Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENERO DE 2010
1
CONCIENCIACIN EN SEGURIDAD DE LA INFORMACIN, LA ESTRATEGIA
PARA FORTALECER EL ESLABN MS DBIL DE LA CADENA
..
2
Resumen
Un usuario comn puede ver la seguridad como una serie de barreras para
hacer lo que considera que est bien y que probablemente puede afectar los
intereses de la compaa. Es por esto que no se debe descuidar el hecho de que
la inseguridad informtica es un elemento propio de la dinmica de las
organizaciones en cada uno de sus procesos.
3
Prefacio
4
TABLA DE CONTENIDO
5
3.1.2 Explorando la dualidad de la seguridad: la mente segura ..................... 55
3.2 Seguridad en la empresa ............................................................................ 57
3.3 Glosario ........................................................................................................ 61
6
CAPTULO 7: BALANCE DEL PROYECTO FINAL DE ESPECIALIZACIN ..... 98
7.1 Conclusiones............................................................................................... 98
7.1.1 Conclusiones generales ........................................................................ 98
7.1.2 Conclusiones tericas............................................................................ 99
7.1.3 Conclusiones metodolgicas ............................................................... 100
7.2 Recomendaciones ..................................................................................... 101
7.3 Limitaciones ............................................................................................... 102
7.4 Investigaciones futuras .............................................................................. 103
BIBLIOGRAFA
7
CAPTULO 1
MARCO INTRODUCTORIO
1.1 Introduccin
Un usuario comn puede ver la seguridad como una serie de barreras para
hacer lo que considera que est bien y que probablemente puede afectar los
intereses de la compaa. Adems, puede llegar a pensar que los administradores
de tecnologas de la informacin son paranoicos y se aprovechan para maximizar
las contadas situaciones de riesgo dadas. En este orden de ideas, lo anterior
puede resultar verdico; sin embargo, lo que acontece es que los administradores
son conscientes de las amenazas que hay en el entorno, y por otra parte,
entienden que la tecnologa ha acortado las distancias.
8
personas tienen un motivo para llevar a cabo la accin, unas creencias (lgicas o
no) que tienen sentido para dicho atacante, que buscan una oportunidad,
momento o situacin para realizar la accin, y unos instrumentos que son los tres
pilares mencionados anteriormente.
9
1.1. Justificacin
10
A travs de un estudio de Datapro Research Corp. se pudo establecer
que los problemas de seguridad en sistemas responden a la siguiente distribucin:
Se puede notar que el 80% de los problemas, son generados por los
empleados de la organizacin, que se podran tipificar en tres grupos grandes:
11
Como dira Christian Linacre, Gerente de Seguridad de Microsoft
Latinoamrica: La seguridad es tan fuerte como el eslabn ms delgado de la
cadena. Por consiguiente, los usuarios son el punto ms vulnerable en la cadena
de seguridad, puesto que su desconocimiento de unas prcticas buenas de
seguridad puede ocasionar incidentes que ponen en riesgo la confidencialidad e
integridad de Informacin sensible. En consecuencia, los usuarios son la
herramienta primordial para proteger la Informacin, porque se pueden establecer
todo tipo controles tcnicos. Sin embargo, sin la colaboracin de los usuarios no
se lograr la minimizacin los riegos.
12
1.2.1 Viabilidad
Con el paso del tiempo, se puede evidenciar que la mayor parte de las
organizaciones, sin importar el tamao, ni la industria en la que se desenvuelvan,
13
logran acumular gran cantidad de datos de sus empleados, proveedores, clientes,
productos, proyectos investigacin, su situacin financiera, entre otros. El volumen
ms grande de estos datos, es recolectado, procesado, almacenado y puesto a la
disposicin de sus usuarios, como Informacin visible y disponible a travs de
redes de computadores.
14
tecnolgica, una funcin que corresponde a las acciones humanas y procesos
administrativos y estratgicos.
15
Consecuentemente, la mayora de los usuarios emplean hbitos de trabajo
poco seguros que ponen en peligro la confidencialidad, disponibilidad e Integridad
de la Informacin, por lo que muchas veces las organizaciones los consideran tan
obvios y sencillos, que no hacen el mnimo esfuerzo por instruir a sus empleados.
