar peridicamente el sistema de claves y utilizar fechas de
vencimiento.
No permitir el uso de las contraseas que, por defecto, genera y adjudica el
sistema. Obligar al cambio cuando se da de alta al usuario y peridicamente
Pgina: 50 de 86
Descripcin
nmero
tiempo
de acuerdo a las normas vigentes.

No dudar en cambiar las contraseas, si se sospecha que alguien puede
conocerlas.
La informacin sensible no slo es manejada en los sistemas informticos,
sino que tambin se encuentra dispersa en otros medios, como ser papeles,
archivos fsicos, etc. Es por ello que se deben establecer medidas de
seguridad para la informacin fuera de los sistemas informticos.
14 a
18
15
Plantee el tema de Escritorio Limpio indicando el por qu de dicha

prctica y dando consejos para cumplirla.
Durante el da se debe realizar una serie de tareas que se encuentran
enunciadas en la diapositiva nmero 16. Se debe tener cuidado con la
documentacin impresa, segn lo indicado en la diapositiva nmero 17. Por
ltimo, se debe tomar una serie de recaudos al abandonar la oficina al
finalizar el da, siguiendo las recomendaciones de la diapositiva nmero 18.
El concepto de Pantalla Blanca apunta a no exponer en la pantalla
informacin que pueda ser utilizada por personas no autorizadas.
19
Sugerencia para el expositor: Plantee una situacin en la cual dejar la

pantalla desatendida podra ser una amenaza a la seguridad de la
informacin del usuario y del Organismo. Ej.: que un tercero opere la
Terminal de forma no autorizada.
Indague sobre el sistema operativo utilizado en su Organismo, o el que
mayoritariamente utilizan los usuarios si es que hay ms de uno, e indique
cul es el mecanismo para proteger una terminal desatendida, con dicho
sistema.
PAUSA
15
Introducimos ahora el concepto de Ingeniera Social. Se trata de un

conjunto de tcnicas de engao que se aplican sobre las personas para
obtener de ellas informacin de inters para el atacante, o para lograr que
efecten alguna accin deseada por ste.
20
Generalmente estamos acostumbrados a asociar la seguridad de un sistema

con las herramientas informticas que aplican seguridad, o bien con
controles fsicos. Pero olvidamos que los seres humanos se encuentran
directamente relacionados con los sistemas de informacin, constituyendo
un factor alto de riesgo que tambin debe ser mitigado. Precisamente la
Ingeniera Social explora el factor ms vulnerable de todo sistema: el ser
humano.
21
Para evitar que la Ingeniera Social sea utilizada para atacar los sistemas de
informacin, se debe primeramente informar a las potenciales vctimas
sobre este tipo de tcnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
22
Aqu se exponen algunas consideraciones a tener en cuenta, a fin de

mitigar los intentos de Ingeniera Social.
De ms est decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de tcnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habr cosas nuevas,
etc.)
Pgina: 51 de 86
Descripcin
El Cdigo Malicioso o Programa Malicioso es un programa de computadora
escrito para producir inconvenientes, destruccin, o violar la poltica de
seguridad.
nmero
tiempo
23
10
24
10
25
Existen distintos tipos:

Los virus, que generalmente requieren alguna interaccin por parte del
usuario (por ejemplo, abrir un archivo adjunto que recibe por correo
electrnico).
Los Caballos de Troya o Troyanos, que son programas que tienen una
funcionalidad conocida (por ejemplo, un juego) pero adems tienen
una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario y
mandarlas en un mensaje de correo electrnico al atacante)
Los Gusanos, que se reproducen sin necesidad de interaccin de los
usuarios, por ejemplo atacando servicios de red vulnerables (por
ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas
de Windows, siempre y cuando a la mquina no se le haya instalado la
actualizacin que corrige la vulnerabilidad)
Tambin existen otros tipos, como el spyware que suele recopilar
informacin sobre una persona, para poder mostrarle publicidad dirigida.
Para disminuir las amenazas que presenta el cdigo malicioso, se suele
utilizar programas antivirus. Sin embargo, es importante resaltar que dichos
programas no son siempre efectivos, ya que suelen detectar el cdigo
malicioso en base a patrones conocidos, es decir que no detectan
automticamente nuevos programas maliciosos creados por los atacantes.
Por eso, se debe mantener el antivirus actualizado, pero igual no se debe
confiar en que el mismo va a detectar todo el cdigo malicioso que
recibamos.
Resalte el concepto de que algo que diga ser una foto o video, puede en
realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un
mensaje de correo electrnico que incluya una supuesta foto de nuestro
dolo favorito, pero en realidad el archivo adjunto es un programa que
puede causar un dao.
Para dejar clara la importancia de prevenirse contra el cdigo malicioso, se
dan ejemplos de algunas de las cosas que suelen hacer los cdigos
maliciosos una vez que se encuentran activos en la mquina victima:
Borrar archivos del disco rgido para que la computadora se vuelva
inoperable.
Infectar una computadora y usarla para atacar a otras.
Obtener informacin sobre el usuario, los sitios web que visita, sus
hbitos en la computadora.
Capturar las conversaciones activando el micrfono (o viendo al
usuario, con la activacin de la webcam).
Ejecutar comandos en la computadora, como si lo hubiera hecho el
usuario.
Robar archivos del equipo, por ejemplo aquellos con informacin
personal, financiera, nmeros de serie (licencia) de programas
instalados, etc.
Veremos ahora algunas medidas que se deben tener en cuenta para
Pgina: 52 de 86
Descripcin
nmero
tiempo
navegar en Internet de forma segura.

A veces un link (enlace) puede ser engaoso y llevar al usuario a acceder a
una pgina diferente a la que aparentemente lo lleva (en funcin al texto
del enlace). Para evitar caer en esta trampa se debe:
1) Verificar el destino de los enlaces con la opcin Propiedades
(normalmente utilizando el botn derecho del Mouse) para corroborar
que sea el mismo que se menciona en el texto del enlace (esto se
puede mostrar directamente con un navegador).
2) No acceder directamente al enlace haciendo clic sobre el mismo, sino
que se aconseja copiar el texto del enlace y pegarlo en la barra de
direccin del navegador.
Algunas otras medidas para evitar ataques durante la navegacin son:
26
10
Ac se muestra como se ve en el navegador el acceso a un sitio seguro,

tanto en lo que respecta a la barra de direcciones del navegador (empieza
con https://) como el candadito en la parte inferior. Es importante destacar
que algunos navegadores pueden tener el indicador de sitio seguro
(candado amarillo) ubicado en otro lugar. Por ejemplo, Internet Explorer 7
lo muestra en el costado derecho de la barra de direcciones.
27
En esta pantalla se aprecian las propiedades del certificado. Se puede

observar el nombre del sitio para el que el certificado fue emitido
(www.arcert.gov.ar), el nombre de la autoridad certificante, y la fecha de
emisin y vencimiento del certificado.
28
Los mensajeros instantneos son un conjunto de programas que sirven

para enviar y recibir mensajes instantneos con otros usuarios conectados
a Internet u otras redes; adems permiten saber cuando estn disponibles
para hablar. Se diferencia del correo electrnico en que las conversaciones
se realizan en tiempo real. El usuario tiene una lista de contactos
autorizados, y puede solicitar a otra persona que lo acepte como contacto.
Existen diversos sistemas de mensajera instantnea como MSN Messenger,
ICQ, Yahoo Messenger o Google Talk. La mayora tiene funcionalidades
29
1) Evitar acceder a sitios desconocidos o no confiables, ya que los mismos

pueden contener contenido malicioso que permita descargar y ejecutar
programas maliciosos en su estacin de trabajo.
2) Asegurarse de que el navegador no acepte la instalacin de software
descargado de Internet en forma automtica
3) No descargar de Internet archivos ejecutables
4) No introducir informacin sensible en sitios o foros
5) Si se necesita introducir informacin sensible en un sitio web,
asegurarse de que la pgina es segura (https) y verificar que el
certificado que presenta la misma es vlido:
Correspondencia entre el nombre de dominio del certificado y el
nombre del sitio web al que se accede.
Vigencia.
Autoridad Certificante confiable.
6) El administrador de la red muchas veces conoce valores de
configuracin que hacen que la navegacin por Internet sea ms
segura.
Pgina: 53 de 86
Descripcin
nmero
tiempo
adicionales, como la posibilidad de transferir archivos, enviar mensajes

aunque el destinatario no se encuentre conectado, etc.
Desde el punto de vista de seguridad, los mensajeros instantneos pueden
presentar varios problemas. Los mensajes suelen viajar por la red sin cifrar,
por lo que podran ser vistos por un atacante, comprometiendo la
confidencialidad. Adems, brindan funcionalidad que puede estar prohibida
por la poltica de seguridad del organismo, como por ejemplo la
transferencia de archivos. Tambin pueden facilitar la descarga y ejecucin
de cdigo malicioso, ya sea a travs de la transferencia de archivos
maliciosos, o a travs de enlaces que recibe un usuario por parte de otro
(muchas veces sin que el remitente se entere) y que conducen a una
pgina web con programas maliciosos. Adems, podemos agregar un
contacto pensando que es una persona, cuando en realidad se trata de otra
persona. Esta podra luego intentar engaarnos mediante tcnicas de
ingeniera social.
30
Otra tecnologa que presenta amenazas a la seguridad son las redes P2P.
Este tipo de redes se caracterizan por constituirse por un conjunto de
equipos donde ninguno es cliente y ninguno es servidor, sino que todos
comparten uno o ms servicios o funcionalidades. Algunos ejemplos son las
redes conformadas para sistemas de telefona y videoconferencia (Skype,
etc.), y el software para compartir archivos de todo tipo (msica, pelculas,
programas de televisin, software, juegos, libros digitales) a travs de
Internet. (Ej.: Emule, BitTorrent, etc.).
31
Si bien estas redes aparentan proveer slo facilidades y ventajas, presentan

tambin riesgos para la seguridad de la informacin.
32
10
Las estaciones de trabajo estn ms expuestas, por que pueden dar a

conocer su direccin IP y muchas veces deben tener un puerto de red
abierto desde afuera hacia adentro (es decir desde Internet hacia la red
interna del organismo) para funcionar correctamente. Adems, estos
programas suelen usar distintas tcnicas para saltear los mecanismos de
proteccin impuestos por la organizacin (firewall, Proxy), sin medir las
consecuencias desde el punto de vista de la seguridad de la organizacin.
Por ejemplo, estas redes se caracterizan por consumir mucho ancho de
banda, tanto para descargar archivos como para compartir archivos que el
usuario ya tiene. Esto puede significar que no se pueda utilizar la conexin
a Internet para los usos legtimos, por falta de disponibilidad del recurso.
Por otra parte, el usuario puede estar compartiendo archivos que no
deseaba compartir, y eso puede incluir archivos confidenciales.
Adems, se puede incurrir en un delito cuando se descarga material
protegido por las leyes de propiedad intelectual (por ejemplo, al descargar
msica o pelculas).
Otro punto importante es que muchas veces, cuando se descargan
programas, juegos, etc., los mismos han sido modificados para contener
cdigo malicioso, que permite al atacante tomar el control del sistema
infectado. Existen estimaciones que hablan de que uno de cada diez
programas descargados mediante estas redes puede contener cdigo
malicioso.
Pgina: 54 de 86
Cierre
Realice la siguiente ACTIVIDAD GRUPAL UN DIA EN LA VIDA DE JUAN:
El objetivo es que los participantes adquieran conciencia sobre la posibilidad de ser vctimas de
ataques de phishing.
Esta actividad se realiza con anterioridad a la exposicin de parte de
los temas de seguridad, que sern abordados en la reunin 3.
Caso Un da en la vida de Juan

