Seguridad en tecnología

de la computación

Asignación #5

Profesor: Eric Pérez

Grupo: 4IL151
 Introducción
“El factor humano influye de forma clave en un 80% de
los ciberataques, es por esto que recomendamos a las
empresas que vayan más allá de la detección y hagan
especial hincapié en concienciar a sus empleados para
que se conviertan en cortafuegos ante estos ataques,
formándose en hábitos seguros en el uso de
herramientas digitales”.

Enrique Domínguez, director de Estrategia de Entelgy

Innotec Security, división de ciberseguridad de Entelgy.

“Más puede dañar un empleado descuidado o un

ex empleado herido que un virus, un gusano o un
exploit dirigido desde quién sabe dónde.”
 Índice
Seguridad de la Información en el Recurso Humano
● Administración de la Seguridad del Recurso Humano de los
Sistemas de Información
● Reclutamiento
● Capacitación
● Motivación
● Rotación de personal
● Funciones
● Ética
Evaluación del Perfil de Oficiales de Seguridad Informática
● Niveles de Acceso según funciones
Recomendaciones
Conclusiones
Seguridad de la información en el
recurso humano
 ¿Que es la seguridad de la información?

La seguridad de la información consiste en proteger

uno de los principales activos de cualquier empresa: La
información.

La seguridad de la información es requisito previo para

la existencia a largo plazo de cualquier negocio o
entidad.

La información es usada en cada uno de los ámbitos

empresariales, los cuales dependen de su
almacenamiento, procesado y presentación.

Sebastian
 Tres fundamentos básicos de la
seguridad en la información

Confidencialidad Disponibilidad Integridad

La información debe La información debe La información debe
ser accedida sólo por estar disponible ser correcta y
las personas siempre que sea completa.
autorizadas a recibirla. necesario.

Sebastian
Administración de la Seguridad del Recurso
Humano de los Sistemas de Información

La gestión de la seguridad de la información, al igual

que la mayoría de los ámbitos de la gestión
empresarial, depende principalmente de las personas
que componen la Organización.

La información sólo tiene sentido cuando es utilizada

por las personas y son estas, quienes en último
término, deben gestionar adecuadamente este
importante recurso de la empresa. Por tanto, no se
puede proteger adecuadamente la información sin una
correcta gestión de los Recursos Humanos.

Sebastian
Administración de la Seguridad del Recurso
Humano de los Sistemas de Información

La administración de los recursos humanos

consiste en aquellas actividades diseñadas
para ocuparse de y coordinar a las personas
necesarias para una organización.

La administración de los recursos humanos

busca construir y mantener un entorno de
excelencia en la calidad para habilitar mejor a
la fuerza de trabajo en la consecución de los
objetivos de calidad y de desempeño operativo
de la empresa.

Sebastian
Reclutamiento
Es el proceso mediante el cual la organización identifica y atrae a futuros empleados capacitados e
idóneos para el cumplimiento de los objetivos organizacionales.
Reclutamiento interno
Se dará cuando la empresa busque dentro de la misma a los candidatos idóneos.
Reclutamiento Externo
Consiste en la búsqueda de los candidatos a un puesto vacante fuera de la empresa.

Proceso de reclutamiento
1. Surge un puesto a cubrir.
2. Se informa al departamento o responsable de Recursos
Humanos acerca de esta necesidad.
3. Se describe el puesto de trabajo a cubrir.
4. Se describe el perfil del candidato.
5. Se establecen los medios de reclutamiento.
6. Se recibe la información de los candidatos.
La seguridad de la Información en el Reclutamiento
Es necesario explicar las responsabilidades en materia de seguridad en la etapa de reclutamiento
del personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el
desempeño del individuo como empleado, así como, garantizar que los usuarios estén al corriente
de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren
capacitados para respaldar la política de seguridad de la empresa en el transcurso de sus tareas
normales.

Antes de la contratación

Los trabajadores, contratistas y usuarios de terceras partes de los servicios de procesamiento de la

información deben firmar un acuerdo sobre las funciones y las responsables con relación a la
seguridad.
Es necesario asegurarse de que se cumpla con el proceso de verificación de antecedentes
proporcional a la clasificación de seguridad de la información a la que se debe acceder en el
empleado a contratar. Dicho eso, el proceso de contratación de un administrador de sistemas TI
debe ser muy diferentes al de un administrativo. Es necesario realizar comprobaciones de
procedencia, formación, conocimientos, etc.
Actividades de control del riesgo

Investigación de antecedentes

Se deberían llevar a cabo las revisiones de verificación de

antecedentes de los candidatos al empleo en concordancia
con las regulaciones, ética y leyes relevantes y deben ser
proporcionales a los requerimientos del negocio, la
clasificación de la información a la cual se va a tener acceso y
los riesgos percibidos.