16
Lo ideal sera que los datos no tuvieran ningn valor, sino que simplemente
fueran entradas simples de un proceso productivo. Lamentablemente, esto es solo
una utopa, por ejemplo: Cmo le restamos el valor que tiene la Informacin
financiera de una compaa o la vida crediticia de un ciudadano?
17
El Intituto Nacional de Estandares y Tecnologa (NIST): hace parte del
gobierno de los Estados Unidos y tiene por objetivo asegurar la competencia
industrial a travs de la elaboracin de normas que permitan generar nuevos
proyectos tecnolgicos, y medir los ya existentes. La serie 800 de documentos del
NIST, son dedicados a la proteccin de la Informacin.
18
parte de esta seguridad. Tambin, el programa debe hacerle saber al talento
humano que sus actos son decisivos para que la seguridad se mantenga o se
deteriore de forma catastrfica; pero sobre todo, que les haga entender que la
seguridad no se consigue slo con el departamento que lleva este nombre, sino
que cada persona que trabaja en la compaa, hace parte de la seguridad de
dicha organizacin, por lo que seguridad debe formar parte de su sistema de
trabajo.
Tambin, permite demostrar que hay muchos medios por los cuales esta
Informacin se puede perder, como son los clientes, los proveedores y los mismos
empleados. Son estos ltimos los directa o indirectamente responsables de la
prdida de Informacin. Est expresado de esta forma, pues si bien son los
19
autores materiales del hecho, tal vez la responsabilidad no recae completamente
sobre ellos. Dicho por el mismo Doctor Cano:
20
Figura 1.1: Proyeccin Grfica del Problema, Fuente: Propia.
21
1.4 Objetivos
22
Divulgar las definiciones hechas por la direccin, a travs de las Polticas de
Seguridad de la Informacin.
1.5 Antecedentes
23
documento incentiva al desarrollo de este programa, proponiendo una gua a
seguir para garantizar la efectividad y continuidad del mismo.
24
NIO D. y SIERRA, A. CENTRALIZACIN DE REGISTROS DE EVENTOS
1.6 Alcance
25
En consecuencia, el trabajo se centrar en el campo de la seguridad de la
Informacin, porque identificar aquellas actuaciones que pueden provocar un
problema de seguridad para la proteccin de los activos de Informacin de
cualquier empresa, estableciendo la forma correcta de actuar, ante una lista de las
situaciones laborales habituales, a travs de la elaboracin de un manual de
buenas prcticas para el uso seguro de las Tecnologas de la Informacin.
26
CAPTULO 2
REVISIN LITERARIA: ESTRATEGIA DE SEGURIDAD, LA
ASIGNATURA PENDIENTE
2.1 Introduccin
La teora que explica el problema que se soluciona este proyecto final, se enmarca
dentro de las temticas de la administracin y direccin de empresas, y gestin
estratgica de los recursos humanos, parte de las cuales sern tomadas de los
contenidos tericos cursados dentro de la Especializacin en Direccin
Estratgica. Con respecto a la temtica de la seguridad informtica, es clave usar
el aporte desarrollado por Antonio Villaln en su libro Seguridad de Unix y
Redes; llegando finalmente a enfatizar en el concepto de la Seguridad de la
Informacin como eje central de este proyecto.
27
Actualmente, se ha complementado su objeto nico de obtener beneficios,
por el de alcanzar unos objetivos globales determinados:
28
y por tanto, incapaces de alcanzar objetivo alguno. Esa coordinacin hacia
un fin, la realiza otro factor empresarial que es la direccin de la empresa.
El factor directivo planifica la consecucin de los objetivos, organiza el
recurso humano, se encarga de que las decisiones se ejecuten y controla
las posibles desviaciones entre los resultados obtenidos con respecto a los
deseados.