Tiempo
sugerido
personas prximas.
caso-r2b.pdf)
Entrgueles una copia del caso Un da en la vida de Juan (
Solicite que lean el documento entero y asigne el tiempo sugerido para que escriban
una puesta en comn sobre la consigna del caso.
15
ANLISIS
10
Solucin
1) Juan utiliza la cuenta de correo institucional para actividades personales. Esto no es
adecuado, ya que el correo institucional es propiedad del organismo y debe ser empleado slo
para actividades laborales.
2) El Administrador de Sistemas sabe de las actividades extra-laborales de Juan en Internet, y no
toma ninguna accin al respecto por amiguismo.
3) Al leer el supuesto mensaje de la empresa PayPal accede al link para Donar dinero, cuando
no es aconsejable acceder a enlaces desde mensajes de correo electrnico.
4) Juan no verifica la direccin adonde lleva dicho enlace.
5) Juan ingresa sus datos personales (incluyendo los de su tarjeta de crdito) en una pgina
desconocida, sin siquiera verificar que se trate de una pgina segura.
6) Probablemente en un futuro cercano, Juan sea vctima de lo siguiente:
uso indebido de sus datos personales
spam
operaciones no autorizadas con su tarjeta de crdito
Pgina: 55 de 86
http://www.arcert.gov.ar, Coordinacin de Emergencias en Redes Teleinformticas, Subsecretara
de Gestin Pblica.
http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones para el uso
seguro del correo electrnico, ArCERT, Subsecretara de la Gestin Pblica, 2006.
http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones para evitar
ser victima del "phishing", ArCERT, Subsecretara de la Gestin Pblica, 2006.
Manual de Seguridad en Redes, ArCERT, Subsecretara de la Gestin Pblica, 1999.
Pgina: 56 de 86
REUNIN 3 AMENAZAS Y HERRAMIENTAS DE SEGURIDAD

Contenidos
Firma Digital: funcionamiento y beneficios
Apertura
Tiempo
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la
reunin anterior.
Presente los temas que se tratarn en esta reunin.
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL PEDRO Y LA FIRMA DIGITAL
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de firma digital.
Esta actividad se realiza con anterioridad a la exposicin de los temas
de seguridad. La idea es retomar ms adelante esta misma actividad y
verificar si los participantes incorporaron los conceptos desarrollados.
Caso Pedro y la firma digital

Tiempo
sugerido
personas prximas.
caso-r3.pdf)
Entrgueles una copia del caso Pedro y la firma digital (
Solicite que lean el documento completo y asigne el tiempo sugerido para que escriban
una puesta en comn sobre la consigna del caso.
15
ANLISIS
10
Pgina: 57 de 86
Solucin
1) Se plantea que el rea de informtica genere el par de claves de los usuarios y luego se las
comunique, cuando cada usuario debe ser responsable de generar sus propias claves en
forma personal.
2) El Gerente General no evala lo propuesto por el Gerente de Sistemas acerca de la
implementacin de Firma Digital y sus procedimientos de uso.
3) Se enviaron las claves a los usuarios por mail (medio inseguro).
4) Se consulta a los usuarios sobre el medio donde almacenar sus claves, cuando esto debe ser
una disposicin establecida como resultado de un anlisis de personal con conocimientos
especficos.
5) La mayora de las claves se almacenan en las PCs sin proteccin.
6) Algunos usuarios almacenaron sus claves en disquetes, junto con otra informacin. Esta
opcin no es segura.
7) Algunos usuarios de niveles superiores solicitaron que se instale sus claves en las PCs de las
secretarias para su uso, cuando las claves son personales e intransferibles.
8) La Sensibilizacin dictada a los usuarios se centr en la parte operativa de firma digital, y
no mencion temas de cultura de uso, beneficios, objetivos de la firma digital,
responsabilidades de usuarios, etc.
9) El Procedimiento interno de uso de firma digital fue redactado por el Administrador de Red,
sin tener en cuenta las necesidades de los usuarios.
10) Existe una resistencia al uso de la firma digital por parte de los usuarios debido a una
capacitacin y sensibilizacin inadecuadas.
11) No se efectuaron controles posteriores a la implementacin de firma digital para verificar si su
uso y funcionamiento son correctos.

Utilizando el Archivo curso-r3.ppt, como base para la presentacin, desarrolle la
siguiente EXPOSICIN
Descripcin
Estas diapositivas corresponden a la cartula y al ndice de la Reunin
Vamos a referirnos a las amenazas existentes en el manejo del correo
electrnico.
Nmero
Tiempo
sugerido
1y2
2'
4a5
10
El correo electrnico es un medio de comunicacin muy til, pero tambin

es un medio por el cual podemos recibir mensajes no solicitados (spam),
engaos (hoaxs) y otros tipos de amenazas.
Por ejemplo, los mensajes de correo electrnico pueden ser falsificados
fcilmente. Tenga en cuenta que un atacante podra generar mensajes
que parezcan ser originados por algn tercero en el cual Ud. confa.
Adems, se debe tener especial cuidado con los archivos adjuntos y los
enlaces a pginas web, ya que pueden incluir cdigo malicioso.
Los correos electrnicos son un medio ampliamente utilizado para la
Pgina: 58 de 86
Descripcin
Nmero
Tiempo
sugerido
propagacin de virus y troyanos mediante archivos adjuntos. Es por ello

que deben tenerse en cuenta ciertas medidas de seguridad para
manipular archivos adjuntos, especialmente cuando no son archivos que
se esperan y no estn directamente relacionados con cuestiones
laborales. Las buenas prcticas incluyen:
No abrir archivos adjuntos de origen desconocido o que no estn
relacionados con nuestras tareas en el organismo.
No abrir archivos adjuntos que no esperamos recibir, aunque nos
parezca que su origen es conocido.
No abrir adjuntos que tengan extensiones ejecutables.
No abrir adjuntos que tengan ms de una extensin.
Chequear con el remitente, en caso de dudas, la razn por la cual nos
envi un archivo adjunto.
Una de las operaciones ms frecuentes es el reenvo de mensajes. Esta
operacin involucra la utilizacin de un mensaje recibido como base para
el envo de uno nuevo a otros destinatarios.
6a7
10
Ante la duda, no debe reenviar mensajes, ya que colabora con el aumento

del correo no solicitado, y se pierde tiempo (de los usuarios que reciben el
mensaje) y recursos (espacio en disco rgido, tiempo de procesamiento,
ancho de banda).
Una de las tcnicas conocidas para fomentar los reenvos de mensajes,

obtener direcciones de correo y armar bases de datos con las mismas, es
la conocida cadena de correos electrnicos.
10
Generalmente, por omisin, el cliente de correo electrnico (Outlook,

Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta
razn, el nuevo destinatario recibir informacin acerca del autor y los
destinatarios originales, sin poder estos controlar el destino del mensaje
enviado, que a su vez suele ser reenviado sucesivamente.
Esto no slo presenta una amenaza a la confidencialidad de la informacin
contenida en el mensaje, sino que adems facilita la propagacin de virus
(ya que al reenviar un mail conteniendo un virus el mismo ser recibido
por otros usuarios) y promueve el envo de correo no solicitado (en caso
de reenvos masivos)
Cuando sea necesario reenviar un mensaje, elimine los datos del emisor
original (si corresponde, a menos que necesite hacer mencin explcita y
textual del mensaje original, por ejemplo en el seguimiento de un tema en
un ambiente colaborativo), o copie el contenido en uno nuevo.
Si enva un mensaje a ms de una persona, agregue las direcciones como
CCO o copia oculta, para evitar que cada receptor vea las direcciones de
correo del resto de los destinatarios.
En estas cadenas, se apela a la solidaridad del receptor, solicitando el

reenvo con fines benficos, o se advierte sobre ciertas cuestiones,
pidiendo que se retransmita dicha alerta.
Las colecciones de direcciones de correo electrnico incluidas en los
mensajes, suelen ser utilizadas para formar parte de bases de datos que
luego son empleadas para enviar informacin no solicitada (Spam) o
pueden ser capturadas por virus informticos, como fuente de direcciones
Pgina: 59 de 86
Descripcin
Nmero
Tiempo
sugerido
vlidas a las cuales reenviarse.

Debemos pensar acerca de cambiar nuestro hbito de reenviar
compulsivamente los mensajes recibidos.
11
Los engaos o Hoax son mensajes fraudulentos conteniendo

informacin inexacta o falsa, que inducen al receptor a reenviar el
mensaje, a fin de difundir su contenido o a realizar acciones que muy
probablemente le ocasionaran problemas (Ej.: borre el archivo XXX, el
usuario lo hace y su mquina deja de funcionar! ).
12
Aqu presentamos algunas caractersticas comunes de los engaos

(Hoax), que deben ser tenidas en cuenta cada vez que se reciben este
tipo de mensajes.
13
14
15
10
Este comportamiento habitual tiende a desarrollarse, dado que es comn

pensar que reenviar un mensaje no tiene costo alguno (en comparacin
con una llamada telefnica o un envo postal). Sin embargo debemos
pensar que estamos comprometiendo datos de terceros, tiempo propio y
de los destinatarios y recursos de la organizacin.
Debemos pensar que difcilmente se pueda hacer una campaa de junta

de firmas o recaudacin de donaciones por esta va.
Si el receptor est interesado en colaborar, o se hace eco del mensaje, se
le recomienda que se dirija a la pgina web oficial de la organizacin que
est mencionada. Un mensaje que no es Hoax, invita a una pgina oficial,
donde se pueden constatar cantidad de visitas o donde se puede dejar un
mensaje de adhesin.
Pero nunca se debe creer en supuestos beneficios que se otorguen por
el mero reenvo de un mail y generalmente, si es un hecho verdico, se
utilizan otros medios de difusin, como por ejemplo, la prensa.
Tambin se debe evitar visitar el enlace que est incluido en el mensaje
ya que generalmente, es mediante ese mecanismo que se produce el
engao.
Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente
desconocida, brindndonos informacin que no solicitamos. Estos
mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas
veces contienen informacin falsa o engaosa. Algunas de las tcnicas
que utilizan los spammers (es decir, aquellos que envan mensajes no
solicitados por motus propia o para terceros) para obtener direcciones
vlidas de correo electrnico, incluyen:
Bsqueda de direcciones en pginas web y foros.
Captura de direcciones en cadenas de correo.
Listado de suscriptores a Listas de correo.
Compra de bases de datos de direcciones de correo.
Acceso no autorizado en servidores de correo.
Es conveniente tener en cuenta algunas reglas de comportamiento con
respecto a estos envos de mensajes no solicitado:
No deje su direccin de correo electrnico en cualquier formulario o
foro de Internet.
Pgina: 60 de 86
Descripcin
Nmero
Tiempo
sugerido
No responda los correos no solicitados. Brrelos. Es lo ms seguro.

