modelo de concientizaciÓn en la prevenciÓn de la …
TRANSCRIPT
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“MODELO DE CONCIENTIZACIÓN EN LA PREVENCIÓN DE LA FUGA DE INFORMACIÓN”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
B E A T R I Z A D R I A N A D O R O T E O V A L D E Z
D A N I E L M E D I N A R A M I R E Z
J O R G E A L B E R T O H E R N A N D E Z Q U I R I N O
S A N D R A S A R A I G U Z M A N G U T I E R R E Z
MÉXICO. D.F. 2010 2009
ÍNDICE
Resumen .............................................................................................. I
Introducción ......................................................................................... II
Capítulo I: Marco Metodológico ........................................................... 1
1.1 Planteamiento del problema ................................................................................................ 1
1.2 Objetivos .............................................................................................................................. 3
1.3 Justificación ......................................................................................................................... 4
1.4 Marco teórico ....................................................................................................................... 8
1.5 Diseño de la investigación ................................................................................................. 11
1.6 Tipo y técnicas de investigación ........................................................................................ 11
Capítulo II: Conceptos Generales ...................................................... 13
2.1 Información ........................................................................................................................ 13
2.1.1 Definición ................................................................................................................... 13
2.1.2 Función de la información .......................................................................................... 14
2.1.3 Características ........................................................................................................... 14
2.1.4 Clasificación ............................................................................................................... 16
2.2 Seguridad de la información .............................................................................................. 18
2.2.1 Definición ................................................................................................................... 18
2.2.2 Objetivos y propósitos de seguridad de la información ............................................. 19
2.2.3 Funciones de la seguridad de la información ............................................................ 20
2.2.3.1 Qué debemos proteger .................................................................................. 22
2.2.3.2 De quién debemos protegernos .................................................................... 23
2.2.3.3 Cómo podemos protegernos ......................................................................... 23
2.2.4 Importancia de la seguridad de la información .......................................................... 24
2.3 Vulnerabilidades, Amenazas y Riesgos de la Información ............................................... 26
2.3.1 Definición de vulnerabilidad ....................................................................................... 26
2.3.2 Definición de amenaza .............................................................................................. 26
2.3.3 Definición de riesgo ................................................................................................... 27
2.3.4 Clasificación de riesgos, amenazas y vulnerabilidades ............................................ 28
2.4 Fuga de información .......................................................................................................... 32
2.4.1 Definición ................................................................................................................... 33
2.4.2 Tipos .......................................................................................................................... 33
2.4.3 Obstáculos en la prevención de fuga de información ................................................ 34
2.5 Concientización.................................................................................................................. 35
2.5.1 Definición ................................................................................................................... 36
2.5.2 Objetivos .................................................................................................................... 36
2.5.3 Importancia ................................................................................................................ 37
2.5.4 Tipos .......................................................................................................................... 38
2.5.5 Beneficios y obstáculos ............................................................................................. 39
Capítulo III: Problemática actual de la concientización en la fuga de información ........................................................................................ 42
3.1 Comportamiento humano: un problema de seguridad de la información ......................... 42
3.2 Problemática actual por falta de concientización, educación y capacitación .................... 48
3.3 Fuga de información .......................................................................................................... 54
Capítulo IV: Normatividad, mejores prácticas y tecnología aplicada a la concientización y fuga de información ............................................... 62
4.1 Legislación Internacional ................................................................................................... 62
4.1.1 Del acceso ilícito a los sistemas de información ....................................................... 62
4.1.2 Protección de los datos ............................................................................................. 63
4.2 Legislación Nacional .......................................................................................................... 65
4.2.1 Ley de la Propiedad Industrial ................................................................................... 66
4.2.2 Código Penal federal ................................................................................................. 66
4.2.3 Reforma al código penal federal para castigar a los crackers .................................. 68
4.2.4 Protección de datos personales ................................................................................ 69
4.3 Legislación Sectorial .......................................................................................................... 72
4.4 Mejores prácticas ............................................................................................................... 81
4.4.1 Series ISO 27000....................................................................................................... 82
4.4.2 CObIT ........................................................................................................................ 85
4.4.3 Awareness ................................................................................................................. 86
4.4.4 Assessment ............................................................................................................... 88
4.5 Tecnología existente .......................................................................................................... 88
4.5.1 Data Leakage Prevention (DPL) ................................................................................ 88
4.5.2 Sistema de detección de intrusos (IDS) .................................................................... 89
4.5.3 Sistema de Prevención de Intrusos ........................................................................... 90
4.5.4 Assessment Center (AC) ........................................................................................... 91
Capítulo V: Modelo ............................................................................ 96
5.1 Objetivos del Modelo ......................................................................................................... 96
5.2 Descripción del Modelo ..................................................................................................... 97
5.2.1 Conoce al enemigo y conócete a ti mismo ................................................................ 98
5.2.1.1 Conocer el estado actual de la organización en fuga de información .......... 99
5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de
información ..................................................................................................................... 100
5.2.2 Comerse el pastel por rebanadas / divide y vencerás ............................................. 101
5.2.2.1 Visualizando el camino ................................................................................ 101
5.2.2.2 Definición de grupos de audiencias ............................................................ 102
5.2.3 De la vista nace el amor / manos a la obra ............................................................. 103
5.2.3.1 Elaboración de materiales de apoyo ........................................................... 103
5.2.3.2 Impartición de concientización en fuga de información .............................. 104
5.2.4 Encontrando el eslabón más débil........................................................................... 107
5.2.4.1 Evaluación de resultados de concientización en fuga de información ........ 108
5.2.4.2 Autoevaluación de resultados de concientización en fuga de información . 108
5.2.5 Redefiniendo el curso .............................................................................................. 109
5.2.5.1 Análisis de resultados de evaluación .......................................................... 109
5.2.5.2 Reestructuración / mejora continua ............................................................. 110
5.3 Conclusiones del modelo ................................................................................................. 111
Capítulo VI: Caso Práctico ............................................................... 112
6.1 Conocimiento de la Empresa ........................................................................................... 112
6.1.1 Misión ....................................................................................................................... 112
6.1.2 Visión ....................................................................................................................... 112
6.1.3 Organigrama ............................................................................................................ 113
6.2 Aplicación del Modelo ...................................................................................................... 113
6.2.1 Análisis- Conoce al enemigo y conócete a ti mismo………………………………….114
6.2.2 Diseño- Comerse el pastel por rebanadas/ divide y vencerás………………………117
6.2.3 Desarrollo/ Implementación- De la vista nace el amor……………………………….117
6.3 Resultados del Modelo .................................................................................................... 125
6.3.1 Evaluación- Encontrando el eslabón más débil………………………………………125
6.3.2 Mantenimiento- Redefiniendo el curso………………………………….…………….125
Conclusiones ................................................................................... 126
Bibliografía ....................................................................................... 127
Glosario ........................................................................................... 129
ÍNDICE DE FIGURAS
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008. ................ 6
Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente
CSI Survey 2008. ............................................................................................................................. 6
Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008. .................... 7
Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room. ........ 16
Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M.