29
La Direccin estratgica puede ser entendida como Una estructura terica
para la reflexin de las grandes opciones de la empresa, que se sustenta en una
nueva cultura y una nueva actitud de los directivos, que escapa de la
improvisacin en busca de lo analtico y que integra el paso de lo estratgico a lo
operativo de forma sistemtica y coherente" (Menguzzato, 1991). La Direccin
estratgica est ligada al cambio, al mejoramiento continuo organizacional o
empresarial. La Direccin estratgica configura un ciclo comprendiendo tres
procesos fundamentales: planeacin, implantacin y control.
30
2.2.3 Los ocho pecados mortales de la direccin
Si bien en los libros hay mucha informacin sobre el liderazgo y sobre cmo hacer
las cosas de forma correcta para alcanzar el xito buscado, a veces tambin es
bueno observar cules son las cosas incorrectas y cmo evitarlas.
31
masiva de recursos. Muchas compaas dedican ms tiempo y dinero a negociar y
pagar los contratos de mantenimiento de sus equipos y mquinas, de lo que
dedican al entrenamiento de su personal.
Asumir que se estn haciendo las cosas bien y que los clientes estn
contentos: Les ha preguntado? Si se asume que sus clientes estn satisfechos
simplemente porque no ha recibido quejas, no es necesariamente un medidor
exacto. Su negocio debe tener mecanismos y sistemas en marcha para favorecer
la retroalimentacin del cliente. Usted debe escuchar, y actuar en funcin de esa
informacin.
32
No entender la relacin entre ventas y marketing: incluso los negocios con
una fuerza de ventas excelente deben ayudarse del marketing. El marketing, a
travs de sus disciplinas de relaciones pblicas, investigacin y publicidad, es una
herramienta clave para identificar mercados nuevos, comunicarse con su mercado
potencial y con sus clientes y difundir y consolidar su marca de fbrica y su
mensaje entre todos sus actores.
33
planes de comunicacin, planes de capacitacin y de formacin, estudios de clima
y motivacin, etctera (Harper, 1992).
34
llamado a intensificarse, por tal, se deben propiciar los recursos necesarios, para
que se haga de forma Segura.
35
La confidencialidad (C) dice que los objetos de un sistema solo han de ser
accedidos por usuarios autorizados, y que esos funcionarios autorizados no van a
convertir esa Informacin en disponible para otras entidades. La integridad (I)
significa que los objetos solo pueden ser modificados por funcionarios autorizados
y de forma controlada. La disponibilidad (D) indica que los objetos del Sistema
tienen que permanecer accesibles a los funcionarios autorizados.
36
De qu se quiere proteger?
37
Figura 2.2: Amenazas para la Seguridad, Fuente: Villaln, 2002.
38
Ante la pregunta de los tipos de intrusos existentes actualmente, Julio C.
Ardita1 contesta lo siguiente: los tipos de intrusos podran clasificarse desde el
punto de vista del nivel de conocimiento, formando una pirmide, as:
Clase C: es el 5%, es gente que sabe, que conoce y que define sus
objetivos. A partir de aqu buscan todos los accesos remotos e intentan
ingresar.
Para llegar desde la base hasta el ltimo nivel, se tarda de 4 a 6 aos, por
el nivel de conocimiento que se requiere asimilar.
1
Ardita, J. (2001). Director de Cybsec S. A. Security System y ex-hacker [En lnea], disponible en:
http://www.cybsec.com, recuperado: 30 de enero de 2010.
39
Figura 2.3: Tipos de Intrusos, Fuente: CybSec S.A., 2001.
40
por un error o por desconocimiento de las normas bsicas de seguridad. Debemos
recordar siempre, que decir No lo hice a propsito, no va a servir para
recuperar datos perdidos, ni para restaurar un hardware daado o robado.
41
Figura 2.4: Visin global de la Seguridad Informtica, Fuente: Villaln, 2002.
42
funcionamiento normal de ste, previniendo la ocurrencia de violaciones a la
Seguridad; por ejemplo: el uso de cifrado en la transmisin de datos se puede
considerar un mecanismo de este tipo, porque evita que un atacante posible
escuche las conexiones hacia o desde un sistema en la red.