En general, no conviene enviar respuesta a la direccin que figura
para evitar envos posteriores.
Configure filtros o reglas de mensaje en el programa de correo para
filtrar mensajes de determinadas direcciones.
No configure respuesta automtica para los pedidos de acuse de
recibo.
No responda los pedidos de acuse de recibo de orgenes dudosos.
Otra de las amenazas que frecuentemente se advierten en la recepcin de
correo electrnico, es el fraude para obtener informacin confidencial.
16
17
Generalmente utilizando imgenes y tipografa de una empresa conocida

(Banco, Tarjeta de Crdito, Proveedor de Internet, etc.) llega un mensaje
solicitando datos personales, como el nmero de tarjeta de crdito para
validar al usuario, o usuario y clave de acceso a algn sistema de
informacin.
A esta tcnica se la conoce como Phishing (del ingls fish=pescar) y es
un claro ejemplo de Ingeniera Social, de la cual se habl anteriormente.
Para prevenir ser vctimas del phishing, en caso de recibir pedidos de
informacin confidencial, es recomendable:
Comunicarse telefnicamente con la Empresa que supuestamente nos
contact, para confirmar el pedido. No se debe llamar al telfono que
figura en el mensaje recibido, sino que se debe obtener el nmero de
una fuente confiable (como por ejemplo del resumen de cuenta que
recibe por correo postal).
Nunca enviar por correo informacin confidencial sin cifrar.
Verificar el origen del correo, aunque tenga en cuenta que el mismo
puede estar falsificado.
Verificar el destino de los enlaces, es decir, si realmente corresponden
con el sitio al que dicen dirigir.
PAUSA
Vamos a abordar ahora el tema de Firma Digital. La definicin aqu
incluida es una descripcin funcional, que no busca detallar los aspectos
tcnicos de esta tecnologa. La Firma Digital es un Conjunto de datos
expresados en formato digital, utilizados como mtodo de identificacin
de un firmante y de verificacin de la integridad del contenido de un
documento digital, que cumpla con los siguientes requisitos:
15
18
19
10
haber sido generado exclusivamente por su titular utilizando una clave

que se encuentre bajo su absoluto y exclusivo control
ser susceptible de verificacin
estar vinculado a los datos del documento digital poniendo en
evidencia su alteracin
Para firmar digitalmente el firmante deber generar previamente su par
de claves (una pblica y una privada), relacionadas matemticamente
entre s.
Pgina: 61 de 86
Descripcin
Nmero
Tiempo
sugerido
La clave privada deber quedar siempre bajo su exclusivo control por ser
el elemento que utilizar para producir su firma digital.
La clave pblica, junto a sus datos personales, estar contenida en un
certificado digital emitido por un certificador licenciado de acuerdo a la
normativa vigente, y ser utilizada para verificar su firma digital.
Una firma electrnica carece de algn requisito exigido por la normativa
vigente para las firmas digitales (por ejemplo, que el certificado no fue
emitido por una autoridad certificante licenciada).
Ante la aparicin de nuevas tecnologas, es comn encontrar que mucha
gente desconoce el significado real de ciertos trminos asociados as
como sus verdaderos usos y prestaciones.
20
10
21
15
Para desechar los preconceptos que pudiera haber entre los participantes,
comenzaremos por indicar una serie de mitos sobre la tecnologa de
Firma Digital, tambin llamada de claves pblicas. Luego nos
adentraremos en su definicin, tecnologa y posibles usos.
Con la tecnologa de firma digital se solucionan todos los
problemas de seguridad
Ya vimos a lo largo de las charlas, que los aspectos vinculados con la
seguridad de la informacin son muchos, y que no hay una sola solucin a
aplicar. La tecnologa de Firma Digital proporciona los elementos tcnicos
para garantizar la AUTENTICIDAD e INTEGRIDAD de un
mensaje/documento y evitar el repudio de la informacin firmada.
La tecnologa de Firma Digital es difcil de utilizar
Esto es un mito creado por aquellos que no se interiorizaron del
mecanismo que emplea la firma digital. Una vez instalado el mecanismo,
slo se requiere una simple capacitacin sobre cmo utilizarlo y el usuario
ya estar listo para emplear este mecanismo.
Todava no hay estndares de Firma Digital
Existen estndares aplicables a la tecnologa de firma digital ampliamente
aceptados y utilizados a nivel internacional. A nivel nacional, la Decisin
Administrativa nro. 6/07 establece los estndares tecnolgicos y
operativos para la infraestructura de firma digital de la Repblica
Argentina.
La tecnologa de Firma Digital es slo un tema tcnico
El empleo de la tecnologa de firma digital debe ser una decisin
estratgica dentro del marco del resguardo de la informacin. Los
sistemas o entornos donde implementarla deben escogerse
cuidadosamente, en funcin a la criticidad de la informacin manejada. La
etapa de implementacin de la Firma Digital es la nica que consiste en
un proceso tcnico. Finalmente, el uso de Firma Digital se encuentra
destinado a todos los usuarios, como una mejora a los procesos
cotidianos.
Como vimos al comienzo de estas charlas, el objeto a asegurar es la
informacin. Concretamente, las propiedades de disponibilidad, integridad
y confidencialidad, dentro de las principales. Veamos cmo puede
utilizarse la tecnologa de Firma Digital para contribuir en este sentido.
Identificacin de Usuarios
El uso de certificados digitales proporciona un mecanismo para identificar
a su poseedor, pudiendo dicho mecanismo ser utilizado por aplicaciones,
Pgina: 62 de 86
Descripcin
Nmero
Tiempo
sugerido
ya que slo el propietario de la clave privada correspondiente al

certificado puede firmar un mensaje o documento, con lo cual se verifica
su identidad.
Privacidad de Comunicaciones
Por ejemplo, en el caso de servidores web con certificados de sitio seguro
(generalmente aparece el candado cerrado en el navegador), dado que
cuando el cliente se conecta, el navegador presenta el certificado digital
del sitio web con el cual se cifrar la comunicacin con el usuario.
Privacidad de Datos
As como los certificados digitales son utilizados como parte del proceso
de firma tambin pueden ser utilizados para cifrar informacin, para lo
cual se debe disponer del certificado digital del destinatario. Como
consecuencia de este ltimo caso, es posible guardar o enviar datos
sensibles por cualquier medio, con la garanta de que stos sern
ilegibles por cualquier tercero ajeno a la comunicacin.
Integridad de los Datos
La Firma Digital es una herramienta que permite garantizar la integridad
del documento firmado, ya que si es alterado luego de haber sido
firmado, dicha firma no podr verificarse, evidenciando que se ha
producido algn cambio.
Repudio en trminos legales
En nuestro pas existe un marco legal vigente, a partir de la Ley 25.506 y
sus normas complementarias, que permite atribuir a una firma digital, los
mismos efectos que tiene una firma manuscrita, siempre que se sigan los
procedimientos establecidos a tal efecto. De esta manera, se presume que
un documento electrnico firmado digitalmente, pertenece al titular del
certificado digital que se utiliz en el proceso de firma y que su contenido
no ha sido alterado desde el momento en que fue firmado.
Por otra parte, y para no malinterpretar los alcances de esta herramienta,
comentaremos brevemente qu cosas no resuelve la utilizacin de Firma
Digital.
Resguardo de la Informacin
Si bien se puede asegurar la autora e integridad (con la firma) y la
confidencialidad (con el cifrado) de la informacin, esta condicin no es
suficiente para garantizar su disponibilidad, exactitud y usabilidad.
Autorizacin de Usuarios
Como mencionamos anteriormente, la tecnologa puede ser utilizada para
identificar y autenticar a un usuario, pero no basta por s sola para
autorizar accesos a recursos. En este caso, se debern arbitrar otras
condiciones adicionales para la autorizacin.
Disponibilidad de la Informacin
Dado que la disponibilidad tiene que ver con la garanta del acceso a los
usuarios autorizados a la informacin de que se trate y sta depende de
un conjunto amplio de factores, no podemos afirmar que esta tecnologa
por s misma brinde alguna facilidad para asegurar la disponibilidad de la
informacin.
El uso de esta herramienta, aporta muchos beneficios pero requiere tener
en cuenta las siguientes consideraciones:
22
El titular del certificado es responsable del secreto de su clave

privada
Pgina: 63 de 86
Descripcin
Nmero
Tiempo
sugerido
Aludimos a esta responsabilidad no slo en el aspecto de privacidad y

confidencialidad que debe respetarse (ya que esto es vlido para
cualquier clave de acceso de que disponga el usuario) sino con relacin al
tipo de procedimiento asociado a la solicitud de Certificados Digitales, ya
que no hay intervencin del rea de Sistemas en la generacin de claves
privadas. Posibilitar el acceso de terceros a las claves privadas permitira
que stos firmen a nombre del titular o accedan a informacin destinada
slo a l.
El rea de Sistemas no puede solucionar la prdida o el
compromiso de la clave
En caso de prdida de la clave de proteccin, o de la clave privada, o de
suponer que est comprometida su confidencialidad, el rea de Sistemas
no puede modificar los datos del Certificado Digital. Por lo tanto se deber
revocar el Certificado y tramitar uno nuevo. Tampoco puede habilitar o
cambiar contraseas definidas por el usuario para proteger su clave
privada.
Hasta ahora hemos tratado temas vinculados a la tecnologa de Firma
Digital o de claves pblicas, y cules son los beneficios para usuarios y
tcnicos, tanto como sus respectivas responsabilidades.
23
24
Pero una firma digital no es un tema exclusivamente tecnolgico.