Kennedy T...................................................................................................................................... 22
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad
Informática: Sus implicancias e implementación”.......................................................................... 23
Figura 7. Elementos e Interrelaciones Vulnerabilidad – Amenaza –Riesgo. Fuente: Revista de
Ingeniería Informática del CIIRM. .................................................................................................. 28
Figura 8. Conclusión 1 - Insider Threat Study. Fuente: CERT ...................................................... 43
Figura 9. Conclusión 2 - Insider Threat Study.Fuente: CERT. ...................................................... 44
Figura 10. Conclusión 3 - Insider Threat Study. Fuente: CERT. ................................................... 44
Figura 11. Conclusión 4 - Insider Threat Study. Fuente: CERT. ................................................... 45
Figura 12. Conclusión 5 - Insider Threat Study. Fuente: CERT. ................................................... 45
Figura 13. Conclusión 6 - Insider Threat Study. Fuente: CERT. ................................................... 46
Figura 14. Conclusión 7 - Insider Threat Study. Fuente: CERT. ................................................... 46
Figura 15. Importancia de la seguridad de la información. Fuente: ENISA. ................................. 49
Figura 16. ¿Cómo se justifican los costos continuos de los programas de concientización?
Fuente: ENISA. .............................................................................................................................. 52
Figura 17. Técnicas empleadas para que el personal tome conciencia en seguridad de la
información Fuente: ENISA. .......................................................................................................... 53
Figura 18. Motivos por los cuales los empleados violan la seguridad de la información. Fuente:
InsightExpress. .............................................................................................................................. 59
Figura 19. Distribución de los dominios de la Norma ISO 27002 .................................................. 83
Figura 20. Modelo de concientización para la prevención de fuga de información. Fuente:
Personal. ........................................................................................................................................ 98
I
Resumen
“Fuga de Información” se ha convertido en la frase de moda para describir los incidentes de
seguridad de información ocurridos durante los últimos años. Aunque el término puede ser
interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causa
una reacción universal: miedo. Aun cuando es difícil dimensionar el daño de las fugas de
información, no hay duda que la exposición de las bases de datos, o robos de información en
sistemas de información, entre otros, afectan y/o disminuyen la confianza de los clientes, con las
respectivas consecuencias negativas para la organización. El aumento de la recolección y
almacenamiento de datos por organizaciones de todas las industrias y sectores, acompañado del
incremento de sofisticadas tácticas de hackeo informático para robar información sensitiva, y de la
poca, y a veces nula, conciencia dentro de la propia organización, las ha forzado a reconocer y
enfrentar directamente esta amenaza que dejó de ser fantasma.
El panorama es claro, la fuga de información es un problema latente y creciente, y el mecanismo
para contrarrestarlo no está dentro de los límites de la tecnología, puesto que esta puede
protegernos en el perímetro de la organización, sin embargo, los problemas de fuga de
información surgen desde dentro de la misma: el factor humano. Ya sea de forma o no intencional,
las personas están contribuyendo a que este problema crezca descontroladamente, y al ser un
problema de personas no se debe, ni se puede, atacar con tecnología, el mejor acercamiento a
una solución que nos ayude a mitigar está problemática, es haciéndolos consientes, cambiando
sus formas de pensar y actuar en asuntos de seguridad de la información, es decir, cambiando la
cultura de seguridad.
Tomando en cuenta lo anterior, el objetivo del presente trabajo es la elaboración de un “Modelo de
concientización en la prevención de la fuga de información”, en el cual se proponen las pautas
necesarias para llevar a cabo un programa que se acople a cualquier organización y con el
objetivo de minimizar la creciente fuga de información en las organizaciones. Para alcanzar esto,
es necesario conocer las bases de la seguridad de la información, fuga de información y
concientización, así mismo se requirió un estudio y análisis de las problemática existente en estos
temas, y basándonos en herramientas existentes: mejores prácticas, estándares, legislación y
tecnología, se elaboró la propuesta del modelo.
El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cíclico e iterativo de
análisis, diseño, desarrollo, implementación, evaluación y mantenimiento. Un resumen de las
particularidades de esta propuesta se describe a continuación:
I
• El análisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las
necesidades, debilidades y estatus de la organización. Los resultados de esta etapa nos
servirán de guía para definir la línea de acción a seguir.
• El diseño: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las
posibles acciones a seguir, y así definir una estrategia mediante la cual se resuelvan las
áreas de oportunidad encontradas.
• El desarrollo: En esta etapa se plasma la estrategia y objetivos que deben alcanzarse. Se
definen los recursos que utilizarán para llevar a cabo el plan de acción.
• La implementación: Después de definir el plan de acción, es en esta etapa se pone en
marcha, y se consumen los recursos definidos, enfocándose siempre en alcanzar los
objetivos establecidos.
• La evaluación y mantenimiento: En esta etapa se hace una valoración de los resultados
obtenidos de la implementación, para así poder mejorar y encontrar nuevas áreas de
oportunidad. Esta etapa también es crucial ya que es el punto de retroalimentación para
que el modelo pueda iniciar un nuevo ciclo, llegando a una cultura de mejora continua.
En conclusión, se considera relevante el uso de la concientización para minimizar la fuga de
información, y cada organización debería contemplar en su estrategia de negocios, la integración
de un modelo de concientización en temas de seguridad de la información, para la protección del
activo más importante: la información. Llegando más lejos aún, este esquema debería escalarse, y
ser legislado y exigido al margen de la legalidad para el establecimiento y operación de cualquier
organización, ya sea pública o privada. Debido a que la era de la información en la que vivimos,
cualquier violación al derecho primordial de la privacidad, debería ser penado.
II
Introducción
La información y el conocimiento han sido los elementos centrales de todas las sociedades
históricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas
tecnológicas que revolucionan las formas de procesamiento de información y comunicación,
transformando la forma en que las personas viven y se comunican entre sí. Hoy por hoy el manejo
de la información puede contribuir de manera decisiva en cualquier ámbito de la actividad humana,
por esta razón, es importante definir lineamientos generales que ayuden a resguardarla sin que
esta pierda su integridad, confidencialidad y disponibilidad.