Términos y condiciones de contratación

Como parte de su obligación contractual, empleados,

contratistas y terceros deberían aceptar y firmar los términos y
condiciones del contrato de empleo, el cual establecerá sus
obligaciones y las obligaciones de la organización para la
seguridad de información.
Actividades de control del riesgo

Durante la contratación

Se tienen que definir las responsabilidades de la dirección

para garantizar que la seguridad se aplica en todos los
puestos de trabajo de las personas en la empresa.
A todos los usuarios empleados, contratistas y terceras
personas se les debe proporcionar un adecuado nivel de
concienciación, educación y capacitación en los
procedimientos de seguridad y en la utilización de los medios
disponibles para procesar la información con el fin de
minimizar los posibles riesgos de seguridad.
Capacitación
La necesidad de capacitación
surge cuando hay diferencia
entre lo que una persona
debería saber para
desempeñar una tarea, y lo que
sabe realmente.
Estas diferencias suelen ser
descubiertas al hacer
evaluaciones de desempeño, o
descripciones de perfil de
puesto
La capacitación Es unas de las partes
fundamentales en cuanto a la seguridad de una
empresa en cuanto a temas informáticos.
Debemos tomar en cuenta que el personal de
seguridad debe tener una correcta capacitación
para que se desarrolle de forma correcta y para
evitar algún futuro ataque. La capacitación Es
toda actividad realizada. en una organización
respondiendo a sus necesidades, que busca
mejorar la actitud, conocimiento, habilidades y
conductas de su
personal.
Motivación
La motivación es el deseo de hacer mucho esfuerzo por
alcanzar las metas de la organización, condicionado por la
necesidad de satisfacer alguna necesidad individual.
Motivación
Las grandes empresas utilizan la motivación como un
punto a su favor, ya que por medio de ella logran que sus
empleados realicen excelentemente las labores
asignadas, la motivación es de suma importancia dentro
de una organización sobre todo en el área comercial, una
empresa integrada por un personal desmotivado tiende a
ser ineficiente en sus operaciones.

Técnicas de motivación
● Promoción en el trabajo
● Política salarial
● Ambiente de trabajo
● Valoración hombre-puesto de trabajo
Métodos apropiados para la Motivación
Rotación de Personal
Es el proceso por el cual una empresa cambia o reemplaza a sus
empleados, generando movimientos de salida o entrada de uno
o múltiples empleados que no se deben a procesos naturales
como la jubilación o fallecimiento. Por lo general se vincula a
procesos de despido o renuncia por parte de los empleados, si
bien en ocasiones puede incluir el cambio de funciones y
puesto sin que el empleado en cuestión cese su relación con la
organización.
Funciones

Asegurar que todo el recurso humano (empleados, contratistas y terceros)

vinculados con la empresa entiendan sus responsabilidades y estén en las
condiciones para desarrollarlos; de esta forma se pueden reducir riesgos de
fraude y uso inadecuado de los activos de información de la empresa. Esto
se puede lograr en gran medida con una adecuada verificación de
antecedentes que esté de acuerdo al tipo de información al que va a acceder
el empleado.
Funciones

Capacitar y velar que todos los empleados y

terceros que manipulan información sensible de la
compañía conozcan las amenazas para la
seguridad y que tengan disponibles los medios
necesarios para cumplir con las políticas de
seguridad, de forma tal que se optimice el
cumplimiento de las labores diarias y se reduzca el
riesgo de relacionado con los errores humanos.
 Ética
La ética es entendida por Valls (2000), como una disciplina filosófica definida en principios
directivos para orientar a las personas en la concepción de la vida, el hombre, la moral, los
juicios, y los hechos.

Según Moor (1985) la ética informática se define

como la disciplina que identifica, analiza la
naturaleza y el impacto social de las tecnologías de
la información y la comunicación en los valores
humanos y sociales.

