2010

Licenciatura en
Ingeniera en Sistemas y
Computacin

Edilberto De Gracias,
Joaqun De Len
y Nuris Del Cid.

[Seguridad De Informacin
En El Recurso Humano]
Es el proceso de planear, organizar, dirigir y controlar los esfuerzos de los miembros de la organizacin
y de aplicar los dems recursos de ella para alcanzar las metas establecidas. James A. F. Stoner y Charles
Wankel.
 Universidad Tecnolgica de Panam

Centro Regional de Chiriqu

Facultad de Ingeniera de Sistemas Computacionales

Licenciatura en Ingeniera en Sistemas y Computacin

Seguridad en Tecnologa de Computacin

Parcial #1

Seguridad de Informacin en el Recurso Humano

Estudiantes:

De Gracia, Edilberto 4-744-2500

De Len, Joaqun 4-738-1413

Del Cid, Nuris 4-741-1573

Facilitador:

Profesor Ren Saldaa

Fecha de Entrega:

Jueves, 22 de abril de 2010.

I Semestre
 NDICE GENERAL

Introduccin.

Seguridad de Informacin en el Recurso Humano.

o Administracin de los Recursos Humanos de los Sistemas de

Informacin.

Reclutamiento.

Capacitacin.

Motivacin.

Rotacin de Personal.

Funciones.

tica.

o Evaluacin del Perfil de Oficiales de Informtica.

Niveles de acceso, segn funciones.

Recomendaciones

Conclusiones

Referencias Bibliogrficas
 SEGURIDAD DE INFORMACIN EN EL RECURSO HUMANO

La Seguridad de Informacin:

La seguridad de la informacin consiste en proteger uno de los principales activos

de cualquier empresa: la informacin.

La seguridad de la informacin es requisito previo para la existencia a largo plazo

de cualquier negocio o entidad. La informacin es usada en cada uno de los
mbitos empresariales, los cuales dependen de su almacenamiento, procesado y
presentacin.

Los tres fundamentos bsicos de la seguridad en la informacin son:

Confidencialidad. La informacin debe ser accedida slo por las personas

autorizadas a recibirla.

Integridad. La informacin debe ser correcta y completa.

Disponibilidad. La informacin debe estar disponible siempre que sea

necesario.

La Seguridad con los Recursos Humanos:

La gestin de la seguridad de la informacin, al igual que la mayora de los mbitos

de la gestin empresarial, depende principalmente de las personas que componen
la Organizacin. La informacin slo tiene sentido cuando es utilizada por las
personas y son estas, quienes en ltimo trmino, deben gestionar adecuadamente
este importante recurso de la empresa. Por tanto, no se puede proteger
adecuadamente la informacin sin una correcta gestin de los Recursos Humanos.

El departamento de Seguridad quien se encargue de la Seguridad:

Proteger los activos de informacin con los que cuenta una empresa es una tarea
que no slo debe implicar al Director de Seguridad, sino que debe ser compartida
 por toda la Organizacin. Cada rea de Negocio juega su papel: el rea de
Marketing se centra en la proteccin de la imagen corporativa, el rea Comercial
est ms relacionado con la proteccin de los datos de los clientes, IT se ocupa de
la correcta proteccin de sus Sistemas de Informacin, etc. Pero sin duda, una de
las reas que ms importancia tiene en la seguridad de la informacin es el
departamento encargado de gestionar los Recursos Humanos. Aspectos como la
formacin de los empleados, la captacin y seleccin de nuevos miembros de la
plantilla, la gestin de empleados que abandonan la Organizacin o la
implementacin de la normativa interna, son fundamentales en el tema que nos
ocupa.

1. Administracin de los Recursos Humanos de los Sistema Informacin.

La administracin de los recursos humanos consiste en aquellas actividades

diseadas para ocuparse de y coordinar a las personas necesarias para una
organizacin. La administracin de los recursos humanos busca construir y
mantener un entorno de excelencia en la calidad para habilitar mejor a la fuerza de
trabajo en la consecucin de los objetivos de calidad y de desempeo operativo de
la empresa.

Concepto de Sistema de informacin

Es un sistema de informacin de RH es un sistema utilizado para reunir,

registrar, almacenar, analizar y recuperar datos sobre recursos Humanos
de la organizacin .La mayor parte de los sistemas de informacin de RH
est computarizada.

EL sistema de informacin de RH es un procedimiento sistemtico para

reunir, almacenar, mantener, combinar y validar datos necesarios para la
organizacin con relacin a sus Recursos Humanos y sus respectivas
actividades, adems de las caractersticas de las unidades de la
organizacin.
 EL SIRH esta planeado para reunir, procesar, almacenar y difundir la
informacin relacionada con los RH, de modo que los gerentes pueden
tomar decisiones Eficaces.

1.1. Reclutamiento.

El reclutamiento implica un proceso que vara segn la organizacin. Consiste

en un conjunto de tcnicas y procedimientos orientados a atraer candidatos
potencialmente calificados y capaces de ocupar cargos dentro de la
organizacin. Para lograr su cometido, el reclutamiento debe atraer suficiente
cantidad de candidatos para abastecer de modo adecuado el proceso de
seleccin. Adems, consiste en realizar actividades relacionadas con la
investigacin e intervencin en las fuentes capaces de proveer a la empresa el
nmero suficiente de personas para conseguir los objetivos.

El reclutamiento exige una planeacin rigurosa constituida por una secuencia de

tres fases:
a. Investigacin interna sobre las necesidades
b. Investigacin externa del mercado
c. Mtodos de reclutamiento por aplicar

Cada nuevo empleado de la Organizacin es una apuesta de futuro. La empresa

asigna una serie de tareas y responsabilidades al nuevo empleado, y le
proporciona los medios materiales y la informacin necesaria para que pueda
llevarlas a cabo. Debe existir un procedimiento de reclutamiento que tenga en
cuenta los siguientes aspectos relativos a la seguridad:

Definicin del puesto: Para cada nueva vacante se debe definir la

criticidad del puesto a cubrir segn su responsabilidad y la informacin
que maneja. Cada empresa debe definir su criterio propio. Algunos
puestos crticos pueden ser directivos, personal de seguridad, personal
de contabilidad, etc.

Seleccin: En la seleccin de candidatos a puestos crticos se deben

comprobar los antecedentes penales y las referencias profesionales.
Contrato: El contrato laboral debe incluir los correspondientes acuerdos
de confidencialidad, propiedad intelectual y proteccin de datos.

Comienzo: Durante los primeros das de trabajo, es recomendable que el

empleado:

o Asista a unas sesiones de formacin donde se le introduzca en la

normativa interna y de seguridad de la empresa. De este modo
todo empleado conoce sus obligaciones de seguridad tales como
la proteccin de sus claves de acceso, uso adecuado del email e
internet, clasificacin de la informacin, etc.

o Reciba el manual de normativa interna y firme el compromiso de

cumplimiento del mismo. Este trmite establece formalmente las
normas internas y garantiza que el empleado conoce la
normativa existente.

Accesos: Los accesos a la informacin y sistemas informticos deben ser

solicitados siempre por el responsable directo del empleado al
departamento de IT o HelpDesk. Dichos accesos deben ser siempre
justificables por la labor que se va a realizar, y en caso de ser
privilegiados, el Departamento de Seguridad debe aprobar su concesin.
1.2. Capacitacin.

La capacitacin es un proceso educacional de carcter estratgico aplicado de

manera organizada y sistmica, mediante el cual los colaboradores adquieren o
desarrollan conocimientos y habilidades especficas relativas al trabajo, y
modifica sus actitudes frente a los quehaceres de la organizacin, el puesto o el
ambiente laboral.