Aunque los tres tipos de mecanismos son importantes para la seguridad del
sistema, se ha de enfatizar en el uso de mecanismos de prevencin y de
deteccin. La mxima popular ms vale prevenir que curar se puede aplicar a
la seguridad: para nosotros, evitar un ataque, detectar un intento de violacin, o
detectar una violacin exitosa inmediatamente despus de que ocurra, es mucho
ms productivo y menos comprometedor para el sistema, que restaurar el estado
tras una penetracin de la mquina.
43
Igualmente, s se consiguiera un sistema sin vulnerabilidades y cuya poltica
de seguridad se implementara mediante mecanismos de prevencin, no se
necesitaran mecanismos de deteccin o recuperacin.
44
De la misma forma, la Informacin de las empresas representa un activo
muy importante para las mismas: desarrollos tecnolgicos, patentes, frmulas,
estrategias o planes de inversin tienen un valor muy importante. Una fuga de
informacin crtica puede representar incluso la bancarrota para una empresa.
Para que una informacin se considere segura, tiene que cumplir con cuatro
caractersticas: que tenga los niveles de confidencialidad adecuados, que sea
integra, que est disponible y que sea autntica.
45
informacin en 2003 de informacin propietaria, super los 6 mil seiscientos
millones de dlares
46
ejemplo, el plan de promocin del nuevo vehiculo de VW, los descuentos a que se
tienen acceso en el caso de almacenes de cadena o los prototipos nuevos de
vivienda de una Constructora.
47
CAPTULO 3
MARCO CONCEPTUAL
48
Revisando algunos de los pronsticos se encuentra que temas como: el
SPAM, los firewalls personales, los dispositivos de almacenamiento USB,
organizaciones criminales en Internet, las crecientes regulaciones en el mbito
tecnolgico, entre otros; sern elementos importantes donde muchos cambios y
actividades tomarn lugar y generarn eventos que impactarn las organizaciones
y la operacin de las mismas.
49
Figura 3.1: Dualismo de la Seguridad Informtica, Fuente: Cano, 2004.
50
una manera complementaria de comprender los elementos, relaciones y efectos
de la Seguridad Informtica en el contexto de una realidad cambiante y dinmica.
Los planteamientos sugeridos en este apartado, responden a reflexiones
recogidas de la experiencia de la industria al tratar de enfrentar la variabilidad de
los escenarios y sus vulnerabilidades y, las ideas de la academia para profundizar
en eventos predecibles e inesperados de la dinmica entre la tecnologa, la
organizacin y los individuos.
51
con el fin de hacer caminar en condiciones lmite la operacin de la organizacin y
sus negocios. La estrategia dual sugiere contextualizar en un escenario real la
incertidumbre inherente de la seguridad informtica para revisar entre otros
aspectos (Schneier, 2003):
52
Cuando se plantean las condiciones de anlisis de la seguridad y las
pruebas de los elementos de los sistemas se consideran, entre otros, algunos
elementos comunes desde el punto de vista de Whittaker (2003):
53
ms reciente; porque cuando ocurre o se manifiesta un problema de seguridad, las
personas se vuelven ms experimentadas y saben qu hacer, que los sistemas
mal diseados (pensamiento natural en Seguridad Informtica) no estn
preparados para fallar (pensamiento dual en Inseguridad Informtica). En pocas
palabras, comprender la inseguridad informtica del sistema en evaluacin para
hacer el sistema dinmico y flexible ante nuevos ataques, atacantes o fallas de
Seguridad (Schneier, 2003).
54
3.1.2 Explorando la dualidad de la Seguridad: La mente segura
2
Las virtudes de la seguridad son: La seguridad deber ser una consideracin diaria, la seguridad
debe ser un esfuerzo comunitario, las prcticas de seguridad deben mantener un foco
generalizado, las prcticas de seguridad deben incluir medidas de entrenamiento para todo el
personal de la organizacin.
Las reglas de seguridad son: Regla del menor privilegio, Regla de los cambios, Regla de la
confianza, Regla del eslabn ms dbil, Regla de separacin, Regla de los tres procesos, Regla de
la accin preventiva y Regla de la respuesta apropiada e inmediata
55
reconocimiento del sistema objetivo, manipulacin y compromiso del objetivo,
apalancamiento del ataque y conquista de nuevos objetivos.
