Documentos de Académico
Documentos de Profesional
Documentos de Cultura
seguridad en una organización algo vital, estos son : organización como para que un atacante pueda tener
los procesos corporativos, la tecnología que los interés en ella?. Es por esto, que los usuarios tienen
soporta y las personas que los realizan. Pero como se que ver que los atacantes no saben ni les interesa
va a evidenciar, en la mayoría de las empresas, solo quién está del otro lado del equipo, por lo que
se enfocan en los primeros dos y esto hace que la cualquier objetivo es de suma importancia, toda vez
estructura de seguridad se vuelva frágil, resultando que al obtener acceso a un dispositivo de la red,
en que los usuarios se conviertan en el eslabón más pueden monitorizarla o intentar escalar privilegios
débil de la cadena de seguridad dentro de las administrativos obteniendo así el acceso que tanto
organizaciones. desean. También deben ver, que estas personas
tienen un motivo para llevar a cabo la acción, unos
intereses que tienen sentido para dicho atacante, que
busca una oportunidad, momento o situación para
ejecutar la acción, y unos instrumentos que son los
tres pilares mencionados anteriormente.
¿Cuántos de los usuarios han pensado que su propia II. CONCEPTOS BÁSICOS Y DEFINICIONES
máquina es poco importante dentro de la Los siguientes son los términos y definiciones que se
Universidad Piloto de Colombia. Guatavita Diaz David Alexander . La concienciación al usuario final como mecanismo efectivo
para la gestión de riesgos de seguridad de la información.
3
Incidente de seguridad de la información: Un evento Riesgo residual: El riesgo que permanece tras el
o serie de eventos de seguridad de la información no tratamiento del riesgo.
deseados o inesperados, que tienen una probabilidad
significativa de comprometer las operaciones del Selección de controles: Proceso de elección de las
negocio y amenazar la seguridad de la información. salvaguardas que aseguren la reducción de los
riesgos a un nivel aceptable.
Integridad: Propiedad de la información relativa a su
exactitud y completitud. La información de la SGSI: Sistema de Gestión de la Seguridad de la
organización debe ser clara y completa, solo podrá Información; para efectos de entendimiento en
ser modificada por el personal expresamente organización, el SGSI hace referencia al Subsistema
autorizado para ello. La falta de integridad de la de Gestión de Seguridad de la Información.
información puede exponer a la empresa a toma de
decisiones incorrectas, lo cual puede ocasionar Sistema de gestión de la seguridad de la información:
pérdida de imagen o pérdidas económicas. Conjunto de elementos interrelacionados o
interactuantes (estructura organizativa, políticas,
Plan de tratamiento de riesgos: Documento que planificación de actividades, responsabilidades,
define las acciones para gestionar los riesgos de procesos, procedimientos y recursos) que utiliza una
seguridad de la información inaceptables e implantar organización para establecer una política y unos
los controles necesarios para proteger la misma. objetivos de seguridad de la información y alcanzar
dichos objetivos, basándose en un enfoque de gestión
Probabilidad: Medida para estimar la ocurrencia del del riesgo y de mejora continua.
riesgo.
Seguridad de la información: Preservación de la
Propietario del riesgo: Persona o entidad con confidencialidad, la integridad y la disponibilidad de
responsabilidad y autoridad para gestionar un riesgo. la información.
algunos están de acuerdo en que se necesita; otros lo seguridad. No lo pueden ser. Lo único en que se
llaman una pérdida de tiempo y recursos. enfocan es en aumentar la posibilidad de
recuperación y disminuir los tiempos de respuesta
David Aitel, en una columna para las OSC, expresó cuando ocurra un incidente.
la opinión de que este tipo de formación no era
necesaria: Mientras que entrenar a los empleados para actuar
como sensores de ataques de phishing o correos
“En lugar de gastar tiempo, dinero y recursos electrónicos con archivos adjuntos maliciosos es útil,
humanos en tratar de enseñar a los empleados a ser eso no quiere decir que este tipo de campañas no
conscientes, las empresas deberían centrarse en dar tendrán éxito. Sin embargo, esto significa que el
seguridad al entorno y segmentar la red. Es una equipo de seguridad puede saber sobre el problema
filosofía corporativa de TI mucho mejor que los cuanto antes y esta podría ser la diferencia entre
empleados puedan ser capaces de hacer clic en prevenir o sufrir un compromiso en alguna de las
cualquier enlace y abrir cualquier archivo adjunto, características de la seguridad de la información
sin riesgo de dañar a la organización”. (integridad, disponibilidad, confidencialidad).
“Porque van a hacerlo de todos modos, así que puede Los beneficios de implementar un plan de
hacer un plan para ello. Es el trabajo del CSO, CISO, concienciación en seguridad de TI se pueden
o del gerente de seguridad, asegurarse de que las observar en la siguiente imagen:
amenazas se detengan antes de llegar a un empleado.
Y si estas medidas fallan, asegurarse de que la red
esté segmentada correctamente para limitar la
propagación de la infección”.