Beneficios de la Capacitacin.

La capacitacin a todos los niveles constituye una de las mejores inversiones

en Recursos Humanos y una de las principales fuentes de bienestar para el
personal y la organizacin.

Cmo Beneficia la capacitacin a las organizaciones:

Conduce a rentabilidad ms alta y a actitudes ms positivas.

Mejora el conocimiento del puesto a todos los niveles.

Crea mejor imagen.

Mejora la relacin jefes-subordinados.

Se promueve la comunicacin a toda la organizacin.

Reduce la tensin y permite el manejo de reas de conflictos.

Se agiliza la toma de decisiones y la solucin de problemas.

Promueve el desarrollo con vistas a la promocin.

Contribuye a la formacin de lderes y dirigentes.

Cmo beneficia la capacitacin al personal:

Ayuda al individuo para la toma de decisiones y solucin de problemas.

Alimenta la confianza, la posicin asertiva y el desarrollo.

 Contribuye positivamente en el manejo de conflictos y tensiones.

Forja lderes y mejora las aptitudes comunicativas.

Sube el nivel de satisfaccin con el puesto.

Permite el logro de metas individuales.

Desarrolla un sentido de progreso en muchos campos.

Elimina los temores a la incompetencia o la ignorancia individual.

Los objetivos de impacto de un Programa de esta naturaleza pueden ser:

Intensificacin y optimizacin del impacto de la inversin en

capacitacin tcnica, de modo que la formacin contnua se constituya
en un eje estratgico para el logro de mejores posiciones competitivas
de las empresas y, por otro lado, en el principal vehculo para aumentar
la empleabilidad de los trabajadores.

Desarrollar actividades de formacin orientadas a profesionalizar las

relaciones laborales, ampliando el acceso de dirigentes sindicales a una
formacin de excelencia, a travs de la cual se valide como interlocutor
efectivo frente a la contraparte empresarial y profundice un estilo de
dirigencia basado en el profesionalismo, la responsabilidad y la visin
de futuro.

Desarrollar experiencias de formacin/capacitacin que apunten a

mejorar la calidad de vida de los trabajadores del sector, asumiendo que
su realidad familiar es el espacio fundamental desde donde se construye
su bienestar y sus posibilidades de desarrollo personal y social.

El contenido de la capacitacin puede involucrar cuatro tipos de cambios de

comportamiento de los colaboradores.
 o Transmisin de informaciones: el elemento esencial en muchos
programas de capacitacin es el contenido: distribuir informaciones
entre los capacitados como un cuerpo de conocimientos. A menudo, las
informaciones son genricas, referentes al trabajo: informaciones acerca
de la empresa, sus productos, sus servicios, su organizacin, su poltica,
sus reglamentos, etc. Puede comprender tambin la transmisin de
nuevos conocimientos.

o Desarrollo de habilidades: sobre todo aquellas destrezas y

conocimientos directamente relacionados con el desempeo del cargo
actual o de posibles ocupaciones futuras: se trata de una capacitacin a
menudo orientado de manera directa a las tareas y operaciones que van
a ejecutarse.

o Desarrollo o modificacin de actitudes: por lo general se refiere al

cambio de actitudes negativas por actitudes ms favorables entre los
colaboradores, aumento de la motivacin, desarrollo de la sensibilidad
del personal de gerencia y de supervisin, en cuanto a los sentimientos y
relaciones de las dems personas. Tambin puede involucrar e implicar
la adquisicin de nuevos hbitos y actitudes, ante todo, relacionados con
los clientes o usuarios.

o Desarrollo de conceptos: la capacitacin puede estar conducida a

elevar el nivel de abstraccin y conceptualizacin de ideas y de
filosofas, ya sea para facilitar la aplicacin de conceptos en la prctica
administrativa o para elevar el nivel de generalizacin, capacitando
gerentes que puedan pensar en trminos globales y amplios.

1.3. Motivacin.

Las grandes empresas utilizan la motivacin como un punto a su favor, ya que

por medio de ella logran que sus empleados realicen excelentemente las
labores asignadas, la motivacin es de suma importancia dentro de una
organizacin sobre todo en el rea comercial, una empresa integrada por un
personal desmotivado tiende a ser ineficiente en sus operaciones.

Actualmente las empresas son conscientes de la importancia de poseer una

estructura comercial convenientemente cualificada y con un alto grado de
motivacin, capaz de compartir los objetivos fijados por el propio
departamento, hacindolos suyos. Entendemos por motivacin toda fuerza o
impulso interior que inicia, mantiene y dirige la conducta de una persona con
el fin de lograr un objetivo determinado. En el mbito laboral estar
motivado supone estar estimulado e interesado suficientemente como para
orientar las actividades y la conducta hacia el cumplimiento de unos objetivos
establecidos previamente. Aunque nos centremos en el equipo comercial,
puede ser extensible a cualquier otro departamento.

Proceso de la motivacin

La motivacin en las personas se inicia con la aparicin de una serie de

estmulos internos y externos que hacen sentir unas necesidades, cuando stas
se concretan en un deseo especfico, orientan las actividades o la conducta en
la direccin del logro de unos objetivos, capaces de satisfacer las necesidades.

El proceso sigue las siguientes etapas:

Estmulo Objetivos

Necesidades Logro de objetivos y

satisfaccin de necesidades
Deseos

Si aplicamos el proceso de motivacin al mbito comercial, la empresa

entre otros estmulos e incentivos puede iniciar la motivacin entre sus
vendedores aplicando por ejemplo una poltica de promociones internas.
sta har surgir la necesidad que se concretar en la aparicin del deseo
de ser promocionado dentro del departamento, orientando las actuaciones
del comercial hacia la consecucin del objetivo ser uno de los
promocionados.

A nivel general, podemos establecer la distincin entre dos clases de

motivaciones:

Motivacin intrnseca. Aquella en la que la accin es un fin en s

mismo y no pretende ningn premio o recompensa exterior a la
accin. El trabajador se considera totalmente automotivado.

Motivacin extrnseca. Se produce como consecuencia de la

existencia de factores externos, es decir tomando como referencia
algn elemento motivacional de tipo econmico.

Es evidente que si la empresa logra que su estructura comercial est

motivada tanto intrnseca como extrnsecamente, podr tener a sus
trabajadores con un buen nivel de integracin y satisfaccin, creando un
clima laboral que repercutir positivamente en su nivel de rendimiento, lo
que redundar en beneficios para la compaa.

Existen diversidad de teoras que centran la atencin en uno o varios de los

aspectos que forman parte del proceso de motivacin de los trabajadores,
dentro de las ms significativas tenemos: Teora de Maslow, Teora de los
factores de Herzberg.

Teora de Maslow

Maslow estableci una serie de necesidades experimentadas por el

individuo, dando origen a la llamada pirmide de necesidades. Segn
esta teora, la satisfaccin de las necesidades que se encuentran en un nivel
determinado lleva al siguiente en la jerarqua, sin embargo se dan zonas de
coincidencia entre un nivel y otro ya que no se da una satisfaccin total de
las necesidades.

Niveles de Necesidades:
 1. Necesidades bsicas. Se encuentran en el primer nivel y su
satisfaccin es necesaria para sobrevivir. Son el hambre, la sed, el
vestido...

2. Necesidades de seguridad. Estn situadas en el segundo nivel, son la

seguridad y proteccin fsica, orden, estabilidad...