Ronald
 Ética
La ética de la información puede concebirse como una teoría
descriptiva y emancipadora bajo dos perspectivas históricas o
sistemáticas:
● En la primera, analiza las diferentes estructuras y
relaciones de poder que establecen la actividad
informativa en las diversa culturas y épocas.
● En la segunda trata la crítica al proceso de relaciones
morales en el campo de la información, albergando los
aspectos individuales, colectivos y universales.

Problemas éticos en la utilización de las tecnologías informáticas en las

organizaciones
«spamming», que es el «flameo» que no es otra
uso indebido de la red cosa que responder
para hacer publicidad agresivamente los ataques
no solicitada violentos de un remitente
La copia ilegal de software Vandalismo (crackers)
Las discriminaciones Bromas (hackers)
intelectuales y sociales

Virus (gusanos, La experimentación con la

troyanos) La propiedad intelectual y
identidad ficticia dentro de la
derechos de propiedad
realidad virtual
Ronald
 Ronald
Ejemplo de normas éticas
El Informático debe respetar el reconocimiento que
Respetar la vida privada y la dignidad de las
hace el estado a favor de todo creador o desarrollador
personas debe formar parte de las
de programas de cómputo, en virtud del cual otorga
normas éticas. La difamación, la calumnia, la
su protección para el autor.
injuria y la insinuación maliciosa forman
parte de lo inmoral, de lo perverso y con esto
solo se busca hacer daño al que informa
El Informático tiene la obligación de guardar discreción
por eso la información debe ser pura, realista y
en el manejo de la información que la empresa para la
objetiva.
cual trabaje proporcione al momento de prestar sus
servicios, debe considerar como confidencial toda la
información acerca del negocio de su cliente o patrón.

El Informático no debe cambiar, modificar o alterar la información de

la empresa para beneficio propio o de terceros, ni con fines de
encubrir anomalías, fraudes o corrupción de otros funcionarios que
afecten los intereses de la empresa.

El Informático hará uso y aplicación de sus conocimientos

profesionales sólo en tareas que cumplan con las normas
establecidas, faltará al honor y dignidad.
Evaluación del Perfil de Oficiales
de Seguridad Informática
Evaluación del perfil de Oficiales de
Seguridad Informática

Descripción:

Brindar los servicios de seguridad en la organización, a

través de la planeación, coordinación y administración de
los procesos de seguridad informática, así como difundir la
cultura de seguridad informática entre todos los
miembros de la organización
 Funciones que cumple un Oficial de Seguridad Informática
Realizar y apoyar en la planeación,
administración, análisis, mantenimientos Administrar y mantener los servicios de firmas y
preventivos y correctivos de los diferentes certificados digitales de la Universidad.
programas.

Velar por el cumplimiento de normas y políticas que

Monitorear las violaciones a los diferentes regulan los aspectos de seguridad de la información.
sistemas con que cuenta la Institución, y
ejecutar acciones correctivas para
garantizar que se brinde la seguridad
adecuada.

Establecer los parámetros para la

integración y comunicación segura del
sistema de firmas y certificados digitales
con otros sistemas automatizados de la
Universidad.

Desarrollar y revisar las políticas de

seguridad de la información.
Funciones que cumple un Oficial de Seguridad Informática
Ejecutar auditorías internas a los diferentes
sistemas.

Mantener en orden equipos y sitios de trabajo,

reportando cualquier anomalía.

Gestionar la respuesta a los incidentes de

seguridad de la información.

Realizar además de las tareas prevista en el

puesto, aquellas que sean encomendadas dentro
del alcance del mismo.

Representar a la Dirección en actividades

relacionadas a los certificados y firmas digitales,
así como aspectos de seguridad de la Apoyar en el desarrollo y coordinación
información. de los planes de contingencias.
Niveles de Acceso según funciones
El control de acceso basado en roles (RBAC) es un mecanismo de control de acceso neutro
definido en torno a roles y privilegios. Los componentes de RBAC, como los permisos de rol, las
relaciones usuario-rol y rol-rol, facilitan la asignación de usuarios. Un estudio del NIST ha
demostrado que RBAC responde a muchas necesidades de las organizaciones comerciales y
gubernamentales. RBAC puede utilizarse para facilitar la administración de la seguridad en
grandes organizaciones con cientos de usuarios y miles de permisos. Aunque RBAC es diferente
de los marcos de control de acceso MAC y DAC, puede hacer cumplir estas políticas sin ninguna
complicación.
Niveles de Acceso según funciones
Se definen tres reglas principales para RBAC:
Asignación de roles: Un sujeto puede ejercer un
permiso sólo si ha seleccionado o se le ha asignado
un rol.
Autorización de permisos: Un sujeto
puede ejercer un permiso sólo si el
permiso está autorizado para el rol
activo del sujeto. Con las reglas 1 y 2,
esta regla garantiza que los usuarios
sólo pueden ejercer los permisos para
los que están autorizados.
Autorización de roles: El rol activo de un
sujeto debe estar autorizado para el
sujeto. Con la regla 1 anterior, esta regla
garantiza que los usuarios sólo pueden
asumir los roles para los que están
autorizados.
A través de RBAC, puede controlar lo que los usuarios finales pueden hacer tanto a nivel amplio