56
propiedad, pues mientras ms se comprenda la realidad de la inseguridad, con
mejor se podr comprender la Seguridad Informtica de las organizaciones.
57
La evolucin de la seguridad informtica, no sera posible sin la equivalente
evolucin de la calidad y sofisticacin de los ataques desarrollados por los
intrusos. No se puede negar la importancia de las creativas maneras de confrontar
y vulnerar las soluciones de seguridad planteadas durante estos aos, pues sin
ellas las mejoras planteadas a la fecha no tendran la formalidad y dimensin que
se plantea en los productos actuales de seguridad.
58
clientes y tendr limitaciones para lograr una cultura de seguridad y control
inherente a los procesos corporativos basados en las acciones individuales.
59
As, este documento pretende detallar algunas de las prcticas
organizacionales relativas a la seguridad, donde se analizarn en el contexto los
principios claves de la misma: confidencialidad, integridad y disponibilidad. Se
tendrn en cuenta su utilidad y coherencia con las realidades de la dinmica de las
organizaciones. Es importante destacar, que la experiencia del investigador y del
autor del modelo, soporta estas prcticas en un campo laboral donde se valora el
rol de la seguridad.
60
formales e informales de seguridad establecidas por las directivas, para fortalecer
las estrategias de seguridad y control que son inherentes a los procesos de
negocio.
3.3 Glosario
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
61
Desastre: interrupcin de la capacidad de acceso a informacin y
procesamiento de la misma, a travs de computadoras necesarias para la
operacin normal de un negocio.
62
Seguridad fsica: puede asociarse a la proteccin del sistema ante las
amenazas fsicas, incendios, inundaciones, sismos, cables, control de
accesos de personas, entre otros.
63
CAPTULO 4
LAS CUATRO ESTACIONES
4.1 Introduccin
Dentro de este marco, las TICs juegan un papel fundamental, bien para
apalancar una estrategia de seguridad y control que limite la materializacin de un
fraude o la fuga de la informacin, o bien para ser herramienta facilitadora de los
mismos. Sin embargo, es de clarificar, que para el tratamiento de cualquiera de los
dos riesgos identificados, las TICS nicamente no son suficientes, por lo cual se
requiere una visin holstica que permita integrar las mltiples variables que
explican las interrelaciones de las personas, la tecnologa y los procesos, para as
visualizar acciones que permitan confrontar dichos riesgos.
64
deben ser identificados, clasificados, valorados e investigados (cuando la situacin
lo amerite y valoracin lo establezca) de cara a reconocer que debemos continuar
aprendiendo de lo que ocurre y claro est, evitar que la misma conducta o
condicin se haga evidente (Cano, 2009c).
65
4.3 Fase 2: Planificacin
El verano est caracterizado por tener los das ms largos y los rayos solares con
menor inclinacin, por lo que las temperaturas son las ms altas del ao. La
segunda etapa es la de mayor trabajo, es necesario reunir un equipo bueno de
trabajo que planee y le d forma al programa de sensibilizacin.
66
Establecer una meta clara para los criterios de valoracin del cambio.
67
la relacin entre el retorno sobre una inversin, y la inversin, determinando los
ingresos de la misma) y ayuda a identificar cuando dejara de perder la empresa
gracias a un proyecto de seguridad que mitigue incidentes (Ormella, 2006).
68
4.4 Fase 3: Aplicacin
El otoo es la estacin donde los das reducen su duracin; en este programa, una
buena organizacin y programacin garantizan la mayor parte del xito. En esta
etapa, cada uno de los miembros debe desempear su rol en la ejecucin de la
iniciativa.
Con el invierno se cierra el ciclo, pero cuando esta estacin llegue, se debe estar
listo, y muy bien preparado. El invierno es la estacin de los das ms cortos, y las
bajas temperaturas. El invierno torna al ambiente tenso.
69
Finalmente, se enumeran ciertos factores a tener en cuenta para lograr una
evaluacin satisfactoria:
El mensaje debe llegar donde debe llegar, y para esto hay que explicar los
motivos del programa.