Para su implementacin es necesaria la existencia de una Infraestructura
de Firma Digital compuesta por un conjunto de elementos, a saber:
Equipamiento (Hardware)
Aplicaciones (Software)
Canales de comunicacin
Polticas y Procedimientos
Recursos Humanos entrenados
etc.
Estos elementos se conjugan para brindar un marco de seguridad para los
documentos electrnicos que permitan:
Crear
Administrar
Almacenar
Distribuir
Revocar
Certificados Digitales de Clave Pblica, que son la herramienta necesaria
para firmar documentos digitales o electrnicos.
Veamos entonces algunos ejemplos de documentos digitales sobre los que
se puede aplicar una Firma Digital.
Un mensaje de correo electrnico
Datos ingresados mediante un formulario Web
Los valores insertados en una BD
Pgina: 64 de 86
Descripcin
Nmero
Tiempo
sugerido
Una transaccin bancaria

Una imagen (scan) de un documento en papel
Una grabacin digital de audio o video
Un archivo cualquiera de la PC
El contenido de un CD-ROM, etc.
La mayora de los navegadores y sistemas de administracin de correo
electrnico permiten firmar y cifrar documentos y mensajes de correo
electrnico.
25
26 a 27
28
29
Puede obtener ms informacin en http://www.pki.gov.ar, donde tambin

puede solicitar participar del Laboratorio de Firma Digital, en el cual se
explica ms exhaustivamente el funcionamiento de la tecnologa de firma
digital y su uso cotidiano.
Para obtener un certificado de firma digital se puede acceder al sitio
http://ca.sgp.gov.ar y mediante un trmite guiado y sencillo se obtendr
un certificado digital.
Ese certificado emitido segn la poltica establecida por la autoridad que
lo emiti, solo valida la direccin de correo electrnico del solicitante.
Esto permitir utilizar la tecnologa y enviar mensajes de correo
electrnicos firmados y/o cifrados (si se dispone del certificado del
destinatario) asegurando que el emisor (o mejor dicho su casilla de
correo) es de quien dice ser.
Si en cambio se desea obtener un certificado digital personal, se deber
iniciar el trmite en el sitio http://ca.pki.gov.ar y continuarlo
personalmente en las oficinas del Proyecto de Firma Digital de la Oficina
Nacional de Tecnologas de Informacin (ONTI) de la Subsecretara de la
Gestin Pblica o bien en las Autoridades de Registro creadas en algunos
organismos, que estn listados en el sitio http://ca.pki.gov.ar.
Recordamos la definicin que ya vimos de Incidente.
Nota: Para el desarrollo de esta diapositiva se recomienda seguir los
lineamientos establecidos en la poltica de seguridad de la informacin del
organismo, y/o en los procedimientos asociados. En caso de no existir, se
pueden utilizar los siguientes conceptos:
Es necesario que los usuarios identifiquen y avisen de los incidentes que
perciban. Incluso en aquellos casos en que no estuvieran seguros de que
se trate de un incidente. Para ello se deben utilizar los canales de
comunicacin establecidos dentro del organismo.
La seguridad de un sistema de informacin, es tan dbil como el ms
dbil de los eslabones que conforman la cadena de todos los procesos y
recursos involucrados.
Es por eso que todos debemos estar alertas y colaborar para evitar que se
produzcan y/o propaguen los incidentes.
Reportar los incidentes es mucho ms importante de lo que Ud. imagina.
Se debe recalcar el tema de que todos somos necesarios, que se puede
aprender de los incidentes y as evitar a futuro prdidas mayores (menor
tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten
Pgina: 65 de 86
Descripcin
Nmero
Tiempo
sugerido
los incidentes.
Se deben reportar siguiendo el procedimiento que tenga establecido el
organismo (averiguar previamente cual es dicho procedimiento) y a los
canales definidos en el mismo. Adicionalmente, o si el organismo no tiene
un procedimiento para reportar incidentes, puede entonces reportar el
mismo al ArCERT, previo contacto con el responsable de seguridad o los
administradores de la red.
Para ms informacin sobre cmo reportar incidentes, consulte en
www.arcert.gov.ar
Para poder informar de un incidente, es necesario que se registre y
transmita la mayor cantidad de detalles que se puedan observar, para lo
cual se debern anotar los mensajes que pudieran aparecer en la pantalla,
la hora de ocurrencia del evento, etc.
30
31
Por otra parte, se debern llevar a cabo las medidas establecidas para una
primera atencin del incidente.
Por ltimo, se deber dar aviso a quien corresponda, en funcin a los
procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable
del Activo, Autoridad inmediata superior, etc.
Los usuarios NO deben efectuar ninguna accin fuera de los
procedimientos establecidos, an aunque supongan que se trata de
acciones correctas, a favor de la solucin del incidente, como ser:
manipular el software que suponen est originando o est siendo
vctima del incidente
efectuar pruebas para verificar la existencia de una vulnerabilidad
tratar de solucionar por su cuenta el problema.
Cierre y evaluacin de la actividad

Realice la siguiente actividad de integracin y evaluacin. Se trata de una actividad grupal:
Realice una sola de las siguientes actividades:
Tiempo
Sugerido
15
Forme grupos de 4 5 personas y solicteles que elaboren una lista de distintos

incidentes de seguridad que se hayan registrado en sus lugares de trabajo y cules
fueron las acciones que se realizaron para mitigarlos.
Forme grupos de 4 5 personas y solicteles que elaboren una lista para su grupo de
trabajo donde se mencionen las medidas preventivas en el manejo del correo
electrnico.
Puesta en comn. Solicite a los grupos que expongan sus listados. Realice un
resumen en la pizarra para analizar coincidencias y diferencias.
10
Luego solicite a los grupos que respondan la encuesta sobre sus impresiones
generales de sta capacitacin.
10
Pgina: 66 de 86
http://www.arcert.gov.ar, sitio de ArCERT (Coordinacin de Emergencias en Redes
Teleinformticas) Subsecretara de Gestin Pblica.
http://www.pki.gov.ar, sitio de Firma Digital de la Repblica Argentina, Subsecretara de la
Gestin Pblica.
Ley N 25.506, Firma Digital, 11/12/2001.
Decreto N 2628/02, Reglamentacin de la Ley N 25.506 de Firma Digital, 19/12/2002.
Decreto N 724/06, Modificacin de la reglamentacin de la Ley N 25.506 de Firma Digital,
08/06/2006
Pgina: 67 de 86
PROGRAMA REDUCIDO
REUNIN NICA FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIN
Contenidos
Confidencialidad
Integridad
Disponibilidad
Normas vigentes
Ingeniera Social
Cdigo Malicioso
Desarrollo
Desarrolle la siguiente EXPOSICION ( Utilice el Archivo curso-reducido.ppt )
Descripcin
nmero
Tiempo
Estas diapositivas corresponden a la cartula y al ndice de la Reunin.

Recorra rpidamente los temas a tratar durante el curso.
1y2
2'
La informacin es un activo valioso de la Organizacin, dado que de ella

dependen sus actividades y bsicamente su subsistencia. Es por ello que,
como el resto de los activos, la informacin debe resguardarse.
En particular, para los organismos pblicos, se deber tener en cuenta

tambin, que existen polticas y lineamientos gubernamentales tendientes
a poner cada vez ms informacin a disposicin del ciudadano. Estas
acciones se enmarcan en lo que se conoce como Gobierno Electrnico.
Este proceso, que produce una mejora en los servicios y en la gestin del
Estado, trae aparejado un aumento del riesgo de seguridad de la
informacin que manejan los organismos pblicos, por lo que se torna
indispensable que se adopten las medidas adecuadas para su tratamiento
y resguardo.
Entendiendo que la informacin debe preservarse, deberemos entender
con respecto a qu es preciso resguardarla. Esto es, conocer las
amenazas que atentan contra la seguridad de la informacin. Podemos
Pgina: 68 de 86
Descripcin
nmero
Tiempo
encontrar amenazas de origen natural o humano, deliberadas o fortuitas,

etc.
Estas amenazas existen a partir de vulnerabilidades y pueden generar
graves consecuencias para la organizacin.
Se entiende por vulnerabilidad como una debilidad en un activo.

Ya mencionamos que tanto la informacin, como los programas y recursos
informticos como el equipamiento, los insumos, etc., se consideran
activos de una organizacin, por lo que su prdida puede traer
consecuencias graves.
Por otra parte, una amenaza es una violacin potencial de la seguridad.
No es necesario que la violacin ocurra para que la amenaza exista. Las
amenazas surgen a partir de la existencia de vulnerabilidades.
En el siguiente cuadro se expone una forma de clasificar las amenazas
existentes.
En este cuadro vemos que las amenazas pueden tener un origen natural o
humano. Dentro de las amenazas provocadas por el hombre,
encontramos que estas pueden ser maliciosas (deliberadas) por un lado y
no maliciosas (no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusin (ingresar sin autorizacin a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algn incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de informacin, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por ltimo mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque tambin hay
que tener en cuenta el corte de servicios (energa elctrica, conectividad,
etc.).
Cuando hablamos de preservar la informacin, nos referimos a algunas de
sus cualidades. Entre stas, podemos citar principalmente:
CONFIDENCIALIDAD: Se garantiza que la informacin se encuentre
accesible slo a aquellas personas autorizadas.
Pensemos qu podra ocurrir si en la dependencia donde trabajamos,
alguien accediera a la informacin personal que se tiene de los
ciudadanos o de los empleados del organismo (por ejemplo, ingresos
anuales, deudas impositivas, domicilio, historia clnica), sin la debida
autorizacin.
INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la
informacin y de los mtodos de procesamiento y transmisin.
Qu ocurrira si se alteran los datos contenidos en nuestras PC, o se
cambiara su configuracin, sin la debida directiva o autorizacin.
Seguramente en muchos casos, esto tendra graves consecuencias para
nosotros, para el organismo y/o para terceros.
DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen
acceso a la informacin y a los recursos relacionados, toda vez que lo
Pgina: 69 de 86
Descripcin
nmero
Tiempo
requieran
Supongamos que un organismo publica informacin importante en su sitio
web, como por ejemplo vencimientos de pagos o instrucciones para
realizar un trmite complicado, presentacin en lnea de declaraciones
juradas, y alguien impide que se pueda acceder a dicho sitio.
Las organizaciones deben gestionar los riesgos a que se encuentran
expuestas, realizando las tareas necesarias para garantizar los niveles de
seguridad considerados aceptables en su mbito. La seguridad de sus
sistemas de informacin debe ser entendida como un proceso y basarse
en un documento denominado Poltica de Seguridad de la Informacin
(PSI).
10 a
12
10
Una PSI constituye un marco general que define las pautas que deben
cumplirse para preservar la seguridad de la informacin de una
organizacin.
Esto les permite planificar las actividades a realizar, planteando el
escenario completo de los aspectos a custodiar.
Una Poltica consiste entonces en una serie de condiciones para garantizar
la seguridad de la informacin. Luego se deber profundizar el nivel de
detalle en normas y procedimientos que indiquen cmo implementar
dichas disposiciones.
Asimismo, y como la seguridad de la informacin debe ser considerada un
proceso, debe contemplarse la realizacin de revisiones peridicas de la
Poltica, garantizando su adaptacin a la realidad y a los cambios
tecnolgicos.
Por ltimo, se debe asegurar el cumplimiento de toda la normativa
vigente.
Actualmente en nuestro pas, as como en el resto del mundo, existen
normas que regulan el uso de los recursos informticos y de la
informacin.
13

