Documentos de Académico
Documentos de Profesional
Documentos de Cultura
20 de abril de 2023
2
Índice
1.Introducción
2020a) afirma que los ciberataques han aumentado exponencialmente durante la pandemia
covid-19 entre los tipos de ataque más frecuentes se encuentran los que tienen que ver con las
social. En particular los ataques de ingeniería son las principales amenazas contra la
En consonancia con ello, se sostiene que la CEI es una cuestión sistémica y que para
abordar el fenómeno debe tenerse en cuenta una perspectiva holística de alta frecuencia. los
enfoques recientes de la ciberseguridad que adoptan una perspectiva holística del sistema
en el usuario centradas en los clientes, así como en los hackers; y se centró en las condiciones
socio-técnicos y qué los humanos pueden ser “parte de la solución” en lugar de “parte del
problema”. Tales iniciativas de mitigación se proponen para empoderar el factor humano en las
organizaciones, y mantenerlas para que sean más efectivas contra los ataques cibernéticos y las
amenazas.
ciberseguridad.
2. Diseñar y probar un método integrado para comprender y medir cómo las organizaciones
(factor humano).
3. Proporcionar un marco inicial para ayudar a las organizaciones a mejorar sus sistemas de
2.Desafíos de la seguridad
Estos pueden ser descritos utilizando una perspectiva socio-técnica tomando en cuenta
múltiples perspectivas, es decir, (1) los factores individuales, (2) los factores organizacionales,
Las acciones de seguridad incorrectas pueden tomar la forma de errores y/o violaciones.
Sin embargo, sólo unos pocos de ellos tienen una intención maliciosa, la mayoría son el
Comportamiento Planificado (Ajzen 1991) representan dos modelos consolidados que vinculan
De acuerdo con estos modelos, es posible explicar los errores humanos y las violaciones
mediante el estudio de las actitudes de los empleados hacia los comportamientos críticos de
ciberseguridad, ya que la ciberseguridad puede mejorar las actitudes y predecir de manera directa
factor crucial para evitar las infracciones de los SIC relacionadas con acciones deliberadas que
determinan una violación no deseada de una norma de seguridad, Ya que la ciberseguridad puede
actitudes, como las normas subjetivas; creencias en las consecuencias percibidas de una acción;
conocimiento real del tema de la ciberseguridad; las estrategias cognitivas preferidas utilizadas
intelectual.
6
Las organizaciones tienen políticas, procesos y procedimientos formales para guiar a los
que hay muchas maneras en que los seres humanos pueden configurar y utilizar un sistema en
siguen. Por ende, los procedimientos deben ser vistos como recursos para la acción en lugar de
una expectativa de comportamiento humano. Hay que entender los procedimientos: su eficacia
depende más del conocimiento que requieren que de su aceptación ciega. Las organizaciones
tienen el reto de mejorar la comunicación CIS para evitar posibles brechas de seguridad.
El desafío de diseñar una seguridad que sea efectiva pero utilizable es un aspecto central
del fenómeno CIS. La Investigación ha demostrado que los usuarios evitan activamente los
mecanismos de seguridad que son difíciles de usar o cometen errores que podrían socavar la
8
seguridad. la seguridad debe estar centrada en el usuario para mejorar la usabilidad sigue siendo
contextos de usuarios.
médica y Los profesionales, pero surgieron preocupaciones con respecto a la relación entre los
para facilitar u obstaculizar lo que las TIC en la salud pretenden lograr y los cuatro principios de
la ética médica. Estos se refieren a la atención que se crea cuando, para garantizar la privacidad y
la autonomía del paciente, los datos críticos en situaciones de emergencia no son accesible.
3.Método
Para abordar los tres desafíos de él CIS mencionados anteriormente y comprender como
UE. HERMENEUT.
activos tangibles e intangibles en riesgo. esta metodología incluía tanto el nivel de análisis
utilizados en el presente estudio se presentan en la tabla 2. Se dio prioridad a los métodos que
permitieron una evaluación cuantificada del nivel de vulnerabilidad con respecto a las amenazas
cibernéticas.
10
operativo. La tabla 3 proporciona una descripción general del enfoque adaptado en este estudio y
en la organización.
la hipótesis de que a medida que aumenta el conocimiento de los usuarios de computadoras sobre
permite la investigación del modelo KAB siguiendo siete escenarios de usuario, en adelante
'áreas de enfoque' (FA): (FA1) gestión de contraseñas, (FA2) uso de correo electrónico, (FA3)
uso de Internet, (FA4) computación móvil, (FA5) redes sociales, (FA6) reporte de incidentes y
Estos siete FA son el resultado de los hallazgos de Parsons y colegas y están destinados a
● Una medida ANOVA repetida a través de un Modelo Lineal General, para determinar y
Los grupos focales tenían el objetivo de proporcionar una comprensión más profunda de
los hallazgos que surgieron en las respuestas al cuestionario HAIS-Q.La guía del grupo focal
y representantes de los empleados en relación con los desafíos que enfrenta la organización con
respecto a los CIS y las amenazas cibernéticas, y específicamente tuvieron como objetivo
comprender (i) cómo las personas toman decisiones sobre seguridad, (ii) cómo evalúan el riesgo
14
y las situaciones críticas para la seguridad, (iii) cuáles son las violaciones más comunes de la
política de ciberseguridad.
4.Resultados
confiabilidad, α=0,935.