3. Necesidades sociales o de pertenencia. Estn relacionadas con los

contactos sociales y la vida econmica. Son necesidades de
pertenencia a grupos, organizaciones...

4. Necesidades de estatus y prestigio. Su satisfaccin se produce cuando

aumenta la iniciativa, autonoma y responsabilidad del individuo.
Son necesidades de respeto, prestigio, admiracin, poder...

5. Necesidades de autorrealizacin. Surgen de la necesidad de llegar a

realizar el sistema de valores de cada individuo, es decir lograr sus
mximas aspiraciones personales.

Teora de los factores de Herzberg

Herzberg considera que existen dos factores que explican la motivacin de

los trabajadores en la empresa:

Factores motivadores. Son los que determinan el mayor o menor grado de

satisfaccin en el trabajo y estn relacionados con el contenido del trabajo:

La realizacin de un trabajo interesante.

El logro. La promocin.

La responsabilidad. Entro otros.

El reconocimiento.

Estos factores son los que mueven al trabajador hacia actitudes positivas y
a sentir satisfaccin.
Factores de higiene. Estn relacionados con el contexto de trabajo y hacen
referencia al tratamiento que las personas reciben en su trabajo:

Las condiciones de La poltica de la

trabajo. empresa.

El sueldo. Entre otros.

Las relaciones humanas.

Tcnicas de Motivacin

Promocin en el trabajo.

Poltica salarial.

Ambiente de trabajo.

Valoracin hombre-puesto de trabajo.

Medios para Evaluar la Motivacin

La observacin y valoracin de las actitudes de los trabajadores.

Los cuestionarios o listas de preguntas.

Las entrevistas

Las encuestas

Anlisis de las condiciones de trabajo

1.4. Rotacin de Personal.

Al descender de un macroenfoque (aspecto ambiental del mercado) a un

microenfoque (aspecto organizacional), resulta importante destacar otros
aspectos de la interaccin organizacin-ambiente. Unos de los aspectos ms
importantes de la dinmica organizacional es la rotacin de personal o
turnover.

El trmino de rotacin de recursos humanos se utiliza para definir la

fluctuacin de personal entre una organizacin y su ambiente; esto significa
que el intercambio de personas entre la organizacin y el ambiente se define
por el volumen de personas que ingresan en la organizacin y el de las que
salen de ella. Por lo general, la rotacin de personal se expresa mediante una
relacin porcentual entre las admisiones y los retiros con relacin al nmero
promedio de trabajadores de la organizacin, en el curso de cierto perodo.
Casi siempre la rotacin se expresa en ndices mensuales o anuales con el fin de
permitir comparaciones, para desarrollar diagnsticos, promover
disposiciones, inclusive con carcter de prediccin.

Como todo sistema abierto, la organizacin se caracteriza por el flujo incesante

de recursos necesarios para desarrollar sus operaciones y generar resultados.

Se le llama feedback a los mecanismos de control (retroaccin o

retroalimentacin), estos mecanismos deben ser homeostticos, capaces de
controlarse y autorregularse, mediante comparaciones entre ellos, y garantizar
un equilibrio dinmico y constante.

En la actualidad uno de los problemas que preocupa al rea de recursos

humanos es el aumento de salidas o perdidas de recursos humanos, situacin
que hace necesario compensarlas mediante el aumento de entradas. Es decir,
los retiros del personal deben ser compensados con nuevas admisiones, a fin
mantener el nivel de recursos humanos en proporciones adecuadas para que
opere el sistema.

Este flujo de entradas y salidas se llama turnover. En toda organizacin

saludable, es normal que se presente un pequeo volumen de entradas y
salidas de recursos humanos, lo cual ocasiona una rotacin vegetativa
(conservacin del sistema).

Lo ideal es que la rotacin se dote de nuevos recursos segn las necesidades

de personal que se presente en la entidad, para impulsar las operaciones,
acrecentar los resultados.
Sin embargo, a veces la rotacin escapa del control de la organizacin, cuando
el volumen de retiros por decisin de los empleados aumenta notablemente.
Cuando el mercado laboral es competitivo y tiene intensa oferta, en general
aumenta la rotacin de personal.

ndice de Rotacin de personal:

Relacin porcentual entre las admisiones y las desvinculaciones de personal, en

relacin al nmero medio de miembros de una empresa, en el transcurso de
cierto tiempo.

Si el ndice es muy bajo se da el estancamiento y envejecimiento del personal

de la organizacin. Si el ndice es muy elevado se presenta demasiada fluidez y
se puede perjudicar a la empresa (falta de estabilidad).

Rotacin es el abandono del puesto de trabajo por parte de un individuo a una

organizacin. Muchos pueden ser los motivos por los que una persona toma la
iniciativa de irse de la organizacin. Segn su grado de intencionalidad la
rotacin puede ser involuntaria o voluntaria. Ser esta ltima la que represente
un problema para las organizaciones.

Este tipo de rotacin voluntaria supone otros efectos, costos directos para la
organizacin tangibles como intangibles.

Los costos tangibles son los asociados con la seleccin y capacitacin de la

persona as como del sustituto.

En cuanto a los intangibles podemos enumerar la prdida de productividad o

fallas en la calidad o en la prevencin de riesgos laborales.

Junto con estos costos aparecen otros problemas asociados a la rotacin, tales
como la disrupcin de las estructuras sociales y de comunicacin de la
organizacin que puede conllevar a la salida de personal.

Algunos autores comenzaron a estudiar tambin los efectos positivos que la

rotacin voluntaria tiene en la organizacin (SATW 1980, Levin y Kleiner,
1992)
Una tasa alta de rotacin reflejara un bajo ndice de efectividad organizacional.

El clculo de ndice de rotacin de personal se basa en la relacin porcentual

entre el volumen de entradas y salidas, y los recursos humanos disponibles en
la organizacin durante cierto periodo.
1. En el clculo del ndice de rotacin de personal para efectos de la
planeacin de RH, se utiliza la ecuacin:

ndice de rotacin de personal= A + D / 2 * 100 / PE

Donde:

A= admisiones de personal durante el periodo considerado (entradas).

D= desvinculaciones del personal (por iniciativa de la empresa o por decisin

de los empleados) durante el periodo considerado (salidas).

PE= promedio efectivo del periodo considerado. Puede ser obtenido sumando
los empleados existentes al comienzo y al final del periodo, y dividiendo entre
dos.

2. Cuando se trata de analizar prdidas de personal y sus causas, en el clculo

del ndice de rotacin de personal no se consideran las admisiones (entradas)
sino las desvinculaciones, ya sea por iniciativa de la institucin o por parte de
los empleados:

ndice de rotacin de personal= D *100 / PE

3. Cuando se trata de analizar las perdidas y hallar los motivos que conducen a
las personas a desvincularse de la organizacin, solo se tienen en cuenta los
retiros por iniciativa de los empleados, y se ignoran por completo los causados
por la organizacin.

ndice de rotacin de personal= D * 100 / N1 + N2 +. NN / 2).

Donde:

D = desvinculaciones espontneas que deben sustituirse;

N1 + N2 +.N n = sumatoria de los nmeros de empleados al comienzo de cada

mes

A = numero de meses del periodo.

4. Cuando se trata de evaluar la rotacin de personal por departamento o

secciones, tomados como subsistemas de un sistema mayor -la organizacin-,
cada subsistema debe tener su propio clculo del ndice de rotacin de
personal, segn la ecuacin:

ndice de rotacin de personal = A+ D /2 + R + T / PE * 100

Donde:

A= personal admitido

D= personal desvinculado

R= recepcin de personal por transferencia de otros subsistemas

(departamentos o secciones)

T= transferencias de personal hacia otros subsistemas (departamentos o

secciones).