Niveles de Acceso según funciones

como granular. Puede designar si el usuario es un administrador, un usuario especialista o un
usuario final, y alinear las funciones y los permisos de acceso con los puestos de sus empleados
en la organización. Los permisos se asignan sólo con el acceso necesario para que los empleados
realicen su trabajo.

Algunas de las designaciones en una herramienta RBAC pueden incluir:

Alcance del rol de gestión - limita los objetos que el grupo de roles puede gestionar.
Grupo de roles de gestión - puede añadir y eliminar miembros.
Rol de gestión - son los tipos de tareas que puede realizar un grupo de roles específico.
Asignación de funciones de gestión: vincula una función a un grupo de funciones.

Al añadir un usuario a un grupo de roles, el usuario tiene acceso a todos los roles de ese grupo. Si
se elimina, el acceso queda restringido. Los usuarios también pueden ser asignados a varios
grupos en caso de que necesiten un acceso temporal a ciertos datos o programas y luego ser
eliminados una vez que el proyecto haya finalizado.

Otras opciones para el acceso de los usuarios pueden ser:

Primario - el contacto principal para una cuenta o rol específico.

Facturación - acceso para un usuario final a la cuenta de facturación.
Técnico - asignado a los usuarios que realizan tareas técnicas.
Administrativo - acceso para usuarios que realizan tareas administrativas.
 Recomendaciones
Conocimiento de sus obligaciones y
responsabilidades derivadas del los actuales
marcos normativos, penal y Protección de la
Propiedad Intelectual.

Cómo reaccionar ante determinados

incidentes que puedan comprometer la
Seguridad de la Información.

Reconocer las técnicas más frecuentes de

Ingeniería Social, para evitar ser víctimas de
este tipo de engaños.

Utilización segura de los servicios autorizados

de Internet: navegación por
páginas Web evitando engaños y posibles
contenidos dañinos.
 Conclusiones
La fase de reclutamiento tiene puntos esenciales donde se debe tratar la
seguridad de la información con mucho cuidado, un reclutador debe encargarse
de investigar los antecedentes rigurosamente al aplicante para tener seguridad en
los datos brindados y que este no se convierta en una vulnerabilidad y coloque en
riesgos los datos de la organización y mostrando todas las condiciones que tendría
el aplicante.

Se debe destacar la necesaria implicación y compromiso de la Alta Dirección, para

conseguir que los empleados sean conscientes de la importancia que tiene para la
organización garantizar la Seguridad de la Información y la adecuada utilización
de sus sistemas y servicios informáticos y de comunicaciones.
 Referencias

[1] “Relación entre Seguridad de la Información y Recursos Humanos.” [Online]. Available:

https://www.pmg-ssi.com/2017/08/seguridad-de-la-informacion-recursos-humanos/. [Accessed:
04-May-2021].

[2] “¿En qué consiste el proceso de reclutamiento?” [Online]. Available:

https://www.ceupe.com/blog/en-que-consiste-el-proceso-de-reclutamiento.html. [Accessed:
04-May-2021].

[3] “El reclutamiento de los recursos humanos | Recursos Humanos | Apuntes empresariales |
ESAN.” [Online]. Available:
https://www.esan.edu.pe/apuntes-empresariales/2016/09/el-reclutamiento-de-los-recursos-hu
manos/. [Accessed: 04-May-2021].

[4] N. Silva and E. Jane, “Ética Informática en la Sociedad de la Información,” Oct-2006. [Online].
Available: http://ve.scielo.org/scielo.php?script=sci_arttext&pid=S1315-99842006000400004.
[Accessed: 04-May-2021].