Comportamiento, así como puntajes de FA. Los resultados del cuestionario HAIS-Q para toda la
muestra reportaron puntajes generales de moderados a altos para los componentes principales
diferencias en varias áreas de enfoque para el personal de TI y el personal que no es de TI, según
el área específica investigada. Para un primer grupo de AF, fue posible ver una tendencia
más correctos en comparación con el personal que no es de TI, como uno esperaría. Ese fue el
caso de FA1 (gestión de contraseñas), FA2 (uso de correo electrónico), FA4 (computación
móvil) y FA7 (manejo de información) para los cuales el personal de TI (líneas azules sólidas en
puntuaron incluso peor que el personal No TI, que presentó, en promedio, Conocimientos y
Actitudes hacia las redes sociales (FA5) más correctos que los TI (Fig. 4). De manera similar, en
pero luego el personal de TI obtuvo puntajes aún más bajos en sus Actitudes y Comportamientos
en comparación con los puntajes promedio informados por el personal que no es de TI (Fig. 4).
18
Finalmente, para el FA3 (Uso de Internet) las puntuaciones medias de TI y No TI, fueron
declarado, por lo que no fue posible ver ninguna diferencia en todos en el uso de internet de
Las diferencias en los FA también emergen como más prominentes cuando se observa la
los puntajes no relacionados con TI para el personal que trabaja en la empresa de software son
casi comparables en promedio con los puntajes de TI de una empresa no relacionada con el
19
Los hallazgos de los grupos focales destacaron cuatro tipos diferentes de prácticas
Estos incluyeron:
1. El uso de dispositivos móviles (FA4), la discusión de los grupos focales confirmó que
los expertos que no son de TI tienen menos conocimiento del riesgo seguridad porque
servicios basados en la web para actividades tanto privadas como laborales, mientras que
estos últimos se utilizan para las funciones obligatorias de acceso a las computadoras y
aplicaciones según el tipo de datos, por ejemplo: servidores de archivos para gestionar
documentos internos, bases de datos Oracle para gestionar datos personales y clínicos,
4. El intercambio de datos para la coordinación del trabajo propósitos entre colegas (FA3) y
Comunicación con pacientes y clientes (FA2). Se destacó que las aplicaciones como
WhatsApp a veces se usan para intercambiar datos confidenciales con colegas y para
coordinar las actividades laborales. este tipo de aplicación también se utiliza para
compartir información clínica con usuarios finales o clientes, con una consideración
Las entrevistas semiestructuradas fueron útiles tanto para identificar fuentes adicionales
de vulnerabilidades como para comprender las razones organizacionales detrás de algunas de las
expertos en TI con respecto a sus prácticas relacionadas con la seguridad personal, una
5. Discusión de resultados
El objetivo general de este estudio fue arrojar luz y profundizar el conocimiento de los
desafíos actuales de HF para contrastar los ataques cibernéticos. Para ello, se argumentó que el
fenómeno CIS es un asunto sistémico que debe ser entendido desde una “perspectiva del
sistema” HF, organizacional y técnica, en la que diferentes componentes interactúan con usuarios
información; al minimizar las vulnerabilidades humanas (es decir, falacias cognitivas y errores
1. En primer lugar, Su objetivo era proporcionar una descripción general de los enfoques
CIS relacionados con HF en uso. además de mejorar las soluciones técnicas, sugerimos
integrar contra medidas CIS no técnicas para mejorar la eficacia del sistema.
2. En segundo lugar, se sugirió un método integrado para comprender y medir cómo las
3. En tercer lugar, este estudio tuvo como objetivo proporcionar un marco inicial para
ayudar a las organizaciones a mejorar sus sistemas CIS, al incluir pautas específicas para
A nivel individual, el cuestionario HAIS-Q hizo posible investigar en qué medida los
conocimientos (K) de las políticas y los procedimientos, las actitudes (A) hacia las políticas y los
relacionados con siete áreas de enfoque crítico (FA) de aplicación, a saber: (FA1) administración
de contraseñas, (FA2) uso de correo electrónico, (FA3) uso de Internet, (FA4) computación
móvil, (FA5) redes sociales, (FA6) reporte de incidentes y manejo de información (FA7). Los
que las Actitudes hacia la ciberseguridad estuvieron más relacionadas con las diferentes áreas de
como para el personal que no es de TI: FA1 (administración de contraseñas), FA2 (uso de correo
Los grupos focales permitieron una comprensión más profunda del contexto (ambiente) y
situaciones (eventos/ejemplo de actividades críticas) en las que las áreas de HAIS-Q resultaron
ejemplo, al considerar el uso común de dispositivos móviles personales (FA4) para acceder a las
fue posible comprender por qué las organizaciones estaban expuestas a infracciones de CIS.
24
nivel organizacional que van más allá del enfoque de CIS puramente centrado en la tecnología.
6. conclusiones
Procedimientos complejos que brindan un apoyo limitado a las misiones y tareas diarias de los
humanas por lo que se reconoce la importancia de Resaltar los diferentes errores humanos y
Por lo tanto, se Proponen una serie de contramedidas no técnicas para potenciar el factor
humano en la organización y ayudar a las organizaciones a ser más eficaces contra los
ciberataques y los amenazas. Incluye adoptar un enfoque de diseño entre tejido y centrado en el
25
usuario para promover e implementar reglas y prácticas utilizables, así como fomentar la
2. Mejorar la usabilidad de las herramientas que respaldan las necesidades específicas del
personalizado para que el mensaje de concientización sobre seguridad sea acorde con el
seguridad de información.
7.Referencia
10.1080/0144929X.2012.708787
doi.org/10.1007/s10111-021-00683-y
● Chua HN, Wong PPF, Low YC, Chang Y (2018) Impacto de las características
1770–1780
trabajando para mitigar los riesgos. BMC Med Informar Decis Mak 20 (1): 146.
https://doi.org/ 10.1186/s12911-020-01161-7
● Carroll JS, Quijada MA (2004) Reorientando los valores profesionales tradicionales para
10.1136/qshc.2003.009514
interna: ¿en quién puede confiar en estos días? Inf Secur Tech Rep 14(4):186– 196.