La Decisin Administrativa N 669 de diciembre de 2004 establece para
los organismos de la Administracin Pblica Nacional la obligatoriedad de
redactar, aprobar e implementar una Poltica de Seguridad de la
Informacin que se maneja en su mbito, de designar un responsable de
seguridad y de convocar un Comit conformado por Directores de reas
sustantivas, para el tratamiento de los temas vinculados a la seguridad de
la informacin.
La poltica de seguridad de la informacin de cada organismo debe
basarse en el modelo aprobado por la ONTI mediante la Disposicin N
06/2005. Su implementacin se lleva a cabo mediante procedimientos
formalizados, referidos al tratamiento de la informacin, su
confidencialidad, etc.
Un aspecto importante a tener en cuenta es la clasificacin de la
informacin y el inventario de los recursos de informacin. Conocer los
recursos con los que se cuenta y el tipo de informacin que se maneja y
establecer su criticidad permite identificar los riesgos y, en base a ello,
Pgina: 70 de 86
Descripcin
nmero
Tiempo
establecer las medidas que se adoptarn para su proteccin.

(Se recomienda en esta seccin realizar una referencia a las
polticas y procedimientos de seguridad aprobados en el
organismo)
Existen adems otras normas vigentes en nuestro pas que regulan
aspectos vinculados con el uso de la informacin y de los recursos
informticos.
14
15
16
10
Respecto al uso de la informacin en el Estado, la Ley 25.164 establece

deberes para todos los funcionarios pblicos, es decir, para todas
aquellas
personas
que
prestan
servicios
para
el
Estado
independientemente del estado de revista. Entre estos deberes se
encuentra el de observar el deber de fidelidad que se derive de la ndole
de las tareas que le fueron asignadas y guardar la discrecin
correspondiente o la reserva absoluta, en su caso, de todo asunto del
servicio que as lo requiera.
Respecto al uso de los recursos informticos en la Administracin Pblica,
la ley 25.164 prohbe a los funcionarios pblicos hacer uso indebido o con
fines particulares del patrimonio estatal (computadoras, impresoras,
software, etc.)
Con el mismo alcance y finalidad, la ley 25.188 dispone la obligacin para
todos los funcionarios pblicos de abstenerse a utilizar informacin
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de
intereses privados.
Las normas mencionadas precedentemente alcanzan tambin a la
informacin que se procesa en una computadora, cualquiera sea su
formato o soporte (papel, un disco rgido, un diskette, un archivo adjunto
a un mensaje de correo electrnico, etc.).
Esta ley tambin establece la obligacin de proteger y conservar la
propiedad del Estado y slo emplear dichos recursos con los fines
autorizados.
Dentro del universo de informacin que se genera, procesa y transmite en
el Estado, encontramos un subconjunto compuesto por los datos
personales, es decir, aquellos datos que refieren a una persona.
El derecho a la proteccin de los datos personales adquiri jerarqua
constitucional en la reforma del ao 1994.
Debido a su sensibilidad, estos datos gozan de un rgimen particular, el
que viene a complementar a las leyes mencionadas. As, la ley 25.326 y
sus normas complementarias buscan proteger los datos personales y el
derecho de sus titulares a conocer y en su caso, actualizar, modificar o
suprimir aquellos que sean inexactos.
La ley establece que los datos personales no pueden procesarse sin el
consentimiento expreso del titular, salvo contadas excepciones. Todo
aquel que adquiera, procese o ceda datos personales sin el
consentimiento del titular estar realizando una actividad ilcita susceptible
de ser sancionada. Por lo tanto, queda ms que claro que la cesin de
Pgina: 71 de 86
Descripcin
nmero
Tiempo
datos personales o de bases de datos que los contengan constituye un

delito.
La Direccin Nacional de Proteccin de Datos Personales del Ministerio de
Justicia y Derechos Humanos es la Autoridad de Aplicacin. Todos los
organismos pblicos y las entidades privadas deben registrar sus bases de
datos y cumplir con las medidas de seguridad y confidencialidad
establecidas.
Por otro lado, el software es considerado una obra intelectual que goza de
la proteccin de la Ley 11.723. Esta ley permite que la explotacin de la
propiedad intelectual sobre los programas de computacin se realice
mediante licencias para su uso o reproduccin. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violar
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
17
10
Instalar un programa sin contar con la debida licencia, puede traer

consecuencias legales tanto para el organismo como para quien lo instala.
La ley 25.506 habilita el uso del documento electrnico, la firma
electrnica y la firma digital. Esta ltima, bajo determinadas condiciones,
produce los mismos efectos legales que la firma manuscrita.
18 a
19
20
21
Vamos a introducir ahora el tema de Firma Digital. La definicin aqu

incluida es una descripcin funcional, que no busca detallar los aspectos
tcnicos de esta tecnologa. La Firma Digital es un Conjunto de datos
expresados en formato digital, utilizados como mtodo de identificacin
de un firmante y de verificacin de la integridad del contenido de un
documento digital, que cumpla con los siguientes requisitos:
haber sido generado exclusivamente por su titular utilizando una
clave que se encuentre bajo su absoluto y exclusivo control
ser susceptible de verificacin
estar vinculado a los datos del documento digital poniendo en
evidencia su alteracin
El acceso a los sistemas de informacin normalmente se realiza mediante
la identificacin del usuario que lo requiere. Para ello se solicita el ingreso
de una identificacin de usuario, esto es un nombre o un cdigo que
identifique a la persona que solicita el acceso (Ej.: gomez, aperez, etc.) o
a la funcin que esta cumple (Ej.: administrador, operador, etc.).
El sistema necesita validar al usuario que desea acceder, para lo cual
necesita verificar que ste sea quien dice ser. Para ello, el usuario deber
autenticarse, esto es demostrar que es el usuario que indic en el paso
anterior.
Por ltimo, el sistema controla que el usuario tiene autorizacin para
acceder al recurso que solicit. No todos los usuarios tienen permiso para
acceder a todas las aplicaciones, documentos, etc.
La autenticacin puede realizarse de diversas maneras, entre ellas:
Demostrando algo que se sabe: Tpicamente ingresando una
clave.
Demostrar algo que se tiene: Para lo cual se utilizan dispositivos
externos, tales como tarjetas magnticas, tokens usb, etc.
Pgina: 72 de 86
Descripcin
nmero
Tiempo
Demostrar algo que se es: Mediante el uso de tcnicas

biomtricas. Las tcnicas biomtricas son mtodos automticos para
el reconocimiento nico de personas basados en uno o ms rasgos
conductuales o fsicos intrnsecos. Ej.: anlisis de las huellas digitales,
el reconocimiento de la voz, el anlisis del iris, etc.
Para aumentar la seguridad en el control de acceso se recomienda
combinar dos de estas tres alternativas.
Dado que el uso de la combinacin de usuario y clave es el mtodo
mayormente utilizado (en general porque es el ms econmico), vamos a
conocer las caractersticas que debe reunir una contrasea para que sea
segura:
22
Personal: se debe asignar una contrasea a cada persona que acceda

al sistema.
Secreta: slo el usuario de la contrasea debe conocerla.
Intransferible: la contrasea no puede ser revelada a ningn tercero
para su uso.
Modificable slo por el titular: el cambio de contrasea, sea cual fuere
el motivo, debe ser realizado por el usuario titular de la misma y slo
en casos excepcionales por el administrador, por ejemplo, cuando el
usuario olvida su contrasea (en este caso, el usuario debe cambiarla
inmediatamente despus de acceder a su cuenta).
Difcil de averiguar: Al momento de elegir su nueva contrasea, el
usuario debe seguir ciertos lineamientos que impidan la averiguacin
de la misma por parte de terceros. Ms adelante se vern algunos de
estos lineamientos.
Se exponen a continuacin, algunas de las tcnicas utilizadas para formar
una clave robusta, que conjugan cierta dificultad para averiguarla con
caractersticas que permiten que los usuarios la puedan recordar
fcilmente.
23 a
24
10
No utilice palabras comunes ni nombres de fcil deduccin por

terceros (nombre de mascota, nombre de equipo de ftbol favorito),
ya que estas claves podran ser obtenidas fcilmente mediante el uso
de tcnicas automticas que prueben acceder a la cuenta del usuario
con palabras extradas de diccionarios de palabras comunes.
No las vincule a una caracterstica personal, (telfono, D.N.I., patente
del automvil, etc.).
No utilice terminologa tcnica conocida (admin).

Combine caracteres alfabticos, maysculas y minsculas, nmeros,
caracteres especiales como espacio, guin, smbolo $, etc.
Constryalas utilizando al menos 8 caracteres.
Use claves distintas para mquinas diferentes y/o sistemas diferentes.
Use un acrnimo de algo fcil de recordar
Ej.: NorCarTren (Norma , Carlos, Tren).
Aada un nmero al acrnimo para mayor seguridad: NorCarTren09
(Norma, Carlos, Tren, Edad del hijo).
Mejor an, si la frase origen no es conocida por otros: Verano del 42:
Pgina: 73 de 86
Descripcin
nmero
Tiempo
Verdel4ydos.
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio).
Realice reemplazos de letras por signos o nmeros. (3duard0palmit0).
Elija una clave que no pueda olvidar, para evitar escribirla en alguna
parte. (arGentina6-0).
Se deben establecer normas para el uso adecuado de las contraseas, de
forma de prevenir que stas sean vulneradas y utilizadas por intrusos para
acceder a los sistemas de forma no autorizada.
25 a
26
10
Cuide que no lo vean cuando tipea su clave.