La seguridad de la información es una de las tareas más cruciales que debemos afrontar en la
actualidad ya que nos encontramos en un medio donde la información se ve amenazada por
diferentes fuentes que simplemente no existían o no conocíamos hace algunos años, y aún
tomando todas las precauciones técnicas para evitar estas amenazas, y confiando con la
protección que le damos, no es suficiente, ya que la práctica nos ha demostrado que la fuga de
información sigue creciendo día a día por diversos factores, uno de ellos y que será el pilar de esta
investigación: la falta o deficiente concientización.
El presente trabajo se enfoca en plantear un “Modelo de concientización en la prevención de la
fuga de información”, el cual propondrá las pautas necesarias para llevar a cabo un programa que
se acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información
en las organizaciones.
Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 capítulos que se distribuyen de
la siguiente forma.
En el primer capítulo, se aborda la problemática objeto de análisis y estudio de esta tesina, los
objetivos de dicha tesina, la justificación de porqué es factible llevar a cabo la investigación y de
cómo se llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la
concientización en la prevención de la fuga de información.
A lo largo del segundo capítulo se trata uno de los temas principales de esta tesina: la Información.
Se hace un estudio de ¿qué es la información?, su importancia, su función y sus características.
Así mismo, se hace énfasis en la concientización, fuga de información, seguridad de la
información, sus definiciones, objetivos, funciones, importancia, así como los riesgos de la
información.
II
Debido a que el usuario final es quien hace uso de los sistemas de información, el tercer capítulo
está dedicado al estudio del comportamiento humano y seguridad de la información.
Se enfatiza la influencia que tiene el factor humano en la fuga de información y la importancia de
una capacitación y educación de los usuarios para minimizar la fuga de la información.
El cuarto capítulo, está dedicado al estudio y análisis de la normatividad existente referente a la
seguridad de la información, localizando sus cualidades y deficiencias. Así mismo se estudian las
mejores prácticas y la tecnología aplicada a la concientización para prevención de fuga de
información.
A lo largo del quinto capítulo se realiza el desarrollo del modelo de concientización en la
prevención de la fuga de información, explicando los objetivos que busca, una descripción
detallada, así como sus alcances y limitaciones del mismo.
Y es indispensable hacer conciencia de que cada uno de nosotros desempeñamos un papel
fundamental en la protección de la información que se nos confía, y por consiguiente, en la
reputación de la organización en la que trabajamos. Lograríamos esto con una correcta
administración de contraseñas, manteniendo los documentos en lugares seguros, sabiendo
perfectamente quiénes son los que nos están solicitando información, siguiendo un programa de
concientización, etc., con esto nos aseguramos que somos la clave para mantener protegida la
información.
1
Capítulo I: Marco Metodológico
Hoy en día, se habla mucho de conceptos como seguridad, sin embargo, la practica nos
demuestra que muchas veces no se pasa de eso: “un concepto”, diversos artículos y noticias
resaltan la deficiencia existente en conseguir la anhelada: “seguridad”. Muchas empresas han
visto reducida su reputación, y todo lo que de esto se deriva, debido a incidentes de seguridad,
entre los más destacados se encuentra: la fuga de información.
En este primer capítulo se abordará la problemática objeto de análisis y estudio del presente
trabajo, así como los objetivos y la justificación para llevar a cabo la investigación y de cómo se
llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la concientización
en la prevención de la fuga de información.
1.1 Planteamiento del problema
En el mundo actual, donde las tecnologías de información son cada vez más un medio común
para almacenar y procesar la información, las brechas de seguridad en lo que respecta a pérdidas
o fuga de información nunca han sido tan altas. No sólo se ha multiplicado el volumen de
información en circulación, sino también las formas en que puede ser almacenada y transferida sin
consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de
los negocios y la privacidad de sus clientes.
Otro punto importante a considerar, es que hoy en día las empresas están cada vez más
globalizadas y esto las hace vulnerables; de acuerdo a estadísticas obtenidas por InsightExpress*,
se descubrió que a pesar de las políticas, procedimientos y herramientas de seguridad
actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen
en peligro los datos personales y empresariales. Tales conductas incluyeron:
• Uso de aplicaciones no autorizadas: el 70% de los profesionales de Tecnología de
Información (TI) cree que el uso de programas no autorizados fue responsable de
hasta la mitad de los incidentes de pérdida de información en sus empresas.
• Uso indebido de computadoras de la empresa: el 44% de los empleados comparte
dispositivos de trabajo con otras personas sin supervisión.
* En el año 2008, Cisco encargó a InsightExpress, una compañía independiente de investigación de mercado, que realizara un estudio que abarcara a empleados y profesionales de TI en diversos países, con el objeto de comprender la fuga de datos a nivel mundial.
2
• Acceso no autorizado tanto físico como a través de la red: el 39% de los
profesionales de TI afirmó que ha debido abordar el acceso no autorizado por parte
de un empleado a zonas de la red o de las instalaciones de la empresa.
• Seguridad de trabajadores remotos: el 46% de los empleados admitió haber
transferido archivos entre computadoras del trabajo y personales al trabajar desde
el hogar.
• Uso indebido de contraseñas: el 18% de los empleados comparte contraseñas con
sus colegas. El porcentaje aumenta al 25% en China, India e Italia.
De acuerdo con las estadísticas elaboradas en Estados Unidos y parte de Europa sobre delitos
informáticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de
las mismas empresas víctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo a
las estadísticas nacionales realizadas por el INEGI1, arrojan que un 67% de los ataques
informáticos provienen del interior de la organización.
Las empresas de cada sector (tanto privado, como público) continúan informando de
vulnerabilidades de seguridad y aun así, todavía permiten la exposición de su información más
sensible y confidencial.
Los usuarios informáticos pueden considerarse como la menos predecible y controlada
vulnerabilidad de seguridad. En la mayoría de casos, una falta de información y un
desconocimiento de los principios y procedimientos básicos de seguridad son las principales
causas de las deficiencias de seguridad en lugar de la actividad maliciosa (aunque esto último no
se puede ignorar). Sin embargo, el resultado final es habitualmente el mismo: se pierde
información inestimable, la empresa pierde credibilidad, etc.