Dentro de los fenmenos internos que ocurren en la organizacin, podemos citar:

La poltica salarial de la organizacin.

La poltica de beneficios de la organizacin.

El tipo de supervisin ejercido sobre el personal.

Las oportunidades de crecimiento profesional localizados dentro de la

organizacin.

El tipo de relaciones humanas desarrolladas dentro de la organizacin.

Las condiciones fsicas ambientales de trabajo ofrecidas por la
organizacin.

La moral del personal de la organizacin.

La cultura organizacional desarrollada dentro de la organizacin.

Las polticas de reclutamiento y seleccin de recursos humanos.

Los criterios y programas de entrenamiento de recursos humanos.

Las polticas disciplinarias desarrolladas por la organizacin.

Los criterios de evaluacin del desempeo.

Los grados de flexibilidad de las polticas desarrolladas por la

organizacin.

Algunas empresas utilizan la entrevista de desvinculacin como el medio

principal de controlar y medir los resultados de la poltica de recursos
humanos desarrollada por la organizacin. Suele ser el principal medio para
determinar las causas de la rotacin de personal.
La entrevista desvinculacin trata de darle cobertura principalmente a los
siguientes aspectos:

Verificacin de motivo bsico de desvinculacin (por iniciativa de la

empresa o el empleado)

Opinin del empleado sobre la empresa.

Opinin del empleado sobre el cargo que ocupa en la organizacin.

Opinin del empleado sobre el jefe directo.

5. Sobre su horario de trabajo.

6. Sobre las condiciones fsicas ambientales dentro de las cuales desarrolla su

trabajo.

7. Sobre los beneficios sociales concedidos por la organizacin.

8. Sobre su salario.

9. Sobre las relaciones humanas existentes en su seccin.

10. Sobre las oportunidades de progreso que sinti dentro de la organizacin.

11. Sobre la moral y la actitud de sus colegas de trabajo.

12. Sobre las oportunidades que encuentran en el mercado de trabajo

Los datos recogidos en las entrevistas de desvinculacin pueden ser tabulados

por la seccin, departamento., divisin o por cargo, para la mejor localizacin
de los problemas existentes.

Existen, sin embargo, ciertos aspectos que escapan totalmente a la percepcin y

al control de los empleados y que deben ser corregidos dentro de la
organizacin, a partir de registros que se mantienen por el sistema de recursos
humanos de la organizacin. Esos datos son los siguientes:

verificacin de la fecha de admisin del empleado y de si trayectoria

profesional dentro de la empresa;

verificacin de los resultados de la evaluacin de su desempeo;

de su comportamiento funcional relacionado con disciplina,

puntualidad, asiduidad, etc.;
 de los resultados obtenidos en los test de seleccin;

de los resultados obtenidos en los programas de entrenamiento

concedidos por la organizacin;

de datos personales como: sexo, edad, estado civil, direccin, formacin

escolar, experiencia profesional, etc.;

de datos internos como: seccin donde trabaja, cargo que ocupa, horario
de trabajo, salario, etc.

Todos estos datos deben tabularse, con miras a que en determinado periodo
(mes, semestre, ao) se tenga una frecuencia de su ocurrencia.
Las informaciones recogidas a travs de las entrevistas de desvinculacin y de
otras fuentes permiten un anlisis situacional de la organizacin y de su
ambiente.

Determinacin del costo de la rotacin de personal

La rotacin de personal involucra una serie de costos primarios y secundarios.

Entre los costos primarios de rotacin de personal, estn:

1.- Costos de reclutamiento y seleccin:

gastos de emisin y de procesamiento de solicitud del empleado;

gastos de mantenimiento del rgano de reclutamiento ye seleccin;

gastos en anuncios de peridicos, hojas de reclutamiento, honorarios de

empresas de reclutamiento, material de reclutamiento, formularios, etc.;

gastos de mantenimiento de las seccin de servicios mdicos;

2.- Costo de registro y documentacin:

o gastos de mantenimiento del rgano de registro y documentacin de

personal; gastos en formularios, documentacin, anotaciones, registros, etc.

3.- Costos de integracin:

gastos de la seccin de entrenamiento, divididos por el nmero de

empleados sometidos al programa de integracin;
 costo del tiempo del supervisor del rgano solicitante aplicado en la
ambientacin de los empleados recin admitidos en su seccin.

4.- Costo de desvinculacin:

gastos del rgano de registro y documentacin relativos al proceso de

desvinculacin del empleado, divididos por el nmero de empleados
desvinculados.

Costo de la entrevista de desvinculacin.

Costo de las indemnizaciones por el tiempo anterior a la opcin por el

FGTS.

Costo del anticipo de pagos relacionados con vacaciones proporcionales,

salario proporcional, aviso previo.

Entre los costos secundarios de la rotacin de personal, estn:

1.- Reflejos en la produccin:

Perdida de la produccin causada por el vaci dejado por el empleado

desvinculado, mientras no es substituido;

Produccin generalmente inferior - por lo menos durante el periodo de

ambientacin del nuevo empleado que ha ocupado el cargo;

Inseguridad inicial del nuevo empleado y su interferencia en el trabajo

de los compaeros.

2.- Reflejos en la actitud del personal:

Imagen, actitudes y predisposiciones que el empleado que esta

retirndose transmite a sus compaeros;

Imagen, actitudes y predisposiciones que el empleado que est

iniciando transmite a sus compaeros;

Influencia de los dos aspectos mencionados anteriormente sobre la

moral y la actitud del supervisor y del jefe;

Influencia de los aspectos mencionados anteriormente sobre la actitud

de los clientes.
3.- Costo extra-laboral:

Gastos del personal extra y horas extras necesarias para cubrir el vaci
existente o para cubrir la deficiencia inicial del nuevo empleado.

Tiempo adicional de produccin causada por la deficiencia inicial del

nuevo empleado;

Tiempo adicional del supervisor que se emplea en la integracin y en el

entrenamiento del nuevo empleado.

4.- Costo extra-operacional:

Costo adicional de energa elctrica, debido al ndice reducido de

produccin del nuevo empleado;

Aumento de errores, repeticiones y problemas del control de calidad

provocados por la inexperiencia del nuevo empleado.

5.- Costo extra-inversin:

Aumento proporcional de las tasas de seguros, depreciacin del equipo,

mantenimiento y reparaciones en relacin con el volumen de
produccin, reducido en razn de los cargos existentes o a los recin
admitidos que estn en periodo de ambientacin y de entrenamiento;

Aumento del volumen de salarios pagados a los nuevos empleados y,

consecuentemente, de reajustes de todos los dems empleados, cuando
la situacin del mercado de trabajo es de oferta, lo que intensifica la
competencia y lleva la oferta de salarios iniciales al mercado de recursos
humanos.

6.- Perdidas en los negocios:

La imagen y los negocios de la empresa pueden sufrir deterioro por la

deficiente calidad de los productos en razn de la inexperiencia de los
empleados.

Obviamente, los clculos de los costos primarios y secundarios de rotacin de

personal podra tener mayor o menor influencia, de acuerdo con el nivel de
inters de la organizacin. Ms que un simple resultado numrico y
cuantitativo de tales costos, lo que realmente interesa es la concientizacin, por
parte de los dirigentes de las organizaciones, de los reflejos profundos que la
 rotacin elevada de recursos humanos puede traer no solo para la empresa,
sino tambin para la comunidad y para el propio individuo.