70
CAPTULO 5
5.1 Introduccin
Por medio de este programa, se quiere que los lectores conozcan algunos
aspectos fundamentales de la seguridad de la informacin, as como las
conductas esperadas y responsabilidades que sobre el tema deben asumir los
funcionarios de la compaa.
Cabe destacar, que este programa asume los temas base que toda
compaa sin importar la industria ni el tamao, debera socializar con sus
empleados.
71
El programa se compone de una seccin primera en la que se describen
varios aspectos importantes de la seguridad de la informacin, seguidos de una
evaluacin que busca afianzar los conceptos explicados.
5.2 Objetivos
72
- Oficial de Seguridad de la Informacin: garantiza que los funcionarios de la
compaa reciban capacitacin en seguridad, por medio del programa de
sensibilizacin y adems, vela por el cumplimiento de las polticas
definidas.
73
5.5 Descripcin general
Clasificacin de la Informacin
74
- Pblica: es la informacin disponible para todos los empleados y terceros.
Ejemplo: Informacin colocada en el sitio web de la compaa.
75
Microsoft Excel, Microsoft PowerPoint, Microsoft Project), mensajes
electrnicos y medios de almacenamiento (cintas, CD, DVD).
- Igualmente, sea cuidadoso con la informacin que enva y recibe por fax,
as como aquella a la que le toma copias. No deje documentos
abandonados en las mquinas de fax o fotocopiadoras.
76
- La eliminacin apropiada de la informacin que ya no se necesita
(incluyendo borradores, copias u hojas que salieron mal) es indispensable.
Esto se aplica tanto a documentos en papel como a medios de
almacenamiento tales como: discos, DVD, CD, cintas, entre otros.
77
Manejo de contraseas
No divulgue sus contraseas a nadie: son secretas. Los usuarios que le han sido
asignados para acceder a la informacin son personales e intransferibles. Cada
usuario es responsable de todo uso que se le d a sus cuentas en los sistemas.
Incluso si otra persona las utiliza con o sin su permiso.
Tenga una clave segura: aplique las ms estrictas normas cuando genere
sus contraseas. Las claves slo protegen los sistemas de informacin si se siguen
los procedimientos correctos de seguridad.
78
- Combinacin de letras, nmeros y caracteres especiales.
Dispositivos mviles
79
La informacin confidencial de la compaa NO debe ser copiada en medios
de almacenamiento removibles (USB, CD, DVD). En caso de ser estrictamente
necesario, copiar este tipo de informacin, slo se puede hacer esta copia con la
previa aprobacin del dueo de la informacin, y en medios aprobados por la
direccin de informtica.
Por otro lado, la informacin deber ser grabada de forma segura: bajo
tcnicas de cifrado de datos, como mnimo estableciendo una contrasea fuerte y
compresin en ZIP. Siga las recomendaciones ya dadas para construir sus
contraseas.
En caso de viaje, los equipos porttiles debern ser llevados como equipaje
de mano. Al transportar un equipo porttil en un vehculo, ste deber ser
guardado en un lugar seguro. Nunca coloque estos equipos en lugares visibles o
al alcance de extraos.
80
La ingeniera social es un intento de manipular a una persona, para que
facilite informacin que no debera revelar. Por ejemplo, alguien hacindose pasar
por un alto directivo en tono amenazante, o por un proveedor o cliente que exige
recibir informacin por telfono, o que la informacin se le enve a una direccin
de correo electrnico que no est registrada.
No diga ms de lo necesario.
81
No conteste los correos electrnicos phishing, simplemente reprtelos
y brrelos.
Los correos de origen desconocido deben ser eliminados sin abrirse, dado
el riesgo de que contengan virus o cualquier otro mecanismo peligroso.
82
Virus y programas maliciosos
Hardware y Software
83
Nunca realice intervenciones directas sobre el software o el hardware de los
equipos de cmputo de la compaa. Es una responsabilidad que pertenece al
departamento de informtica.
Sus beneficios vienen creciendo para nuestro negocio con el pasar del
tiempo. Sin embargo, el uso inadecuado de Internet puede causar severos daos
a la compaa.