No observe a otros mientras lo hacen.
No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
No comparta su clave con otros.
No pida la clave de otro.
No habilite la opcin de recordar claves en los programas que
utilice.
Si por algn motivo tuvo que escribir la clave, no la deje al alcance de
terceros (debajo del teclado, en un cajn del escritorio) y NUNCA
pegada al monitor.
NUNCA enve su clave por correo electrnico ni la mencione en una
conversacin, ni se la entregue a nadie, aunque sea o diga ser el
administrador del sistema.
No
mantenga
una
contrasea
indefinidamente.
Cmbiela
regularmente, aunque las polticas de Administracin de Claves no lo
obliguen.
PAUSA
La informacin sensible no slo es manejada en los sistemas informticos,
sino que tambin se encuentra dispersa en otros medios, como ser
papeles, archivos fsicos, etc. Es por ello que se deben establecer medidas
de seguridad para la informacin fuera de los sistemas informticos.
10
27 a
29
10
Plantee el tema de Escritorio Limpio indicando el por qu de dicha

prctica y dando consejos para cumplirla.
Durante el da se debe realizar una serie de tareas que se encuentran
enunciadas en la diapositiva nmero 27. Se debe tener cuidado con la
documentacin impresa, segn lo indicado en la diapositiva nmero 28.
Por ltimo, se debe tomar una serie de recaudos al abandonar la oficina al
finalizar el da, siguiendo las recomendaciones de la diapositiva nmero
29.
El concepto de Pantalla Blanca apunta a no exponer en la pantalla
informacin que pueda ser utilizada por personas no autorizadas.
30
Sugerencia para el expositor: Plantee una situacin en la cual dejar la

pantalla desatendida podra ser una amenaza a la seguridad de la
informacin del usuario y del Organismo. Ej.: que un tercero opere la
Terminal de forma no autorizada.
Indague sobre el sistema operativo utilizado en su Organismo, o el que
Pgina: 74 de 86
Descripcin
nmero
Tiempo
mayoritariamente utilizan los usuarios si es que hay ms de uno, e indique

cul es el mecanismo para proteger una terminal desatendida, con dicho
sistema.
Introducimos ahora el concepto de Ingeniera Social. Se trata de un
conjunto de tcnicas de engao que se aplican sobre las personas para
obtener de ellas informacin de inters para el atacante, o para lograr que
efecten alguna accin deseada por ste.
31
32
33
10
Generalmente estamos acostumbrados a asociar la seguridad de un

sistema con las herramientas informticas que aplican seguridad, o bien
con controles fsicos. Pero olvidamos que los seres humanos se
encuentran directamente relacionados con los sistemas de informacin,
constituyendo un factor alto de riesgo que tambin debe ser mitigado.
Precisamente la Ingeniera Social explora el factor ms vulnerable de todo
sistema: el ser humano.
Para evitar que la Ingeniera Social sea utilizada para atacar los sistemas
de informacin, se debe primeramente informar a las potenciales vctimas
sobre este tipo de tcnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
Aqu se exponen algunas consideraciones a tener en cuenta, a fin de
mitigar los intentos de Ingeniera Social.
De ms est decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de tcnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habr cosas nuevas,
etc.)
El Cdigo Malicioso o Programa malicioso es un programa de
computadora escrito para producir inconvenientes, destruccin, o violar la
poltica de seguridad.
Existen distintos tipos:
Los virus, que generalmente requieren alguna interaccin por parte
del usuario (por ejemplo, abrir un archivo adjunto que recibe por
correo electrnico).
Los Caballos de Troya o Troyanos, que son programas que tienen una
funcionalidad conocida (por ejemplo, un juego) pero adems tienen
una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario
y mandarlas en un mensaje de correo electrnico al atacante)
Los Gusanos, que se reproducen sin necesidad de interaccin de los
usuarios, por ejemplo atacando servicios de red vulnerables (por
ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas
de Windows, siempre y cuando a la mquina no se le haya instalado
la actualizacin que corrige la vulnerabilidad)
Tambin existen otros tipos, como el spyware que suele recopilar
informacin sobre una persona, para poder mostrarle publicidad dirigida.
Para disminuir las amenazas que presenta el cdigo malicioso, se suele
utilizar programas antivirus. Sin embargo, es importante resaltar que
dichos programas no son siempre efectivos, ya que suelen detectar el
cdigo malicioso en base a patrones conocidos, es decir que no detectan
automticamente nuevos programas maliciosos creados por los atacantes.
Por eso, se debe mantener el antivirus actualizado, pero igual no se debe
Pgina: 75 de 86
Descripcin
nmero
Tiempo
confiar en que el mismo va a detectar todo el cdigo malicioso que

recibamos.
Resalte el concepto de que algo que diga ser una foto o video, puede en
realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un
mensaje de correo electrnico que incluya una supuesta foto de nuestro
dolo favorito, pero en realidad el archivo adjunto es un programa que
puede causar un dao.
Para dejar clara la importancia de prevenirse contra el cdigo malicioso,
se dan ejemplos de algunas de las cosas que suelen hacer los cdigos
maliciosos una vez que se encuentran activos en la mquina victima:
34
35
36
10
Borrar archivos del disco rgido para que la computadora se vuelva

inoperable.
Infectar una computadora y usarla para atacar a otras.
Obtener informacin sobre el usuario, los sitios web que visita, sus
hbitos en la computadora.
Capturar las conversaciones activando el micrfono (o viendo al
usuario, con la activacin de la webcam).
Ejecutar comandos en la computadora, como si lo hubiera hecho el
usuario.
Robar archivos del equipo, por ejemplo aquellos con informacin personal,
financiera, nmeros de serie (licencia) de programas instalados, etc.
Veremos ahora algunas medidas que se deben tener en cuenta para
navegar en Internet de forma segura.
A veces un link (enlace) puede ser engaoso y llevar al usuario a acceder
a una pgina diferente a la que aparentemente lo lleva (en funcin al
texto del enlace). Para evitar caer en esta trampa se debe:
a) Verificar el destino de los enlaces con la opcin Propiedades
(normalmente utilizando el botn derecho del Mouse) para corroborar
que sea el mismo que se menciona en el texto del enlace (esto se
puede mostrar directamente con un navegador).
b) No acceder directamente al enlace haciendo clic sobre el mismo, sino
que se aconseja copiar el texto del enlace y pegarlo en la barra de
direccin del navegador.
Algunas otras medidas para evitar ataques durante la navegacin son:
1. Evitar acceder a sitios desconocidos o no confiables, ya que los
mismos pueden contener contenido malicioso que permita descargar y
ejecutar programas maliciosos en su estacin de trabajo.
2. Asegurarse de que el navegador no acepte la instalacin de software
descargado de Internet en forma automtica.
3. No descargar de Internet archivos ejecutables.
4. No introducir informacin sensible en sitios o foros.
5. Si se necesita introducir informacin sensible en un sitio web,
asegurarse de que la pgina es segura (https) y verificar que el
certificado que presenta la misma es vlido:
Correspondencia entre el nombre de dominio del certificado y el
Pgina: 76 de 86
Descripcin
nmero
Tiempo
nombre del sitio web al que se accede.

Vigencia.
Autoridad Certificante confiable.
6. El administrador de la red muchas veces conoce valores de
configuracin que hacen que la navegacin por Internet sea ms
segura.
Vamos a referirnos a las amenazas existentes en el manejo del correo
electrnico.
37
38
10
39
El correo electrnico es un medio de comunicacin muy til, pero tambin

es un medio por el cual podemos recibir mensajes no solicitados (spam),
engaos (hoaxs) y otros tipos de amenazas.
Por ejemplo, los mensajes de correo electrnico pueden ser falsificados
fcilmente. Tenga en cuenta que un atacante podra generar mensajes
que parezcan ser originados por algn tercero en el cual Ud. confa.
Adems, se debe tener especial cuidado con los archivos adjuntos y los
enlaces a pginas web, ya que pueden incluir cdigo malicioso.
Los correos electrnicos son un medio ampliamente utilizado para la
propagacin de virus y troyanos mediante archivos adjuntos. Es por ello
que deben tenerse en cuenta ciertas medidas de seguridad para
manipular archivos adjuntos, especialmente cuando no son archivos que
se esperan y no estn directamente relacionados con cuestiones
laborales. Las buenas prcticas incluyen:
No abrir archivos adjuntos de origen desconocido o que no estn
relacionados con nuestras tareas en el organismo.
No abrir archivos adjuntos que no esperamos recibir, aunque nos
parezca que su origen es conocido.
No abrir adjuntos que tengan extensiones ejecutables.
No abrir adjuntos que tengan ms de una extensin.
Chequear con el remitente, en caso de dudas, la razn por la cual nos
envi un archivo adjunto.
Una de las operaciones ms frecuentes es el reenvo de mensajes. Esta
operacin involucra la utilizacin de un mensaje recibido como base para
el envo de uno nuevo a otros destinatarios.
Generalmente, por omisin, el cliente de correo electrnico (Outlook,
Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta
razn, el nuevo destinatario recibir informacin acerca del autor y los
destinatarios originales, sin poder estos controlar el destino del mensaje
enviado, que a su vez suele ser reenviado sucesivamente.
Esto no slo presenta una amenaza a la confidencialidad de la informacin
contenida en el mensaje, sino que adems facilita la propagacin de virus
(ya que al reenviar un mail conteniendo un virus el mismo ser recibido
por otros usuarios) y promueve el envo de correo no solicitado (en caso
de reenvos masivos).
Cuando sea necesario reenviar un mensaje, elimine los datos del emisor
original (si corresponde, a menos que necesite hacer mencin explcita y
textual del mensaje original, por ejemplo en el seguimiento de un tema en
Pgina: 77 de 86
Descripcin
nmero
Tiempo
un ambiente colaborativo), o copie el contenido en uno nuevo.