Por tal motivo, se considera que debe plantearse un modelo de concientización enfocado al factor
humano, para mitigar uno de los riesgos más importantes en el uso, manejo, acceso, control y
resguardo de la información: la fuga de información. Visto desde este enfoque, debemos entender
que ni la más alta tecnología en cuestiones de seguridad de la información podrán detener los
ataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor
humano, dentro de las organizaciones públicas.
1 INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm
3
1.2 Objetivos
OBJETIVO GENERAL.
• Definir un modelo de concientización para minimizar la creciente fuga de
información en las organizaciones.
OBJETIVOS ESPECÍFICOS.
• Identificar las principales vías de fuga de información y lo que motiva al factor
humano a explotarlas.
• Identificar las acciones tomadas actualmente: tecnología, normatividad, estándares
y mejores prácticas; que apoyan en la prevención de fuga de información.
• Identificar las consecuencias de la fuga de información a causa del factor humano.
• Definir un modelo de concientización enfocado a la minimización de fuga de
información, basado en:
o El planteamiento de un programa general de comunicación entre los
miembros de la organización, para que los usuarios comprendan que la
seguridad de la información es responsabilidad de todos, no sólo del
departamento de TI.
o Proponer mecanismos permanentes de difusión, concientización y
educación que fortalezcan la prevención de fuga de información y evitar el
uso de acciones correctivas en la organización ante la fuga de información.
o Proponer mecanismos de medición de la efectividad de los programas y
llevar a cabo seguimiento y monitoreo de los resultados obtenidos.
4
1.3 Justificación
Hoy por hoy el manejo de la información puede contribuir de manera decisiva en cualquier ámbito
de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos
que puede correr dicha información y así poder definir lineamientos generales que ayuden a
resguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.
Existe una latente inquietud y preocupación sobre el tema de la seguridad de la información, ya
que de acuerdo con la American Internacional Group, la criminalidad informática ha aumentado a
un ritmo de 500% a nivel mundial.
De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente
archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se
debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o
dispositivos como discos compactos y memorias USB.
Un error común en el que suelen caer las empresas es pensar que ya se encuentran protegidas de
cualquier riesgo informático por tener instalados diferentes mecanismos de seguridad entre
algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que
el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas
frente a los nuevos problemas que emergen cotidianamente. Los ataques más comunes de
seguridad de la información se enlistan a continuación2:
• Ataques deliberados de software
o Virus (creados por humanos)
o Sistemas operativos (provocados por humanos)
• Fallas/Errores técnicos de software (provocados por humanos)
• Fallas/Errores humanos (provocados por humanos)
• Actos deliberados de espionaje e invasión (cometidos por humanos)
• Actos deliberados de sabotaje y vandalismo (cometidos por humanos)
2 Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor of Information Systems. Member – Human Firewall Council.
5
De los puntos anteriores se puede deducir que la información es producida y consumida por las
personas, paradójicamente, es el mismo factor humano el principal elemento que la pone en
riesgo.
Las personas en general manejan la información, a través de cualquier medio físico o lógico en
lugares públicos sin considerar que las actividades que realizan en ellas pueden estar siendo
observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos
de destrucción controlada de información una vez que los dispositivos van a reasignarse, también
es un elemento de protección.
El típico acercamiento que se ha visto en el pasado fue a través de la implementación de
tecnología estándar enfocada en servidores, servicios y redes: antivirus, antivirus de red, firewall,
endpoints, IDS’s que monitorean el tráfico, etc. Estas soluciones son efectivas y muy necesarias
para proteger ambiente de red, pero no sirven frente a la fuga de información.
Generalmente hablamos que los problemas que se generan en la seguridad de la información
pasan por el concepto de cultura de seguridad, no obstante, se hace muy poco para lograr una
autentica cultura de seguridad de la información, y en muchas ocasiones se ha dicho que la
creación de un programa de concientización sobre la importancia de la información y su protección
en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que
es el usuario final.
Sin embargo, las estadísticas develadas en el 2008 por CSI Survey, como se muestran en la
Figura 1 “Porcentaje de presupuesto para seguridad en TI”, denotan que las empresas invierten
muy poco en cuestiones de seguridad de la información. Como se muestra en la siguiente gráfica:
6
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.
Del mismo modo se resalta en la Figura 2 “Programas de concientización como porcentaje del
presupuesto de seguridad”, que la inversión en programas de concientización, educación y
capacitación, es muy baja. Como se ilustra a continuación:
Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.
Y aún así, los resultados de la efectividad mostrados en la Figura 3 “Métricas de los programas de
concientización”, de estos programas de concientización, educación y capacitación no son
satisfactorios, como se ilustra a continuación:
7
Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008.
La práctica nos ha demostrado que el uso de tecnologías como apoyo en la seguridad de la
información, es un factor dominante en las soluciones actuales, sin embargo, aún existen
debilidades que son explotadas por los atacantes, y van más allá de la infraestructura tecnológica,
estos mecanismos siguen siendo deficientes debido a que no se ataca al eslabón más débil: el
factor humano, y este lo seguirá siendo mientras no se le dote de las herramientas necesarias
para formar parte activa en la preservación de la seguridad de la información. Un factor
determinante en conseguir este objetivo, inicia en la alta dirección de las organizaciones, ya que
esta debería responsabilizarse de las acciones de sus colaboradores.
Las estadísticas mostradas con anterioridad nos demuestran que existe una deficiente inversión
económica en seguridad de la información, y que dentro de esta inversión, los programas de
formación y concientización en la materia, ocupan un muy bajo porcentaje, teniendo como
resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la
fuga de información.
Por lo anterior se hace necesario el desarrollo de un programa adecuado de concientización en el
tema de seguridad de la información, enfocado a todos los niveles de la organización,
debidamente apoyado en las políticas de cada una sobre el tema y con un adecuado proceso de
monitoreo y actualización.
8
1.4 Marco teórico
Seguridad de la información
Tiene como fin la protección de la información y de los sistemas de información del acceso, uso,
divulgación, interrupción o destrucción no autorizada, la cual se sustenta en los principios de
confidencialidad, integridad y disponibilidad (conocidos comúnmente como CIA-triad:
confidenciality, integrity, availability, por sus siglas en inglés)3:
• Confidencialidad. La confidencialidad, o privacidad, es el proceso de asegurar que
los datos se mantienen confidenciales y no pueden ser consultados por entes no
autorizados.
• Integridad. La integridad es la garantía de que los datos están protegidos de ser
modificados de manera accidental o deliberada (maliciosa).
• Disponibilidad. Desde la perspectiva de seguridad, la disponibilidad significa que
un sistema esté disponible para sus usuarios autorizados.
Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros
internos o externos a la organización. Uno de los objetivos primordiales de la seguridad de la
información es la prevención de la pérdida de información o fuga de información. De este modo se
deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su “Glosary
of Information Security Terms”4:
• Activo: Recurso del sistema de información o relacionado con éste, necesario para
que la organización funcione correctamente y alcance los objetivos propuestos.
• Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
• Impacto: medir la consecuencia al materializarse una amenaza.
• Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un
dominio o en toda la organización.
3 TechRepublic. Chad Perrin: “The CIA Triad”, 30 de Junio de 2008 4 Sans Institute, “Glossary of Information Security Terms”
9
• Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza
sobre un activo.
• Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema
de seguridad.
• Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación
normal de la organización.
Muchas organizaciones enfocan su atención en la amenaza del robo de información ó en la
vulnerabilidad de accesos inseguros. Sin embargo, el robo de información y el acceso no
autorizado son dos ejemplos de las subcategorías de fuga de información. Para evaluar
apropiadamente y reducir el riesgo de la fuga de información, de acuerdo a Sophos Plc, en su
whitepaper “Stopping data leakage”, deben considerarse las siguientes cuatro categorías5:
• Acciones y autorizaciones a los usuarios: Eliminación accidental o deliberada de
archivos o programas, pérdida de dispositivos de almacenamiento, y otros eventos
originados por falta de conocimiento o experiencia. Modificación de información, mal
uso de programas o de dispositivos de almacenamiento, compartir contraseñas o
alguna otra forma de debilitar la seguridad.
• Fallas: Colapso de software, fallas de corriente eléctrica, perdida de conexiones a
bases de datos, corrupción de datos o algún otro error que afecte a los dispositivos
de almacenamiento.
• Crímenes/Pérdida de confidencialidad: Compartir información no autorizada, robo
de información, sabotaje, virus, troyanos, etc.
• Desastres: Fuego, inundaciones, terremotos, o algún evento físico que propicie la
destrucción o deterioro de los dispositivos de almacenamiento.
El tema de la seguridad informática ha sido de gran importancia en los últimos años. Como
usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin
embargo, como administradores de la información, es posible que no estemos haciendo suficiente
énfasis en la seguridad enfocada al factor humano.
5 Sophos Plc, “Stopping data leakage: Exploiting your existing security investment” whitepaper
10
Por lo anterior se hace necesaria la aplicación de programas adecuados de concientización,
capacitación y educación en el tema de seguridad. De acuerdo al Lic. Cristian F. Borghello en el
sitio SeguInfo, define los términos de la siguiente manera6:
• Concientización: Se entiende por concientización a la sensibilización del personal de la
organización, para que se den cuenta de su responsabilidad en la protección de la
confidencialidad, integridad y disponibilidad de los activos de información de la
organización, y que comprendan que esto no es solo competencia de los especialistas en
seguridad. No solo debe perseguir la protección de los activos, sino también el porqué es
importante su protección y como pueden contribuir a esta tarea.
• Capacitación: Se encarga de proveer a las personas las habilidades que le permitan
efectuar sus tareas de forma más segura. Esto incluye el enseñarles “qué” y “cómo” lo
deben hacer. También puede enfocarse desde las prácticas de seguridad más
elementales, hasta las habilidades más avanzadas o especializadas.
• Educación: La educación en seguridad se adentra más que la capacitación, debido a que
está más enfocada a los especialistas en seguridad y a aquellos puestos que requieren
cierta experiencia en tópicos de seguridad.
Modelo
Para lograr una cultura consciente de la importancia de la seguridad de la información es
necesaria una educación en seguridad. Es preciso aplicar un conjunto de métodos y técnicas
(Modelo de enseñanza) para comunicar estos conocimientos de seguridad. De acuerdo a Joyce y
Weil en su libro “Models Of Teaching”, existen varios modelos de enseñanza pero todos tienen las
siguientes características7:
• ¿Qué enseñar?
• ¿Cómo enseñar?
• ¿Qué y cómo evaluar?
Las preguntas anteriores las podemos resumir en:
• Enfoque
• Metodología
• Evaluación
6 Lic. Cristian F. Borghello, http://www.segu-info.com.ar 7 Joyce y Weil. “Models Of Teaching”, 2004, Pearson / Alyn and Bacon.
11
Conociendo cada uno de estos elementos, se facilitará identificar el modelo de enseñanza que se
está empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo
dando uno aparentemente diferente.
1.5 Diseño de la investigación
• Recopilación teórica de conceptos de seguridad de información, riesgos, fuga de
información, concientización, educación, capacitación y modelos.
• Determinar las fuentes de información para recabar las bases de la investigación.
• Recopilación de estadísticas respecto a ataques a la seguridad informática.
• Investigación e identificación de las mejores prácticas y lineamientos referentes al
tema de seguridad de la información (COBIT, ISO 27002:2005, etc.) que
contribuyan a la elaboración del modelo.
• Identificación y evaluación de las TI que apoyan la educación, capacitación y
concientización.
• Análisis de información recopilada para elaboración de conclusiones propias.
• Elaboración de conclusiones y propuestas del modelo.
1.6 Tipo y técnicas de investigación
TIPO DE INVESTIGACIÓN: Descriptiva
Parten de la descripción de datos y características de la población o fenómeno de estudio, que
resulta insuficientemente conocida y, al mismo tiempo, relevante e interesante para ciertos
desarrollos. El objetivo central de estas investigaciones está en proveer un buen registro de los
tipos de hechos que tienen lugar dentro de esa realidad y que la definen o caracterizan
sistemáticamente. Se estructuran sobre la base de preguntas cuya forma lógica se orienta a
describir: ¿Cómo es x? ¿Qué es x? ¿Qué ocurre en calidad de x o bajo la forma x?
Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las
clasificaciones (formulación de sistemas de criterios que permitan agrupar los datos o unificar las
12
diferencias singulares), las definiciones, las comparaciones (determinación de semejanzas y
diferencias en comparación a estándares).
TÉCNICAS DE INVESTIGACIÓN: Documentales
Permite la recopilación de información para enunciar las teorías que sustentan el estudio de los
fenómenos y procesos.
Su objetivo es elaborar un marco teórico conceptual para formar un cuerpo de ideas sobre el tema
de investigación. Es indispensable ya que integra la estructura de la investigación, permite ordenar
las etapas de la investigación y orientar la obtención de conocimientos.