Ejemplo ndice de rotacin:

Si existen 1000 empleados, salen 10 y entran 20. en 1 ao. (Recordar la

importancia del tiempo)

El ndice de rotacin es:

(20 - 10 / 1000) * 100 = 1% anual.

Como la relacin es porcentual, el ndice es del 1% positivo, lo que indica

adems que la empresa est creciendo. Existe estabilidad, y la rotacin es baja.
Si la empresa est en crisis, supongamos salen 500, y entran 20.
(20 - 500 /1000) * 100 = - 48% Implica que la empresa decreci personal en
48% y la rotacin es muy alta.

1.5. Funciones.

Funciones

Se encarga de administrar y monitorizar el correcto funcionamiento del

sistema incluyendo cambios de versiones, administracin de acceso y
realizacin de copias de respaldo.

Obligaciones

o Conocer la normativa interna en materia de seguridad, y

especialmente la referente a proteccin de datos de carcter
personal. Dicha normativa puede consistir en normas,
procedimientos, reglas y estndares, as como posibles guas.

o Cumplir lo dispuesto en la normativa interna vigente en cada

momento.
o Conocer las consecuencias que se pudieran derivar y las
responsabilidades en que pudiera incurrir en caso de
incumplimiento de la normativa, que podran derivar en sanciones.

o Utilizar los controles y medios que se hayan establecido para

proteger tanto los datos de carcter personal como los propios
sistemas de informacin y sus componentes: los ficheros
automatizados, los programas, los soportes y los equipos empleados
para el almacenamiento y tratamiento de datos de carcter personal.

o No intentar vulnerar los mecanismos y dispositivos de seguridad,

evitar cualquier intento de acceso no autorizado a datos o recursos,
informar de posibles debilidades en los controles, y no poner en
peligro la disponibilidad de los datos, ni la confidencialidad o
integridad de los mismos.

o Guardar secreto sobre los datos que pueda conocer, as como sobre
controles y posibles debilidades, incluso despus de haber causado
baja en la Universidad.

o Usar de forma adecuada segn la normativa los mecanismos de

identificacin y autenticacin ante los sistemas de informacin,
tanto sean contraseas como sistemas ms avanzados, como
biomtricos u otros, y en ambos casos; mediante acceso local o a
travs de redes de comunicaciones, cuando est as previsto. En el
caso de contraseas cumplir lo recogido en la normativa,
especialmente en cuanto a asignacin, sintaxis, distribucin, custodia
y almacenamiento de las mismas, as como el cambio con la
periodicidad que se determine.

o No ceder ni comunicar a otros las contraseas, que son personales,

que no estarn almacenadas en claro, y que sern transmitidas por
canales seguros. Los usuarios sern responsables ante la
 Universidad de todos los accesos y actividades que se puedan haber
realizado utilizando su cdigo de usuario y contrasea.

o Evitar transmitir o comunicar datos considerados sensibles por

medios poco fiables sin proteccin (telefona de voz, correo
electrnico, fax)

o Realizar las copias de los datos que en cada caso se establezcan en la

normativa, as como proteger las copias obtenidas.

o Cumplir la normativa en cuanto a gestin de soportes informticos

que contengan datos de carcter personal, as como tomar
precauciones en el caso de soportes que vayan a desecharse o ser
reutilizados, mediante la destruccin, inutilizacin o custodia. En el
caso de averas que requieran su transporte fuera de las
instalaciones se intentar borrar previamente su contenido o se
exigirn garantas escritas de que se har as.

o No sacar equipos o soportes de las instalaciones sin la autorizacin

necesaria, y en todo caso con los controles que se hayan establecido.

1.6. tica.

La tica de la Informtica (EI) es una nueva disciplina que pretende abrirse

campo dentro de las ticas aplicadas y que ha emergido con fuerza desde hace
unos pocos aos en el mundo anglosajn. El origen remoto de la EI est en la
introduccin cada vez ms masiva de los ordenadores en muchos mbitos de
nuestra vida social, cada vez ms computarizada. Muchas profesiones
reivindican para s una tica particular con la cual pueden regirse ante los
problemas morales especficos de esa profesin o actividad ocupacional. La
existencia de la EI tiene como punto de partida el hecho de que los ordenadores
suponen unos problemas ticos particulares y por tanto distintos a otras
tecnologas.
En la profesin informtica se quiere pasar de la simple aplicacin de criterios
ticos generales a la elaboracin de una tica propia de la profesin. Los
cdigos ticos de asociaciones profesionales y de empresas de informtica van
en esa direccin.

El plantear una disciplina como la EI implica salir al paso de afirmaciones como

"la tica no tiene nada que ver con los ordenadores" o "no hay una tica
especial para los informticos". Realizar la primera afirmacin supone no
reconocer los dilemas ticos en las tareas del informtico que son potenciados
por el mismo desarrollo tecnolgico. Contrarrestar la segunda afirmacin, en
cambio, supone demostrar que s hay necesidad de una tica especial para los
informticos.

As como otras ciencias y profesiones han tenido siglos para desarrollar

conceptos ticos con los cuales tratar sus problemas (entre ellos, los
provocados por las nuevas tecnologas), las tecnologas de la informacin
llevan slo unas pocas dcadas de existencia para crear, como otras disciplinas
lo han hecho, sus propios estndares ticos.

Definiciones de la tica Informtica

La definicin ms restrictiva de la EI es el considerarla como la disciplina que

analiza problemas ticos que son creados por la tecnologa de los ordenadores
o tambin los que son transformados o agravados por la misma, es decir, por
las personas que utilizan los avances de las tecnologas de la informacin.

Algunos de los autores se plantean si la cambiante sofisticacin tecnolgica

plantea nuevos dilemas ticos o si las cuestiones ticas permanecen constantes.
Otras definiciones de la EI son mucho ms amplias. No se reducen a un nuevo
campo de tica aplicada sino que, por ejemplo, en Moor, la EI es el anlisis de la
naturaleza y el impacto social de la tecnologa informtica y la correspondiente
formulacin y justificacin de polticas para un uso tico de dicha tecnologa. La
EI estara relacionada con los problemas conceptuales y los vacos en las
regulaciones que ha ocasionado la tecnologa de la informacin. El problema es
que hay una falta de reglamentacin en cmo utilizar estas nuevas tecnologas
que posibilitan nuevas actividades para las cuales no hay o no se perciben con
nitidez principios de actuacin claros. Las personas con responsabilidades en el
rea de diseo o gestin de sistemas de informacin cada vez han de tomar
ms decisiones sobre problemas que no se resuelven con lo legal y lo cuasi-
legal (reglamentos, manuales de procedimiento de las empresas, etc.) sino que
rozan lo tico mismo. La tarea de la EI es aportar guas de actuacin cuando no
hay reglamentacin o cuando la existente es obsoleta. Al vaco de polticas se
aade generalmente un problema de vaco conceptual. Por ello la EI tambin ha
de analizar y proponer una marco conceptual que sea adecuado para entender
los dilemas ticos que ocasiona la informtica.

Otra definicin ms englobante viene de Terrel Bynum, que basndose en

Moor, define la EI como la disciplina que identifica y analiza los impactos de las
tecnologas de la informacin en los valores humanos y sociales. Estos valores
afectados son la salud, la riqueza, el trabajo, la libertad, la democracia, el
conocimiento, la privacidad, la seguridad o la autorrealizacin personal. En este
concepto de EI se quieren incluir trminos, teoras y mtodos de disciplinas
como la tica aplicada, la sociologa de los ordenadores, la evaluacin social de
las tecnologas o el derecho informtico.