Si enva un mensaje a ms de una persona, agregue las direcciones como
CCO o copia oculta, para evitar que cada receptor vea las direcciones de
correo del resto de los destinatarios.
Una de las tcnicas conocidas para fomentar los reenvos de mensajes,
obtener direcciones de correo y armar bases de datos con las mismas, es
la conocida cadena de correos electrnicos.
40
41
Los engaos o Hoax son mensajes fraudulentos conteniendo

informacin inexacta o falsa, que inducen al receptor a reenviar el
mensaje, a fin de difundir su contenido o a realizar acciones que muy
probablemente le ocasionaran problemas (Ej.: borre el archivo XXX, el
usuario lo hace y su mquina deja de funcionar! ).
42
Aqu presentamos algunas caractersticas comunes de los engaos

(Hoax), que deben ser tenidas en cuenta cada vez que se reciben este
tipo de mensajes.
43
44
En estas cadenas, se apela a la solidaridad del receptor, solicitando el

reenvo con fines benficos, o se advierte sobre ciertas cuestiones,
pidiendo que se retransmita dicha alerta.
Las colecciones de direcciones de correo electrnico incluidas en los
mensajes, suelen ser utilizadas para formar parte de bases de datos que
luego son empleadas para enviar informacin no solicitada (Spam) o
pueden ser capturadas por virus informticos, como fuente de direcciones
vlidas a las cuales reenviarse.
Debemos pensar acerca de cambiar nuestro hbito de reenviar
compulsivamente los mensajes recibidos.
Este comportamiento habitual tiende a desarrollarse, dado que es comn
pensar que reenviar un mensaje no tiene costo alguno (en comparacin
con una llamada telefnica o un envo postal). Sin embargo debemos
pensar que estamos comprometiendo datos de terceros, tiempo propio y
de los destinatarios y recursos de la organizacin.
Debemos pensar que difcilmente se pueda hacer una campaa de junta

de firmas o recaudacin de donaciones por esta va.
Si el receptor est interesado en colaborar, o se hace eco del mensaje, se
le recomienda que se dirija a la pgina oficial de la organizacin que est
mencionada. Un mensaje que no es Hoax, invita a una pgina oficial,
donde se pueden constatar cantidad de visitas o donde se puede dejar un
mensaje de adhesin.
Pero nunca se debe creer en supuestos beneficios que se otorguen por
el mero reenvo de un mail y generalmente, si es un hecho verdico, se
utilizan otros medios de difusin, como por ejemplo, la prensa.
Tambin se debe evitar visitar el enlace que est incluido en el mensaje
ya que generalmente, es mediante ese mecanismo que se produce el
engao.
Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente
desconocida, brindndonos informacin que no solicitamos. Estos
mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas
veces contienen informacin falsa o engaosa. Algunas de las tcnicas
que utilizan los spammers (es decir, aquellos que envan mensajes no
Pgina: 78 de 86
Descripcin
nmero
Tiempo
solicitados por motus propia o para terceros) para obtener direcciones

vlidas de correo electrnico, incluyen:
Bsqueda de direcciones en pginas web y foros.
Captura de direcciones en cadenas de correo.
Listado de suscriptores a Listas de correo.
Compra de bases de datos de direcciones de correo.
Acceso no autorizado en servidores de correo.
Es conveniente tener en cuenta algunas reglas de comportamiento con
respecto a estos envos de mensajes no solicitado:
45
10
46
47
48
No deje su direccin de correo electrnico en cualquier formulario o

foro de Internet.
No responda los correos no solicitados. Brrelos. Es lo ms seguro.
En general, no conviene enviar respuesta a la direccin que figura
para evitar envos posteriores.
Configure filtros o reglas de mensaje en el programa de correo para
filtrar mensajes de determinadas direcciones.
No configure respuesta automtica para los pedidos de acuse de
recibo.
No responda los pedidos de acuse de recibo de orgenes dudosos.
Otra de las amenazas que frecuentemente se advierten en la recepcin de
correo electrnico, es el fraude para obtener informacin confidencial.
Generalmente utilizando imgenes y tipografa de una empresa conocida
(Banco, Tarjeta de Crdito, Proveedor de Internet, etc.) llega un mensaje
solicitando datos personales, como tarjeta de crdito para validar al
usuario, o usuario y clave de acceso a algn sistema de informacin.
A esta tcnica se la conoce como Phishing (del ingls fish=pescar) y es
un claro ejemplo de Ingeniera Social, de la cual se habl anteriormente.
Para prevenir ser vctimas del phishing, en caso de recibir pedidos de
informacin confidencial, es recomendable:
Comunicarse telefnicamente con la Empresa que supuestamente nos
contact, para confirmar el pedido. No se debe llamar al telfono que
figura en el mensaje recibido, sino que se debe obtener el nmero de
una fuente confiable (como por ejemplo del resumen de cuenta que
recibe por correo postal).
Nunca enviar por correo informacin confidencial sin cifrar.
Verificar el origen del correo, aunque tenga en cuenta que el mismo
puede estar falsificado.
Verificar el destino de los enlaces, es decir, si realmente corresponden
con el sitio al que dicen dirigir.
INCIDENTE: Un incidente de seguridad, es un evento adverso que puede
afectar a un sistema o red de computadoras.
Puede ser causado por una falla en algn mecanismo de seguridad,
un intento o amenaza (concretada o no) de romper mecanismos de
Pgina: 79 de 86
Descripcin
nmero
Tiempo
seguridad, etc.
Ntese que se indica que un intento de romper un mecanismo de
seguridad tambin es considerado un incidente, ya que muchas veces los
intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen
revisar su confiabilidad.
Nota: Para el desarrollo de esta diapositiva se recomienda seguir los
lineamientos establecidos en la poltica de seguridad de la informacin del
organismo, y/o en los procedimientos asociados. En caso de no existir, se
pueden utilizar los siguientes conceptos:
49
50
51
52
Es necesario que los usuarios identifiquen y avisen de los incidentes que

perciban. Incluso en aquellos casos en que no estuvieran seguros de que
se trate de un incidente. Para ello se deben utilizar los canales de
comunicacin establecidos dentro del organismo.
La seguridad de un sistema de informacin, es tan dbil como el ms
dbil de los eslabones que conforman la cadena de todos los procesos y
recursos involucrados.
Es por eso que todos debemos estar alertas y colaborar para evitar que se
produzcan y/o propaguen los incidentes.
Reportar los incidentes es mucho ms importante de lo que Ud. imagina.
Se debe recalcar el tema de que todos somos necesarios, que se puede
aprender de los incidentes y as evitar a futuro prdidas mayores (menor
tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten
los incidentes.
Se deben reportar siguiendo el procedimiento que tenga establecido el
organismo (averiguar previamente cual es dicho procedimiento) y a los
canales definidos en el mismo. Adicionalmente, o si el organismo no tiene
un procedimiento para reportar incidentes, puede entonces reportar el
mismo al ArCERT, previo contacto con el responsable de seguridad o los
administradores de la red.
Para ms informacin sobre cmo reportar incidentes, consulte en
www.arcert.gov.ar
Para poder informar de un incidente, es necesario que se registre y
transmita la mayor cantidad de detalles que se puedan observar, para lo
cual se debern anotar los mensajes que pudieran aparecer en la pantalla,
la hora de ocurrencia del evento, etc.
Por otra parte, se debern llevar a cabo las medidas establecidas para una
primera atencin del incidente.
Por ltimo, se deber dar aviso a quien corresponda, en funcin a los
procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable
del Activo, Autoridad inmediata superior, etc.
Los usuarios NO deben efectuar ninguna accin fuera de los
procedimientos establecidos, an aunque supongan que se trata de
acciones correctas, a favor de la solucin del incidente, como ser:
manipular el software que suponen est originando o est siendo
vctima del incidente.
efectuar pruebas para verificar la existencia de una vulnerabilidad.
Pgina: 80 de 86
Descripcin
nmero
Tiempo
tratar de solucionar por su cuenta el problema.
Cierre
Realice la siguiente actividad de evaluacin.
Solicite a los grupos que respondan la encuesta sobre sus impresiones generales de
esta capacitacin.
Tiempo
Sugerido
15
http://www.arcert.gov.ar, Coordinacin de Emergencias en Redes Teleinformticas,
http://www.pki.gov.ar/, sitio de Firma Digital de la Repblica Argentina, Subsecretara de la
Gestin Pblica, 2006.
Decreto N 724/06, Modificacin de la reglamentacin de la Ley N 25.506 de Firma Digital,
08/06/2006
Pgina: 81 de 86
PARTE D PRESENTACIN DE DISEOS DE

CAPACITACIN
A continuacin encontrar un documento que le ayudar a completar el instrumento
COMPONENTES PARA LA PRESENTACIN DE DISEOS DE CAPACITACIN
CMO COMPLETAR EL INSTRUMENTO COMPONENTES

PARA LA PRESENTACIN DE DISEOS DE CAPACITACIN
Usted ha ledo el Manual del Instructor en Seguridad de la Informacin y ha recibido los
materiales que le permitirn disear e implementar una actividad extendida o una actividad
breve de capacitacin para personal del organismo en el que usted trabaja.
En el material que le entregamos, figura el diseo global de la actividad de capacitacin; ahora,
usted debe ajustar ese diseo a las especificidades del organismo en que se desempear
como instructor. Recuerde que:
Planificar una accin formativa facilita su implementacin, ahorra tiempos, previene
inconvenientes y permite tomar decisiones justificadas.
Usted puede usar el diseo bsico que figura en los materiales pero ajustndolo a:
los requerimientos de la organizacin (puntos 1. Fundamentacin y 2. Contribucin
esperada) y
al perfil de los sujetos que participarn en la actividad de capacitacin (punto 3.
Destinatarios). En el documento encontrar algunas orientaciones para completar estos
puntos.
Tambin es recomendable que

revise los objetivos de aprendizaje (punto 4. Objetivos) tratando de incluir aquellos
que usted considere necesarios y que no estn contemplados en el diseo. Recuerde
que:
Un objetivo de aprendizaje consiste en la formulacin de lo que esperamos que los

participantes puedan hacer en relacin con un contenido de aprendizaje;
ejemplos: comprender el concepto de incidente de seguridad de la informacin; aplicar
normas de seguridad en el intercambio de mensajes de correo electrnico.
Los contenidos de aprendizaje son los temas que hemos seleccionado y organizado para
nuestra actividad de capacitacin. En este caso, le solicitamos que, tanto para la actividad breve
como para la actividad extendida, respete los contenidos mnimos incluidos en la propuesta del
material.
Usted puede incorporar algunas tcnicas en su estrategia metodolgica de acuerdo con los
distintos momentos de apertura, de desarrollo o de cierre de cada reunin. Para eso, le
ofrecimos algunas ideas cuando abordamos los contenidos pedaggicos correspondientes a la
Reunin N 2. Ahora recuperamos algunas de esas tcnicas en el siguiente cuadro2.
Fuente: RUBBO, Elsa; LEMOS, Elisa: Manual del Formador. Buenos Aires, INAP, DNC,
1995.
Pgina: 82 de 86
Tcnica
Descripcin
Utilidad
CUCHICHEO
En un grupo, los miembros dialogan

simultneamente de a dos para
discutir un tema o problema del
momento. Todo el grupo trabaja
simultneamente sobre un mismo
asunto. Se emplean pocos minutos
para resolver una pregunta
formulada al conjunto
Para obtener conclusiones, compartir la

impresin obtenida individualmente por
cada alumno, detectar intereses sobre
un tema, conocer la opinin de los
miembros del grupo.
PROCESO
INCIDENTE
Un grupo analiza a fondo un

problema o incidente real, expuesto
en forma muy escueta y objetiva.
Cuando se desea desarrollar la habilidad

para la resolucin de problemas de la
vida diaria o laboral y para la adopcin
de buenas decisiones.
ROLEPLAYING
Dos o ms personas representan

situaciones de la vida real (personal
o laboral), asumiendo los roles del
caso, con el objeto de que pueda ser
mejor comprendida y tratada por el
grupo.
Cuando se desea trabajar sobre

situaciones surgidas de la vida de
relacin en los distintos espacios del
mbito laboral.
DEBATE
DIRIGIDO O
DISCUSIN
GUIADA
Un grupo reducido trata un tema en