84
Abstngase de ingresar a sitios con contenidos que pueden poner en riesgo
la seguridad de la red interna, porque pueden contener elementos como virus u
otro tipo de software malicioso (pginas de sexo, entretenimiento, hacking, entre
otros).
Seguridad en casa
85
Para evaluar si los mensajes transmitidos en este programa han sido
comprendidos y han llegado a todos los empleados de la empresa, se exigir la
realizacin del examen siguiente.
4. En caso de vacaciones o
ausencias prolongadas debo solicitar
al Departamento de Informtica
86
inactivacin temporal de todas mis
cuentas de usuario.
87
compaa.
88
Respuestas
89
abrirlos.
12. FALSO: siempre que abandone su puesto de trabajo, debe asegurar que
su equipo de cmputo permanezca bloqueado, oprimiendo las teclas
CTRL+ALT+SUPR y ENTER. El bloqueo automtico solo se activa despus
de un periodo de inactividad, tiempo en el cual alguien puede suplantar su
identidad en la red, e incluso robar informacin de la compaa.
90
CAPTULO 6
6.1 Introduccin
91
ltimamente, se viene dando el cambio a seguridad de la informacin como
traduccin ms adecuada de information security. Pero pese a ello, todava
existen muchos especialistas que siguen llamando as al puro enfoque tcnico
comentado previamente.
92
basada principalmente en vulnerabilidades. Segn lo visto anteriormente, tal
extensin se da de dos maneras. Por un lado, en el contexto de la seguridad de la
informacin los riesgos de negocios incluyen no slo las vulnerabilidades y un
aspecto de las amenazas, sino el conjunto de los factores que determinan tales
riesgos: activos, vulnerabilidades y amenazas. Por otra parte, los riesgos de
negocios que se consideran incluyen los riesgos organizacionales, operacionales,
fsicos y de sistemas TICs.
93
Con el fin de proteger la informacin crtica y crear consciencia sobre la
importancia de la Seguridad de la Informacin, se ha diseado el programa LO
QUE CREEMOS SABER Y EN REALIDAD DESCONOCEMOS.
94
Todos los funcionarios que completen el programa debern firmar un
contrato de Seguridad de la Informacin, ratificando su compromiso con el
cumplimiento de las polticas de Seguridad de la Informacin de la compaa. Este
documento deber se anexado a la hoja de vida.
6.4 Beneficios
95
de concienciacin LO QUE CREEMOS SABER Y EN REALIDAD
DESCONOCEMOS, a mi modo de ver las cosas, es una estrategia excelente para
asegurar nuestra informacin, puesto que en primer lugar tiene un efecto
psicolgico para las personas que estn manejando informacin sensible, de tal
manera que siempre se estn acordando de lo importante que es para la
compaa el manejo de la confidencialidad, adems es muy positivo que se
complemente con algn tipo de herramienta que permita monitorear el
comportamiento de dicha informacin clasificada, de tal manera que el funcionario
pueda darse cuenta, gracias a una serie de alertas o mensajes emergentes, que
est manejando informacin crtica, y que por tal debe darle tratamiento seguro.
Por otra parte, tambin es muy positivo que la actitud sea formadora, puesto que
seguramente la mayora de personas que pierden informacin o permiten la fuga
de esta, no lo hacen de mala voluntad, sino que se les olvida o cometen errores
inconscientes. Este programa ayuda a los empleados a tomar conciencia de las
faltas contra la seguridad que puede estar cometiendo, Gerente General.
96
CAPTULO 7
7.1 Conclusiones
97
autorizada, es el diseo e implementacin de un programa de concienciacin en
Seguridad de la Informacin que pueda ser usado por las empresas para mostrar
a los empleados, aquellos comportamientos que pueden provocar un problema de
Seguridad para la proteccin de los activos de Informacin de cualquier empresa.