Charlas presenciales donde se tocan temas contrario, concientizar sobre la seguridad, tiene
generales y donde no todos participan. como objetivo modificar el comportamiento de los
usuarios. Si esta labor se hace bien, los empleados de
Charlas donde no se ha establecido grupos la compañía se convertirán en una extensión del
funcionales. programa de seguridad existente. Sin embargo,
mientras que la capacitación en seguridad puede
hacerse anualmente para el personal técnico
Charlas que se tocan temas sin haber evaluado la
involucrado, los programas de sensibilización son un
necesidad de la organización
proceso continuo que debe ser objeto de una revisión
para asegurar el mejoramiento continuo.
Afiches donde no se ha coordinado con la alta
dirección sobre lo que se quiere fortalecer y como Basado en lo anterior, se debe llevar una serie de
se debe comunicar pasos que aseguren que el programa sea exitoso. Esto
deberá incluir una serie de controles para revisar el
Charlas donde no se ha determinado como medir cumplimiento de la política de seguridad en lo
los cambios de conducta, aptitudes y valores de relativo a concienciación y formación en este tema.
los colaboradores.
Los pasos que se deben seguir al llevar a cabo un
Charlas donde se explican lo que deben hacer, programa exitoso son:
pero no se les indica porque lo tienen que hacer.
a) Establecer el plan. En este punto se debe tener en
Un programa de concienciación es un proceso cuenta los siguientes factores:
estructurado, sistemático y continúo dirigido a las Objetivos
personas para proporcionar y desarrollar los Programa.
conocimientos, habilidades, aptitudes, valores y Factores de éxito.
conductas para cumplir con los requisitos
Modelo.
establecidos en la política de seguridad.
Recursos.
VI. ¿CÓMO ABORDAR EL PLAN? b) Implementar. En este punto se debe tener en
cuenta los siguientes factores:
Es indispensable que una vez se ha logrado definir
Alcance del programa.
que se va a atacar y para que se va a hacer, se genere
una serie de pasos que permitan abordar el plan de Información necesaria.
concienciación, que sea exitoso para los objetivos Selección de los temas.
que se pretende. Por lo tanto, es importante Desarrollo de los contenidos y sus métodos.
estructurar y hacer que el plan sea lo más completo y Elaborar el plan.
comprensible para los usuarios. Ejecutar y monitorear el plan.
Uno de los principales pasos para la construcción de Comunicar los resultados.
un buen programa de concientización sobre la c) Monitoreo y revisión. En este punto se debe tener
seguridad es separarlo de la capacitación para el área en cuenta los siguientes factores:
técnica. La conciencia de seguridad no es lo mismo Establecer los criterios de evaluación.
que la formación en seguridad cuando se trata de los
Monitorear revisar y evaluar.
empleados.
La capacitación en seguridad informática sirve para d) Mejora. En este punto se debe tener en cuenta lo
generar un conjunto de controles tecnológicos siguiente:
apoyado en normas y procedimientos, que es lo que Implementar Mejoras.
la mayoría de los auditores buscan al evaluar el
cumplimiento de la norma ISO 27001. Por el
Universidad Piloto de Colombia. Guatavita Diaz David Alexander . La concienciación al usuario final como mecanismo efectivo
para la gestión de riesgos de seguridad de la información.
10
6. Identificar los factores de éxito y los riesgos del Básico (B): el esfuerzo y los recursos necesarios
programa de concienciación. para implantarlo son asumibles. Se puede aplicar
a través del uso de funcionalidades sencillas ya
7. Establecer el proceso y los procedimientos del incorporadas en las aplicaciones más comunes.
programa (recolectar datos, elaboración de Se previenen ataques mediante la instalación de
métricas e indicadores, generación de los herramientas de seguridad elementales.
informes).
Avanzado (A): el esfuerzo y los recursos
8. Establecer las técnicas y métodos. necesarios para implantarlo son considerables.
9. Definir los objetivos específicos de los temas a Se necesitan programas que requieren
abordar. configuraciones complejas. Se pueden precisar
mecanismos de recuperación ante fallos.
10. Establecer la planeación de las mediciones y la
forma de llevar a cabo las actividades.
Universidad Piloto de Colombia. Guatavita Diaz David Alexander . La concienciación al usuario final como mecanismo efectivo
para la gestión de riesgos de seguridad de la información.
11
La falta de organización y seguimiento, pueden [2] MELZNER, S. (2009). “La diferencia entre datos
tirar todos los esfuerzos por la borda. e Información”, [en línea], disponible en:
http://sergiomelzner.com/negocios/la-
El mensaje debe llegar donde debe llegar y para diferencia-entre-datos-e informacion/
esto hay que explicar los motivos del programa.
[3] SEGU-INFO. “Políticas de Seguridad de la
La ingeniería será la piedra en el zapato, por lo Información”, [en línea], disponible en:
cual se debe prevenir a los destinatarios. http://www.segu-
info.com.ar/politicas/polseginf.htm
VIII. CONCLUSIONES.
La información es uno de los activos más [4] “Manual de Seguridad en Redes”, [en línea],
importantes de toda organización por lo tanto, se le disponible en:
debe dar un tratamiento seguro. Lo anterior, hace que http://www.arcert.gov.ar/webs/manual/manual_
la información se convierta en el activo más
Universidad Piloto de Colombia. Guatavita Diaz David Alexander . La concienciación al usuario final como mecanismo efectivo
para la gestión de riesgos de seguridad de la información.
13
de_Seguridad.pdf
Autor.