Los que escriben sobre esta materia no tienen como objetivo adoctrinar o hacer
proselitismo sobre una manera concreta de pensar tratando de transmitir un
conjunto de valores concretos. La intencin es incorporar una conciencia social
relacionada con la tecnologa informtica y tambin ayudar a los informticos a
utilizar los ordenadores no solo con eficiencia sino con criterios ticos. El
objetivo es tomar decisiones sobre temas tecnolgicos de manera consistente
con la afirmacin de los propios valores que uno profesa o con los derechos
humanos en general.
Para ello esta disciplina se plantea varios objetivos intermedios. Por un lado,
descubrir y articular dilemas ticos clave en informtica. Determinar en qu
medida son agravados, transformados o creados por la tecnologa informtica.
Ante los dilemas ticos que ocasiona la informtica, analizar y proponer un
marco conceptual adecuado y formular principios de actuacin para
determinar qu hacer en las nuevas actividades ocasionadas por la informtica
en las que no se perciben con claridad lneas de actuacin. Por ltimo, siempre
se pretende un anlisis tico de casos realistas y significativos.

Para realizar lo anterior, la EI pretende tener en cuenta dos aspectos. Por un

lado, utilizar la teora tica para clarificar los dilemas ticos y detectar errores
en el razonamiento tico. Por otro, colaborar con otras disciplinas en ese
debate, siendo conscientes de los puntos de vista alternativos en las cuestiones
referentes a valores y sabiendo discriminar en los distintos casos entre las
consideraciones ticas y las tcnicas.

Sin embargo, la EI puede ir ms all. No solo proponer principios de actuacin y

ver qu valores son afectados sino reconsiderar valores que son de hecho
asumidos. Por ejemplo, el software supone un tipo de propiedad que no encaja
perfectamente en el concepto de propiedad tradicional. La EI puede analizar
qu tipo de propiedad es el software, pero puede plantearse un debate ms
profundo preguntndose por qu ha de existir propiedad intelectual. Esto
supone plantearse de manera nueva valores antiguos y reconsiderar su
vigencia.

Los Cdigos Deontolgicos en Informtica

Las asociaciones de profesionales de informtica y algunas empresas

relacionadas con la informtica han desarrollado cdigos de conducta
profesional. Estos cdigos tienen distintas funciones:
El que existan normas ticas para una profesin quiere decir que un
profesional, en este caso un tcnico, no es solo responsable de los aspectos
tcnicos del producto, sino tambin de las consecuencias econmicas,
sociolgicas y culturales del mismo.

Sirven tambin como un instrumento flexible como suplemento a las medidas

legales y polticas, ya que stas en general van muy lentas comparadas con la
velocidad del desarrollo de las tecnologas de la informacin. Los cdigos hacen
de suplemento a la ley y sirven de ayuda a los cuerpos legislativos,
administrativos y judiciales.

Sirven como concienciacin pblica, ya que crear unas normas as hace al

pblico consciente de los problemas y estimula un debate para designar
responsabilidades.

Estas normas tienen una funcin sociolgica ya que dan una identidad a los
informticos como grupo que piensa de una determinada manera; es smbolo
de sus estatus profesional y parte de su definicin como profesionales.

Estas normas sirven tambin como fuente de evaluacin pblica de una

profesin y son una llamada a la responsabilidad que permiten que la sociedad
sepa qu pasa en esa profesin; aumenta la reputacin del profesional y la
confianza del pblico.

En las organizaciones internacionales estas normas permiten armonizar

legislaciones o criterios divergentes existentes (o ausentes, en su caso) en los
pases individuales.

Sin embargo, la crtica que se hace a estas asociaciones en que han hecho poco
por hacerlos cumplir, por imponer sanciones si no se cumplen o por comprobar
si se aplican o si son relevantes o pertinentes. De hecho hay cdigos que no son
conocidos por los miembros de sus profesiones y menos por sus clientes.
2. Evaluacin del Perfil de Oficiales de Informtica.

Definicin

El Oficial de seguridad informtica (OSI), es la persona responsable de

planear, coordinar y administrar los procesos de seguridad informtica en una
organizacin

Misin

El Oficial de seguridad informtica tiene la funcin de brindar los servicios

de seguridad en la organizacin, a travs de la planeacin, coordinacin y
administracin de los procesos de seguridad informtica, as como difundir la
cultura de seguridad informtica entre todos los miembros de la organizacin.

Objetivos

Definir la misin de seguridad informtica de la organizacin en conjunto

con las autoridades de la misma.
Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad
informtica en la organizacin.
Definir la Poltica de seguridad informtica de la organizacin.
Definir los procedimientos para aplicar la Poltica de seguridad informtica.
Seleccionar los mecanismos y herramientas adecuados que permitan
aplicar las polticas dentro de la misin establecida.
Crear un grupo de respuesta a incidentes de seguridad, para atender los
problemas relacionados a la seguridad informtica dentro de la
organizacin.
Promover la aplicacin de auditoras enfocadas a la seguridad, para evaluar
las prcticas de seguridad informtica dentro de la organizacin.
Crear y vigilar los lineamientos necesarios que coadyuven a tener los
servicios de seguridad en la organizacin.
Crear un grupo de seguridad informtica en la organizacin.
Formacin
El Perfil del Oficial de Seguridad debe llenar estas caractersticas:

Habilidades personales
Deberes y responsabilidades

Los deberes y responsabilidades del OSI deben establecerse claramente

y requieren ser aprobados por la administracin y/o directivos.

A continuacin un listado de deberes y responsabilidades recomendados:

El OSI tiene como principal responsabilidad la administracin y

coordinacin diaria del proceso de Seguridad Informtica de la
institucin donde labora.
Tiene como responsabilidad asegurar el buen funcionamiento del
proceso de
Seguridad Informtica de la institucin. Debe ser el punto de referencia
para todos los procesos de seguridad y ser capaz de guiar y aconsejar a
los usuarios de la institucin sobre cmo desarrollar procedimientos
para la proteccin de los recursos.
Una tarea clave para el OSI es guiar al cuerpo directivo y a la
administracin de la organizacin ante incidentes de seguridad
mediante un Plan de Respuesta a Incidentes, con el fin de atender
rpidamente este tipo de eventualidades.
El OSI es responsable de proponer y coordinar la realizacin de un
anlisis de riesgos formal en seguridad de la informacin que abarque
toda la organizacin.
Es deber del OSI el desarrollo de procedimientos de seguridad
detallados que fortalezcan la poltica de seguridad informtica
institucional.
El OSI debe ser miembro activo del grupo de seguridad de CUDI, y
mantener contacto con los OSI de otras organizaciones, estar suscrito a
listas de discusin y de avisos de seguridad.
Es responsabilidad del OSI promover la creacin y actualizacin de las
polticas de seguridad informtica, debido al comportamiento
cambiante de la tecnologa que trae consigo nuevos riesgos y amenazas.
 Es responsabilidad del OSI el desarrollo de un Plan de Seguridad de la
Informacin.
El OSI debe atender y responder inmediatamente las notificaciones de
sospecha de un incidente de seguridad o de incidentes reales.
Es responsabilidad del OSI la elaboracin de un Plan de Respuesta a
Incidentes de
Seguridad, con la finalidad de dar una respuesta rpida, que sirva para la
investigacin del evento y para la correccin del proceso mismo.
Es responsabilidad del OSI coordinar la realizacin peridica de
auditoras a las prcticas de seguridad informtica.