13
Capítulo II: Conceptos Generales
Conceptos como seguridad son “borrosos” o su definición se maneja con cierto grado de
incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa
consecuencia de que la función de seguridad puede ser frecuentemente etiquetada como
inadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante
reclamos basados en ambigüedades de conceptos y definiciones. Este problema puede ser
solucionado satisfaciendo las necesidades de comprensión de conceptos como: seguridad,
información, amenaza, riesgo, vulnerabilidad, concientización, fuga de información, entre otros. En
definitiva los expertos en seguridad y los expertos en informática deben interactuar
interdisciplinariamente para que exista seguridad de la información. Por este motivo, el presente
capítulo se enfoca en la definición de los conceptos ya mencionados.
2.1 Información
En la actualidad es un hecho que la información es el activo más valioso e importante de toda
unidad organizacional en las actividades humanas, es por esta razón que debemos tener
conciencia de la importancia de la misma, así como las amenazas a las que la información está
expuesta y el impacto de que dichas amenazas se vuelvan reales.
2.1.1 Definición
Para comenzar el análisis de la seguridad de la información se deberá conocer las características
de lo que se pretende proteger: la información.
Según Rafael Fernández Calvo, en su glosario básico para usuarios de Internet, define dato como:
“La unidad mínima con la que compone cierta información. Datum es una palabra latina, que
significa ‘lo que se da’”.8
Luego, de acuerdo a el Dr. Giovanni Manunta, en su libro “Seguridad: Una Introducción”, la
Información “es una agregación de datos que tiene un significado específico más allá de cada uno
de éstos, y tendrá un sentido particular según cómo y quién la procese”9.
8 CALVO, Rafael Fernández. Glosario Básico Inglés – Español para usuarios de Internet. 1994–2000. http://www.ati.es/novatica/2000/145 9 Presentación del libro “Seguridad: una Introducción”. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de Cranfield University. Revista Seguridad Corporativa. http://www.seguridadcorporativa.org
14
2.1.2 Función de la información
Según encuestas de seguridad informática publicadas en 2008 por Ernst & Young México10, las
funciones de la información que se acercan más a la realidad y con base en puntos de vista de los
encuestados, son:
• Aumentar el conocimiento del usuario.
• Proporcionar a quien toma decisión probabilidades para la elección, reduciendo la
gama de decisiones.
• Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de
control.
En relación con el primer punto, la información como vía para llegar al conocimiento, debe de ser
elaborada para hacerla utilizable o disponible, también debe conservarse integra y confiable,
puntos que debe encargarse de proteger la seguridad de la información, como se verá en los
tópicos siguientes.
2.1.3 Características
Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con
los equipos, las aplicaciones y la documentación, y esto depende de las características de cada
organización. De este modo, como se define en el libro “Library & Information Science Research”,
puede existir información que debe o puede ser pública: puede ser visualizada por cualquier
persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de
personas que trabaja con ella. En esta última debemos maximizar nuestros esfuerzos para
preservarla de ese modo reconociendo las siguientes características en la Información11:
1. Es crítica: es indispensable para garantizar la continuidad operativa.
2. Es valiosa: es un activo con valor en sí misma.
3. Es sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.
10 11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com 11 AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008
15
Adicionalmente el “Information Technology Security Evaluation Criteria” define algunos aspectos
adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares,
dentro de los cuales se encuentran12:
• El control sobre la información permite asegurar que sólo los usuarios autorizados
pueden decidir cuándo y cómo permitir el acceso a la misma.
• La autenticidad permite definir que la información requerida es válida y utilizable en
tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de
la información, validando el emisor de la misma, para evitar suplantación de
identidades.
• Protección a la réplica: mediante la cual se asegura que una transacción sólo puede
realizarse una vez, a menos que se especifique lo contrario. No se deberá poder
grabar una transacción para luego reproducirla, con el propósito de copiar la
transacción para que parezca que se recibieron múltiples peticiones del mismo
remitente original.
• No repudio: mediante la cual se evita que cualquier entidad que envió o recibió
información alegue, ante terceros, que no la envió o recibió.
• Consistencia: se debe poder asegurar que el sistema se comporte como se supone
que debe hacerlo ante los usuarios que corresponda.
• Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite
regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso
del mismo.
• Auditoría: es la capacidad de determinar qué acciones o procesos se están llevando
a cabo en el sistema, así como quién y cuándo las realiza.
El valor de la información es una de las ideas más difíciles de conceptualizar. Los investigadores
han analizado este concepto en una gran variedad de formas, cada uno complementando al otro,
así como aumentando la complejidad del concepto. La información puede ser una mercancía, un
producto, un servicio o una experiencia. Además, su valor aumenta a lo largo de este continuo. El
valor a veces es asignado en la forma que la información es empaquetada y distribuida; pero, en
12 Information Technology Security Evaluation Criteria (ITSEC)
16
ocasiones el valor es inherente a su contenido a pesar de la forma que es transmitida. También el
valor de la información puede estar derivado del intercambio o su uso y pueden ser evaluados de
forma normativa, realista o subjetiva, en consecuencia los esfuerzos por protegerla deben
enfocarse en proteger sus principios fundamentales: confidencialidad, integridad y disponibilidad
(ver: “1.4 Marco teórico”).
2.1.4 Clasificación
Para lograr la confidencialidad, integridad y disponibilidad de la información, es importante que se
maneje el concepto de “clasificación de la información”, el cual, según el “SANS Institute
Information Seccurity Reading Room”, es “el conjunto de actividades que involucran el desarrollo
de políticas y procedimientos en seguridad de activos de información en donde debe establecerse
un esquema acorde con el impacto que representa la alteración, pérdida y divulgación de la
información sensitiva para la organización”. El mismo, propone la siguiente clasificación:
restringida, altamente confidencial, confidencial, interna y pública, como lo muestra la Figura 4
“Clasificación de la Información”.
Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room.
Los niveles mostrados en la figura anterior se pueden definir de la siguiente manera13:
• Restringida: Esta clasificación aplica para información de uso exclusivo por parte
de un reducido grupo de personas dentro de la organización. La divulgación no
autorizada de esta información conlleva severos impactos a la operación y
reputación de la empresa. Información que, de divulgarse a personas no
13 SANS Institute InfoSec Reading Room
17
autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la
organización, o bien su estado financiero, sus clientes o franquicias.
• Altamente confidencial: Esta clasificación abarca información menos sensitiva,
pero de uso exclusivo en áreas específicas de la organización. La divulgación de
esta información puede afectar las ventajas competitivas o causar daños
patrimoniales a la organización. Información que, de divulgarse a personas no
autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la
organización, o bien su estado financiero, sus clientes o franquicias.