discusin informal con la ayuda
activa y estimulante de un
coordinador. Promueve el
intercambio de ideas e informacin
sobre un tema, bajo la conduccin
de una persona (docente) que hace
de gua e interrogador.
Cuando se desea promover el

intercambio y elaboracin de ideas e
informacin sobre un tema pasible de
diversos enfoques e interpretaciones.
Cuando se desea desarrollar la
capacidad de anlisis, comprensin de
ideas y conceptos, o ciertas actitudes
como la tolerancia.
Despus de una conferencia, clase
magistral o exhibicin de un material
audiovisual, para promover el
intercambio de ideas y la elaboracin de
la informacin suministrada.
PEQUEO
GRUPO DE
DISCUSIN
Un grupo reducido trata un tema o

problema en discusin libre e
informal, guiado por un coordinador.
El clima es informal, existiendo un
mnimo de normas. El intercambio
de ideas sigue un cierto orden lgico
y el coordinador ordena la discusin
y seala oportunamente el
cumplimiento de las normas que el
grupo hubiese establecido para
trabajar.
dem anterior.
(La diferencia entre una y otra tcnica radica
en que la primera exige un coordinador que
estimule y oriente la discusin sobre la base
de interrogantes previamente establecidos.
En esta tcnica, en cambio, el clima es ms
informal y permisivo y el coordinador
solamente orienta al grupo en cuanto a su
funcionamiento y plan de trabajo):
Pgina: 83 de 86
PHILLIPS 66
Un grupo grande se subdivide en

subgrupos de seis personas para
discutir durante seis minutos un
tema y llegar a una conclusin. De
los informes de todos los subgrupos
se extrae la conclusin general. (En
s misma no es una tcnica de
aprendizaje)
Cuando se desea facilitar la

confrontacin de ideas o puntos de
vista.
Cuando se desea obtener rpidamente
opiniones elaboradas por subgrupos,
acuerdos parciales, decisiones de
procedimientos, sugerencias de
actividades.
LA DEMOSTRACIN
Mediante esta estrategia, el instructor desarrolla un tema, acompaando su explicacin verbal con la
realizacin de movimientos, presentacin de grficos, manejo de equipos o aparatos, empleo de
medios audiovisuales diversos.
Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para explicar
principios cientficos y el movimiento o relacin de las piezas de una herramienta o mecanismo.
Actualmente, con el desarrollo de la Informtica, la demostracin ha resultado una de las estrategias
ms empleadas, fundamentalmente para la presentacin de productos y para mostrar contenidos de
tipo procedimental.
La demostracin habr de completarse con la prctica del participante, a fin de que pueda adquirir la
destreza o habilidad implcita en el objetivo.
Para completar este listado se sugiere consultar la siguiente bibliografa.
BIBLIOGRAFA
AGUILAR, Mara Jos: Cmo animar un grupo. Tcnicas grupales. 1 edicin. Buenos
Aires, Kapelusz, 1990.
BRITES, Gladys; ALMOA, Ligia: Inteligencias mltiples. Juegos y dinmicas. Buenos
Aires, Bonum, 2004.
FRITZEN, Silvino Jos: 70 ejercicios prcticos de dinmica de grupo. 3 edicin,
Santander, Sal Terrae, 1988.
LEIGH, David: Como entrenar un grupo eficiente. Mtodos prcticos. Bogot, Legis,
1992.
OCONNOR, J. SEYMOUR, J.: PNL para formadores. Bs. As., Urano, 1996.
RAE, Leslie: Manual de formacin de personal. Tcnicas para directivos y profesionales.
Madrid, Daz de Santos, 1994.
http://www.gerza.com
http://www.formaciondeformadores.com
Con respecto a los recursos didcticos, le sugerimos que utilice los que ha recibido con el
material, tambin fueron elaborados especialmente para la formacin de instructores. Como se
trata bsicamente de presentaciones, es importante que los tome como un recurso que lo
ayudar en su exposicin oral; y no como el componente esencial de su estrategia.
A los efectos de equilibrar las estrategias y los recursos en su diseo didctico, tenga en cuenta
las siguientes apreciaciones:
Si solo escucho, puedo olvidar
Si tambin veo, puedo recordar
Pgina: 84 de 86

Si hago, comprender y sabr
La modalidad es presencial, ya sea la versin extendida o la versin breve de la actividad de
capacitacin. Esto es as porque el trabajo a desarrollar por los participantes se realizar
durante el/los encuentros presenciales.
En relacin con la bibliografa corresponde incluir la que figura en el diseo global del taller.
El perfil del instructor debe completarse en no ms de cinco renglones en los que se citen
los antecedentes del instructor que lo habilitan para desempearse como capacitador en
Para los tems de evaluacin de los aprendizajes, de evaluacin de la actividad y
evaluacin de resultados, debern tomarse en cuenta los contenidos del artculo La
evaluacin en capacitacin laboral entregado con el presente Manual.
En duracin en horas debern consignarse las horas de desarrollo de la actividad en su
conjunto, ya sea la versin extendida o la versin breve.
En cronograma tentativo y lugar de realizacin se consignarn, respectivamente,
fechas previstas y la direccin donde se realizar la capacitacin.
las
Pgina: 85 de 86
PARTE E BIBLIOGRAFA
BIBLIOGRAFA PARA LOS CONTENIDOS INFORMTICOS
http://www.arcert.gov.ar, Coordinacin de Emergencias en Redes Teleinformticas,
Modelo de Poltica, aprobado por la ONTI mediante la Disposicin 006/2005,
25/07/2005.
Disposicin N 06/2005, Poltica de Seguridad de la Informacin Modelo, 3/08/2005.
Resolucin SGP 45/2005, Poltica de Seguridad de la Informacin, Subsecretara de la
Gestin Pblica, 24/06/2005
Decisin Administrativa 669/2004, Poltica de Seguridad de la Informacin, Sector
Pblico Nacional Adecuacin, Jefatura de Gabinete de Ministros, 20/12/2004
http://infoleg.mecon.gov.ar, Informacin Legislativa - Ministerio de Economa y
Produccin
http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf,
Recomendaciones
para el uso seguro del correo electrnico, ArCERT, Subsecretara de la Gestin Pblica,
2006.
http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones
para evitar ser victima del "phishing", ArCERT, Subsecretara de la Gestin Pblica,
2006.
http://www.pki.gov.ar, sitio de Firma Digital de la Repblica Argentina, Subsecretara
de la Gestin Pblica.
Decreto N 724/06, Modificacin de la reglamentacin de la Ley N 25.506 de Firma
Digital, 08/06/2006
BIBLIOGRAFA PARA LOS CONTENIDOS PEDAGGICOS

BLAKE, Oscar Juan: La capacitacin. Un recurso dinamizador de las organizaciones. 2
ed. Buenos Aires, Macchi, 1997.
BRADBURY, Andrew: Tcnicas para presentaciones eficaces. Barcelona, Gedisa, 2000.
GORE, Ernesto: La capacitacin en la empresa. Buenos Aires, Granica, 1996.
LEIGH: David: Cmo entrenar un grupo eficiente. Bogot, Legis, 1991.
ORIOL, Amat: Formacin de formadores. 2 ed., Barcelona, Gestin 2000 Serie MiniEmpresa, 1997.
RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formacin de instructores. Mc GrawHill, Mxico, 1990.
RUBBO, Elsa; LEMOS, Elisa: Manual del formador. Buenos Aires, INAP Direccin
Nacional de Capacitacin, 1995.
Universidad de Buenos Aires, Ctedra Capacitacin Laboral: Taller sobre diseo de
programas de capacitacin, 1995 (mimeo).
Pgina: 86 de 86

Manual Del Instructor en Seguridad de La Información PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Del Instructor en Seguridad de La Información PDF

Cargado por

Copyright:

Formatos disponibles

Manual del INSTRUCTOR en

Gran parte del proceso de construccin del conocimiento en las organizaciones

tiene que ver con ayudar a la gente a saber lo que sabe,

Manual del Instructor en Seguridad de la Informacin

DESCRIPCIN DE LA MODALIDAD _______________________________________ 3

EVALUACIN DE LOS APRENDIZAJES ____________________________________ 3

ESTRUCTURA DE LAS REUNIONES _______________________________________ 3

PARTE B ASPECTOS PEDAGGICOS _________________________________ 3

PARTE C CONTENIDOS TCNICOS___________________________________ 3

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

REUNIN 2 SEGURIDAD DE LA INFORMACIN EN LAS TAREAS

REUNIN 3 AMENAZAS Y HERRAMIENTAS DE SEGURIDAD ______________ 3

PARTE D PRESENTACIN DE DISEOS DE CAPACITACIN ___________ 3

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

OBJETO DE LA LICENCIA. El LICENCIANTE confiere al LICENCIATARIO una licencia que

DERECHOS DEL LICENCIATARIO. El LICENCIANTE faculta al LICENCIATARIO en forma no

Usar, copiar, modificar y distribuir el Manual del Instructor en Seguridad de la

Hacer obras derivadas del Manual del Instructor en Seguridad de la

OBLIGACIONES DEL LICENCIATARIO. Los derechos mencionados en la clusula 2 se

Mencionar en todo momento, inclusive en los trabajos derivados, que la obra es de

No borrar, alterar u ocultar las indicaciones de Copyright existentes en el Manual del

El incumplimiento de las condiciones estipuladas extinguir automticamente los derechos

ACTOS VEDADOS AL LICENCIATARIO. El LICENCIANTE se reserva todas las facultades

FORMA DE ACEPTACIN. Est legalmente prohibido usar, copiar, modificar o

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

PARTE A ASPECTOS GENERALES

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

Manejo avanzado de Sistemas Operativos (Windows, Linux, etc.) y

Experiencia avanzada en el uso de Internet.

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

Objetivos Generales del Manual

Objetivos Particulares del Manual

Seguridad de la Informacin en las Tareas Cotidianas

Amenazas y Herramientas de Seguridad

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

Objetivos y Contenidos Pedaggicos

ESTRATEGIAS METODOLGICAS Y RECURSOS DIDCTICOS

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

Elementos Requeridos para el Dictado

EVALUACIN DE LOS APRENDIZAJES

Para la evaluacin final de aprobacin del taller no presencial,

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

En qu casos usted implementara actividades tendientes al logro de objetivos de

En qu casos usted implementara actividades tendientes al logro de objetivos de

Establezca propsitos para sensibilizar sobre

Hay disponibilidad de tiempo (12 a 15

Hay baja disponibilidad de tiempo.

Cules son los propsitos para su actividad de capacitacin? Sensibilizacin? Difusin

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin

Propsitos de sensibilizar sobre

SGP INAP ONTI ArCERT

Manual del Instructor en Seguridad de la Informacin