2.1. Niveles de Acceso, segn funciones.

Niveles de seguridad

La ley identifica tres niveles de medidas de seguridad, BSICO, MEDIO y ALTO,

los cuales debern ser adoptados en funcin de los distintos tipos de datos
personales (datos de salud, ideologa, religin, creencias, infracciones
administrativas, de morosidad, etc.).

Nivel bsico

Tipo de datos:

Nombre
Apellidos
Direcciones de contacto (tanto fsicas como electrnicas)
Telfono (tanto fijo como mvil)
Otros

Medidas de seguridad obligatorias

Documento de Seguridad
Rgimen de funciones y obligaciones del personal
 Registro de incidencias
Identificacin y autenticacin de usuarios
Control de acceso
Gestin de soportes
Copias de respaldo y recuperacin

Normas
El responsable del fichero elaborar e implantar la normativa de
seguridad mediante un documento de obligado cumplimiento para el
personal con acceso a los datos automatizados de carcter personal y a
los sistemas de informacin. (RD 994/1999, arts. 8.1, 8.2). El documento
deber contener como mnimo los siguientes aspectos:
mbito de aplicacin del documento con especificacin detallada de los
recursos protegidos.
Medidas, normas, procedimientos, reglas y estndares encaminados a
garantizar el nivel de seguridad exigido en este Reglamento.
Funciones y obligaciones del personal.
Estructura de los ficheros con datos de carcter personal y descripcin
de los sistemas de informacin que los tratan.
Procedimiento de notificacin, gestin y respuesta ante las incidencias.
Los procedimientos de realizacin de copias de respaldo y de
recuperacin de los datos.
El documento deber mantenerse en todo momento actualizado y
deber ser revisado siempre que se produzcan cambios relevantes en el
sistema de informacin o en la organizacin del mismo. (RD 994/1999,
art.8.3)
El contenido del documento deber adecuarse a las disposiciones
vigentes en materia de seguridad de los datos de carcter personal. (RD
994/1999, art.8.4)
Nivel medio

Tipo de datos:

Comisin infracciones penales

Comisin infracciones administrativas
Informacin de Hacienda Pblica
Informacin de servicios financieros

Medidas de seguridad obligatorias:

Medidas de seguridad de nivel bsico

Responsable de Seguridad
Auditoria bianual
Medidas adicionales de Identificacin y autenticacin de usuarios
Control de acceso fsico

Normas
El documento de seguridad deber contener la identificacin del
responsable o responsables de seguridad, los controles peridicos que
se deban realizar para verificar el cumplimiento de lo dispuesto en el
propio documento y las medidas que sea necesario adoptar cuando un
soporte vaya a ser desechado o reutilizado. (RD 994/1999, art.15)

Nivel alto

Tipo de datos:

Ideologa Origen racial

Religin Salud
Creencias Vida
Medidas de seguridad obligatorias:

Medidas de seguridad de nivel bsico y medio

Seguridad en la distribucin de soportes
Registro de accesos
Medidas adicionales de copias de respaldo

Normas

De cada acceso se guardarn como mnimo, la identificacin del usuario,

la fecha y la hora en que se realiz, el fichero accedido, el tipo de acceso
y si ha sido autorizado o denegado. (RD 994/1999, art. 24.1)
En el caso que el acceso haya sido autorizado, ser preciso guardar la
informacin que permita identificar el registro accedido. (RD 994/1999,
art. 24.2)
Los mecanismos que permiten el registro de los datos detallados en los
prrafos anteriores estarn bajo el control directo del responsable de
seguridad competente sin que se deba, en ningn caso, la desactivacin
de los mismos. (RD 994/1999, art. 24.3)
El perodo mnimo de conservacin de los datos registrados ser de dos
aos. (RD 994/1999, art. 24.4)
El responsable de seguridad competente se encargar de revisar
peridicamente la informacin de control registrada y elaborar un
informe de las revisiones realizadas y los problemas detectados al
menos una vez al mes. (RD 994/1999, art. 24.5).

Ejemplo Cules son los distintos niveles de acceso de usuarios?

Los usuarios de cuentas pueden invitar a otros usuarios a compartir el acceso a
sus cuentas en tres niveles de acceso diferentes:
Administrativo (el nivel ms alto de acceso)
Estos usuarios pueden ver, modificar y administrar cualquier parte de
una cuenta y sus campaas (a excepcin de la informacin de acceso y
opcin de idioma).
Adems, recibe correos electrnicos de notificacin.
nicamente aquellos que cuentan con Acceso administrativo pueden
invitar a obtener acceso e inhabilitar el acceso a otros usuarios, ver
invitaciones pendientes, y cambiar el nivel de acceso a otros usuarios.

Tenga en cuenta que debe haber un usuario con Acceso administrativo en cada
cuenta para recibir las notificaciones importantes por correo electrnico, y ese
usuario no puede cambiar su propio nivel de acceso. La nica manera de
cambiar este nivel de acceso es invitar a otro usuario a obtener Acceso
administrativo, y luego solicitar al nuevo administrador que cambie el nivel de
acceso.

Acceso administrativo

Los administradores de cuentas con Acceso administrativo pueden

invitar a usuarios a compartir la cuenta en los niveles Acceso estndar
(administrado) y Acceso a los informes (administrado).
Tambin pueden cambiar los niveles de acceso de otros usuarios en las
cuentas que administran. No pueden cambiar el nivel de acceso de la
cuenta de un usuario de Acceso estndar o Acceso a los informes a
Administrativo, a menos que ese usuario haya contado con Acceso
administrativo previamente.
Los administradores no pueden anular el acceso a la cuenta de otros
usuarios ni revocar invitaciones para compartir la cuenta enviadas a
otros usuarios por parte de un administrador principal de cuentas.
Usuario Estndar (acceso a la mayora de las caractersticas de la cuenta)

Los usuarios con Acceso estndar y Acceso estndar (administrado)

poseen casi las mismas capacidades que los usuarios con Acceso
administrativo, pero con una sola excepcin: los usuarios con Acceso
estndar no pueden invitar a otras personas a compartir acceso,
cambiar los niveles de los usuarios ni inhabilitar el acceso a la cuenta.

Acceso a los informes y acceso a los informes (administrado)

Los usuarios con Acceso a los informes cuentan con el nivel ms bajo de
acceso a una cuenta; pueden solamente ver y ejecutar informes.
Los usuarios con Acceso a los informes (administrado) pueden ver y
ejecutar informes, recibir correos electrnicos de notificacin de cuenta
y desvincular una cuenta.

Principales criterios utilizados determinar niveles de acceso en una

empresa:

Se deben adoptar procedimientos en relacin con la identificacin y

autenticacin de usuarios, la gestin y revisin de derechos y privilegios de
acceso de los usuarios, la comprobacin de los accesos.

Se deben seguir los criterios de 'Autenticacin'.

Se debe implantar un procedimiento formalizado de registro de altas y

bajas de acceso de usuarios a todos los servicios de la aplicacin y del
sistema, de manera que se garantice que no se proporcione acceso al
sistema hasta que se hayan completado los procedimientos de
autorizacin y que se compruebe que el usuario tiene la autorizacin del
responsable (propietario) del servicio para utilizarlo.

Se debe verificar que el nivel de acceso asignado al usuario corresponde

a necesidades de funcionamiento de la Organizacin y es consistente
con la normativa de seguridad de la Organizacin y que no se contradice
 con el principio de segregacin de funciones (segn grupos de usuarios,
servicios y sistemas de informacin).