La seguridad es subjetiva y ser diferente para personas de todo tipo, porque cada
una de ellas determina su nivel de riesgo y evala sus estrategias compensatorias
frente a los controles (Schneier, 2003). Es por esto, que en este programa de
concienciacin, la empresa debe transmitir de forma clara y precisa los objetivos
del mismo y paralelamente, el riesgo de desconocer las buenas prcticas para el
uso seguro de la tecnologa, pero sobretodo, debe sensibilizar a los funcionarios
de la compaa acerca que la proteccin de la informacin es responsabilidad de
todos.
98
Por otro lado, los sistemas de mensajera instantnea, as como las redes
de igual a igual o P2P (Las cuales reciben su nombre porque no existe un servidor
definido, sino que todos los usuarios son clientes y servidores de forma
simultnea), facilitan la colaboracin entre las personas, permiten expresar
opiniones, compartir y buscar informacin que les asista en su constante
necesidad de estar informados sobre las temticas que son de su inters. En
este escenario, la inseguridad de la informacin se materializa en vulneracin
de la privacidad de la informacin, la fuga de informacin sensible, la porosidad
de un permetro extendido y el mal uso de los datos para efectos de inteligencia o
actividades ilcitas, as como tambin pueden llegar a ser puertas de entrada para
todo tipo de software malicioso como virus, troyanos o gusanos. En consecuencia,
las organizaciones, de cara a estos retos nuevos que propone la inseguridad,
requieren establecer acciones propias de la gestin de la seguridad que
permitan enfrentar y asegurar los riesgos que un escenario interconectado,
global, poco regulado, altamente consultado y vulnerable, establece para los
responsables de la seguridad de la informacin corporativa (Wilbanks, 2008).
99
Cuando se logra incorporar la seguridad de la informacin dentro de los
procesos de negocio, como parte normal de diseo y operacin del mismo, las
inversiones en seguridad dejan de ser un costo, y se convierten en una parte
inherente dentro de la operacin del negocio. Lograr esta transformacin, no slo
requiere de un entendimiento de la seguridad dentro de la cultura organizacional,
sino la materializacin del concepto de seguridad dentro de los comportamientos
de los individuos (Cano, 2009).
7.2 Recomendaciones
100
inherente y natural de comportamientos confiables de las personas que
permitan interiorizar la distincin de prcticas de proteccin coherentes con las
polticas internas, el fortalecimiento de una percepcin y administracin del
riesgo, el convencimiento emocional de una actitud de autocuidado, los impactos
financieros de acciones inseguras y sobre manera, el inters y entendimiento
propio de las regulaciones que sobre el tema se tienen. La cultura de
seguridad de la informacin debe ser el animador y custodio de variables tan
importantes para las organizaciones como su reputacin, los ingresos, el
cumplimiento regulatorio, la percepcin del cliente y los fujos de informacin en
los procesos (Westney, 2008).
7.3 Limitaciones
101
7.4 Investigaciones futuras
102
BIBLIOGRAFA
103
CANO, J. (2009). Los engaos en Internet: De las cadenas, del correo no
deseado, de la mensajera basura y otros demonios.
COLE, E. (2002). Hackers beware. Defending your network from the wiley hacker.
New Riders.
DAY, K. (2003). Inside the security mind. Making the tough decisions. Prentice
Hall.
GATES, B (1999). Los negocios en la era digital. Ediciones Plaza & Janes.
104
HORTON, M. y MUGGE, C. (2003). Network Security Portable Reference.
McGraw Hill.
NORTON, D.P. (2001). Medir a criao de valor, uma tarefa possvel, em revista
HSM Management, Ano 4, No.24, pp.88-94. Ed. Savana, So Paulo.
105
ORMELLA, C. (Sin fecha). Seguridad informtica vs. Seguridad de la
informacin, [En lnea]. Disponible en:
http://www.cai.org.ar/dep_tecnico/comisiones/CETI/trabajos/200905_informatica_v
s_informacion.pdf, recuperado: 10 de enero de 2010.
SMITH, A. (1937). Wealth of Nations. Ed. P.F. Collier & Son. New Cork.
106
VALDS, C. (2008). Estrategia y Direccin Estratgica, [en lnea], disponible en:
http://www.gestiopolis.com/administracion-estrategia/direccion-estrategica-
concepto-de-estrategia.htm, recuperado: 10 de enero de 2010.
107