Se debe informar a cada usuario de todos sus derechos de acceso, los

cuales ha de reconocer como conocidos de manera fehaciente, as como
la comprensin y aceptacin de las condiciones de acceso.

Se debe mantener actualizado el registro de todas las personas con

derechos de acceso al servicio, revisndolo de forma peridica para
localizar y eliminar identificadores de usuarios redundantes
(duplicados) o sobrantes (no utilizados).

Se debe eliminar de forma inmediata las autorizaciones de acceso a los

usuarios que dejen la Organizacin o cambien su funcin dentro de ella
y comprobar que los identificadores eliminados no sean reasignados a
otros usuarios.

No se debe permitir la utilizacin de claves compartidas o multiusuario.

Se debe asociar el control de acceso con los requisitos de autenticidad,

confidencialidad, integridad y disponibilidad exigidos por el recurso al cual se
intenta acceder.

Se debe limitar el acceso a los recursos segn la funcin o la necesidad de

conocer.

Se debe establecer un proceso de autorizacin que registre los

privilegios asignados a los usuarios; hasta que no haya concluido
completamente, no otorgar privilegios especiales.

Se deben identificar los privilegios asociados a cada subsistema (el

sistema operativo, el gestor de base de datos, la aplicacin, etc.) y a cada
categora de usuarios que los necesiten.
 Se deben asignar privilegios a individuos (no a colectivos) considerando
cada caso como un acceso eventual temporal y partiendo del principio
de 'necesidad de uso' (que minimice el acceso para el estricto
desempeo de sus funciones y slo cuando es imprescindible).

Se debe promover el desarrollo y uso de herramientas (procedimientos

automticos o rutinas) que permitan la asignacin temporal de
privilegios.

Se deben revisar peridicamente y mediante procedimiento formal los derechos

de acceso de los usuarios

Se debe revisar la capacidad de acceso de los usuarios (por ejemplo,

cada seis meses).

Se deben someter a revisin ms frecuente los accesos privilegiados

(por ejemplo, cada tres meses).

Se debe comprobar regularmente las asignaciones de accesos

privilegiados para asegurarse de que stos no han dado lugar a accesos
no autorizados.

Se debe formar a los usuarios en relacin con el control de acceso a los recursos
protegidos.

Los usuarios deben cumplir con las recomendaciones relativas a

elementos de identificacin y autenticacin (contraseas, certificados,
tarjetas, etc.) y a los equipos no atendidos (desconexin de sesiones,
proteccin si procede con bloqueador de teclado o llave, etc.).

Se deben adoptar medidas en relacin con el trabajo desde fuera de las

instalaciones de la organizacin.

Se deben adoptar medidas adicionales especficas para los equipos porttiles.

 Se deben instalar controles de acceso que acten con carcter previo a
la carga del sistema operativo.
Se deben instalar mecanismos que cifren la informacin de los soportes
de almacenamiento.

Se deben adoptar medidas adicionales especficas para el control de acceso de

terceras partes

Se debe elaborar un documento que contenga las normas de seguridad

aplicables para el acceso de terceras partes.

Se deben establecer procedimientos de proteccin de los activos;

medidas de proteccin fsica; medidas contra la introduccin y
propagacin de virus o de otro cdigo daino.

Se deben establecer procedimientos de autorizacin de acceso a cada

recurso o activo.

Se debe fijar el mtodo de acceso permitido (control del identificador y

de contraseas de usuario o mediante certificados digitales).

Se debe mantener permanentemente actualizada la lista de usuarios

autorizados y de permisos de acceso a recursos o activos especficos.

Horas y fechas de disponibilidad del servicio (caractersticas necesarias

del plan de contingencias).

Responsabilidades de cada parte: derecho de auditora para

cumplimentar las responsabilidades contractuales; derecho de la
organizacin anfitriona para controlar (y suspender en su caso) la
actividad de uno o varios usuarios; acuerdo para la investigacin e
informes de incidentes de seguridad.

Responsabilidades derivadas de la normativa (proteccin de datos de

carcter personal, entre otros).
 Restricciones contra la copia y la revelacin no autorizada.

Medidas para asegurar la devolucin de documentacin y activos de

informacin al finalizar el contrato.

Mecanismos para asegurar que las medidas de seguridad son conocidas,

respetadas y aplicadas.

Requisitos de formacin de los terceros en los mtodos y

procedimientos de seguridad compatibles con los de la organizacin.

RECOMENDACIONES

Interrumpir automticamente la sesin despus de un periodo de tiempo en el

que el usuario no ha realizado ninguna accin. Este periodo de tiempo
depender de las caractersticas de la propia aplicacin y del perfil del usuario
que accede a la informacin.

Limitar el tiempo mximo de conexin para aplicaciones que se considere

conveniente, as como la franja horaria de acceso.

Mantener un registro de eventos relativos al control de acceso.

Controlar el acceso a los programas de utilidades.

Bloquear las cuentas que no sean utilizadas durante un perodo de tiempo

fijado.

Utilizar preferentemente sistemas, productos o equipos cuyas funcionalidades

de seguridad y su nivel hayan sido rigurosamente evaluados conforme a
normas europeas o internacionales, como ISO/IEC 15408, y certificados por
entidades independientes y de reconocida solvencia, como las recogidas en los
acuerdos o arreglos internacionales de reconocimiento mutuo de los
certificados de la seguridad de la tecnologa de la informacin.
Conclusiones

La Administracin de RH busca compenetrar el recurso humano con el proceso

productivo de la empresa, haciendo que ste ltimo sea ms eficaz como
resultado de la seleccin y contratacin de los mejores talentos disponibles en
funcin del ejercicio de una excelente labor de estos. As como tambin la
maximizacin de la calidad del proceso productivo depende de igual modo de
la capacitacin de los elementos humanos para hacer ms valederos sus
conocimientos.

Los sistemas informativos proveen a la empresa, en cada uno de sus niveles, la

fuente necesaria para la toma de decisiones.

El xito en los sistemas de informacin de Recursos Humanos depende de la

adecuada planificacin del sistema, que requerir una correcta comunicacin
entre usuarios y personal informtico.

El Oficial de Seguridad Informtica es el encargado de analizar los riesgos,

determinar que estrategias efectivas para combatir ataques.

Cada organizacin es distinta y no hay un acuerdo sobre la mejor manera de

organizar un rea de seguridad informtica en una empresa.

Los niveles de seguridad son asignados de acuerdo al puesto que se tenga en la

empresa, pero esto no puede llevar a un camino que nos lleve a romper las
reglas impuestas y destruirlas por muy alto puesto que se encuentre la
persona.
Referencia Bibliogrfica

http://www.elergonomista.com/recursos.htm

http://www.rrhhmagazine.com/articulos.asp?id=251

www.gestiopolis.com/recursos/.../rh/.../impcap.htm

http://www.asimetcapacitacion.cl/capacitacion_alianza_estrategica.htm

http://rfc.cudi.edu.mx/drafts/draft2.pdf

http://www.monografias.com/trabajos-pdf2/perfiles-profesionales-
seguridad-informatica-practico/perfiles-profesionales-seguridad-informatica-
practico.pdf

http://www.csae.map.es/csi/criterios/seguridad/index.html

http://adwords.google.com/support/aw/bin/answer.py?hl=es-
419&hlrm=es&answer=70619

http://www.monografias.com/trabajos65/rotacion-personal/rotacion-
personal2.shtml

http://cms.ual.es/UAL/universidad/otrosorganos/comisionseguridad/pagina
/FUNCIONES5

http://www.monografias.com/trabajos14/etica-informat/etica-
informat.shtml?monosearch