• Confidencial: Información sobre clientes, empleados y negocios de la organización
que la organización está obligada a proteger. Información que, según la unidad
empresarial, tiene posibilidades de proporcionar una ventaja competitiva, o que
puede afectar considerablemente a la empresa, si se divulga a personas no
autorizadas.
• Interna: Esta clasificación aplica para información únicamente para uso interno de
la organización. Su divulgación pudiese acarrear daños o ser utilizada por persona
ajenas a la organización, para fines particulares. Información que, por lo general, se
divulga dentro de la organización, que no está destinada a distribuirse fuera de la
organización, y que no está clasificada como restringida, altamente confidencial o
confidencial.
• Pública: Esta clasificación incluye cualquier otra información que no se encuentre
dentro de cualquiera de las tres anteriores, que no requiera protección contra
accesos no autorizados. Sin embargo, su divulgación debe ser regulada por las
áreas competentes. Información que está libremente disponible fuera de la
organización, o que está destinada al uso público por parte del propietario de la
información. La información pública no tiene restricciones en cuanto a seguridad.
Cada negocio debe designar a los propietarios de la información correspondientes a cada uno de
los dueños de esta. Es responsabilidad del propietario de la información determinar el nivel de la
clasificación así como definir y aprobar a quien más se puede divulgar la información de la que es
propietario.
18
2.2 Seguridad de la información
“Ser lo que soy, no es nada sin la seguridad”14. Sin duda William Shakespeare tenía un concepto
más evolucionado de la seguridad que sus contemporáneos del siglo XV y quizás también que
algunos de los nuestros.
La meta es ambiciosa. La seguridad como materia académica no existe, y es considerada por los
“estudiosos” como una herramienta dentro del ámbito en que se la estudia: relaciones
internacionales – nacionales, estudios de riesgo, prevención de crímenes y pérdidas, etc.
El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de
acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar,
ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
2.2.1 Definición
En las organizaciones, la Seguridad de la Información (SI) ha comenzado a tomar un lugar
determinante, y se ha convertido en un elemento fundamental a ser considerado en toda
estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo.
En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas
que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la
información, y al mismo tiempo no obstáculos para adaptarse a los continuos cambios de la
organización como consecuencia de las exigencias del mercado, sin embargo, para lograr este
objetivo es necesario conocer la definición de seguridad de la información, según Timothy P.
Layton en su libro “Information Security: Design, Implementation, Measurement, and Compliance”,
define la seguridad de la información como: “la protección de la información y los sistemas de
información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.”15
Los términos de “seguridad de la información”, “seguridad informática” y “aseguramiento de la
información” son frecuentemente e indistintamente usados de forma incorrecta. Estos términos
están relacionados entre sí a menudo y comparten los objetivos comunes de protección de la
confidencialidad, integridad y disponibilidad de la información, sin embargo, hay algunas
diferencias sutiles entre ellos. Estas diferencias radican fundamentalmente en el enfoque del tema,
las metodologías utilizadas, y las zonas de concentración.
“La ‘seguridad de la información’ se refiere a la confidencialidad, integridad y disponibilidad de los
datos independientemente de la forma de los datos: electrónicos, impresos, o de otras formas. Sin
14 William Shakespeare, 1564–1616. 15 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8.
19
embargo, la ‘seguridad informática’ puede centrarse en garantizar la disponibilidad y el correcto
funcionamiento de un sistema informático sin preocuparse por la información almacenada o
procesada por el mismo. Así mismo, el ‘aseguramiento de la información” se refiere a la gestión
de los riegos asociados a la información.”16
A medida que el rol de seguridad de la información evoluciona, los directivos y ejecutivos de
negocio reconocen que éste es sin duda el primer paso en la relación entre la organización, sus
clientes, socios de negocio, proveedores y empleados. En este sentido, la seguridad de la
Información acarrea grandes implicaciones para las organizaciones debido a que la confianza es
la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la
competencia.
2.2.2 Objetivos y propósitos de seguridad de la información
Chritian Byrnes y Paul E. Proctor en su libro “The Secured Enterprise: Protecting Your Information
Assets“ definen que “el objetivo de la seguridad de la información es el proteger el patrimonio
informático de la organización, entendiendo por tal, instalaciones, equipo e información.”17
Los principales objetivos, propuestos por Julio César Ardita (fundador y director de investigación y
desarrollo de CYBSEC Security Systems), que persigue la seguridad de la información son los
siguientes: 18
• Asegurar la integridad y exactitud de la información.
• Proteger la confidencialidad de la información.
• Proteger y conservar los activos de la información fuera del alcance de riesgos, de
desastres naturales o de actos mal intencionados.
• Asegurar la capacidad de supervivencia de la organización ante eventos que
pongan en peligro su existencia.
• Proveer el ambiente que asegure el manejo adecuado de la información sustantiva.
• Proteger los sistemas informáticos de la empresa ante posibles amenazas.
16 Idem 17 F. Christian Byrnes & Paul E. Proctor, “The Secured Enterprise: Protecting Your Information Assets”, 2005, Prentice Hall Professional.
18 ARDITA, Julio César. http://www.cybsec.com
20
• Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la
información.
• Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de
los usuarios de la empresa.
• Desarrollar e implementar el plan de seguridad.
• Asegurarse de que los aspectos relacionados con la seguridad sean considerados
cuando se seleccionen los contratistas.
• Monitorear día a día la implementación y el uso de los mecanismos de seguridad de
la información.
• Coordinar investigaciones de incidentes de seguridad informática.
• Revisar los logs de auditoría y sistemas de detección de intrusiones.
• Participar en los proyectos informáticos de la organización agregando todas las
consideraciones de seguridad.
En resumen, el propósito de seguridad de la información es el reducir el impacto de un fenómeno
que pueda causar pérdidas y que deberá encontrarse en posibilidades de recuperación a un
mínimo nivel aceptable, a un costo razonable y asegurando la adecuado re estabilización de la
operatividad.
2.2.3 Funciones de la seguridad de la información
Mucho se habla de seguridad de la información en estos tiempos, sin embargo, cabe destacar que
las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones
de las mismas. Además es una realidad que las funciones de la seguridad de la información están
delimitadas en un ámbito tecnológico, sin embargo, se le debe dar un enfoque estratégico
optimizando así las funciones de la misma para lograr un amplio aprovechamiento de las mejores
prácticas, políticas y estrategias vinculadas a los objetivos y propósitos de la organización.
Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar
por la seguridad de la información19:
19 Herrera Reyna, Omar Alejandro.http://www.segu-info.com.ar
21
• Minimizar los riegos de quebrantos y fraudes, a través del establecimiento de
normas, medidas y procedimientos preventivos y de seguridad en los productos,
servicios y procesos que los soportan.
• Proteger la información de acuerdo a su importancia y valor, así como resguardar
los demás activos de información en donde se procesan.
• Asegurar que desde su inicio incorporen en cada uno de sus proyectos y
procedimientos las normas, medidas y procedimientos de prevención y de
seguridad.
• Investigar administrativamente hechos dolosos que por su trascendencia o impacto
afecten los intereses de la empresa.
• Dar seguimiento conforme a la normatividad interna y al marco jurídico, las acciones
dolosas y negligentes de su personal, que afecten el patrimonio organizacional.
• Realizar diagnóstico de riesgos en las diferentes áreas de la empresa y proponer
acciones de solución.
• Identificar necesidades y problemática con base en el análisis de riesgos
previamente realizado e identificar problemas que afecten de manera general la
seguridad de la información.
• Definir políticas y procedimientos generales de seguridad de la información, para
todo el ámbito informático.
• Definir, orientar y dar seguimiento a estrategias y planes organizacionales de
seguridad dentro de la empresa.
• Dar seguimiento al cumplimiento de estrategias, normas, requerimientos y
liberaciones.
• Concienciar y difundir los conceptos de seguridad en toda la empresa.
22
• Participar en la creación de los planes organizacionales mediante la revisión,
adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada
área.
Es de suma importancia tener firmemente cimentadas las funciones de seguridad de la
información con el fin de que el área responsable delimite, implante y efectúe las medidas
necesarias para el cumplimiento de los objetivos y propósitos de la seguridad de la información y
por tanto de la organización en general.
2.2.3.1 Qué debemos proteger
De acuerdo al libro “Information Security: Design, Implementation, Measurement, and
Compliance”, en cualquier sistema de información existen los siguientes elementos básicos a
proteger: el hardware, el software, las comunicaciones y la información (ver Figura 5
“Componentes de seguridad de la información). De estos, la información que maneja el sistema
debe ser lo más importante, ya que es el resultado del trabajo realizado. Si existiera daño del
hardware, software o comunicaciones estos pueden adquirirse nuevamente desde su medio
original; pero la información obtenida en el transcurso del tiempo es imposible de recuperar: tal vez
se pueda recurrir a un sistema de copias de seguridad (si es que se tiene), y aún así es difícil de
devolver la información a su forma anterior al daño.20
Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M. Kennedy T.
20 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8
23
2.2.3.2 De quién debemos protegernos
Gustavo Aldegani en su libro “Seguridad Informática” define que “un intruso o atacante a la
persona que accede (o intenta acceder) sin autorización a un sistema ajeno, ya sea en forma
intencional o no”21. La Figura 6 “Amenazas para la seguridad”, es una clara clasificación de quien
debemos protegernos.
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad Informática: Sus
implicancias e implementación”.
2.2.3.3 Cómo podemos protegernos
Julio C. Ardita indica que debemos protegernos en tres momentos22:
• La prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un
sistema durante su funcionamiento normal.
• La detección (durante): mecanismos orientados a revelar violaciones a la seguridad.
• La recuperación (después): mecanismos que se aplican, cuando la violación del
sistema ya se ha detectado, para retornar éste a su funcionamiento normal.
Estos mecanismos conformarán políticas que garantizarán la seguridad de nuestro sistema de
información. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales,
cada riesgo debería ser atacado de las siguientes maneras:
21 ALDEGANI, Gustavo. Miguel. Seguridad Informática, MP Ediciones Argentina. 22 ARDITA, Julio César. http://www.cybsec.com
24
1. Minimizando la posibilidad de su ocurrencia.
2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera.
3. Diseño de métodos para la más rápida recuperación de los daños experimentados.
4. Corrección de las medidas de seguridad en función de la experiencia recogida.
Para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas
de integridad, confidencialidad, operatividad, control y autenticidad. Se deberá conocer “qué es lo
que queremos proteger”, “de quién lo queremos proteger”, “cómo se puede lograr esto legislativa y
técnicamente”; para luego concluir con la formulación de estrategias adecuadas de seguridad
tendientes a la disminución (¿anulación?) de los riesgos.
Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los riesgos, las
vulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las
necesidades de seguridad.
2.2.4 Importancia de la seguridad de la información
La era digital permitió una apertura de fronteras, una eliminación de las barreras comerciales y un
gran intercambio de información. Así las economías han venido creciendo, y también lo han hecho
las organizaciones delictivas.
No es un secreto que cuando se habla de seguridad de la información, lo que preocupa a las
organizaciones es el nivel de inseguridad. La inseguridad es la relación entre la seguridad real y la
seguridad total, utopía inexistente. Las áreas encargadas de la seguridad de la información, en
realidad, deben lograr que el nivel de inseguridad esté dentro de los parámetros
organizacionalmente aceptados como válidos y de acuerdo a las necesidades y recursos a los que
la organización esté limitada. Paradójicamente la seguridad entonces, se mide por el nivel de
inseguridad existente en un sistema de seguridad de la información.
Gracias a relevantes encuestas elaboradas por Cybsec, argumentamos que la inseguridad de la
información debe ser combatida a partir de un sistema de seguridad integral en donde se cumplan
las siguientes premisas23:
• Factor humano y factor tecnológico deben estar involucrados.
23 "Tendencias en Seguridad Informática 2006”. Cybsec S.A. http://www.cybsec.com
25
• Los sistemas de seguridad de la información deben funcionar eficientemente y
generar confianza.
• Cada una de las áreas de la organización debe concientizarse sobre la
responsabilidad que tienen sobre el manejo, uso y resguardo de la información que
cada ente dentro de la misma maneja.
La importancia de seguridad de la información reside en el hecho de lograr disminuir el índice de
inseguridad vigente en cualquier sistema de información, tomando en cuenta las premisas
anteriores y poniendo en marcha medidas, técnicas y controles, así como políticas y
procedimientos que sirvan de base para un correcto, creciente y permanente manejo y resguardo
de la información.
Procedimientos y tecnologías han avanzado para que la seguridad de la información sea cada vez
más eficiente.
¿Cómo darle una solución al tema? Por un lado deben revisarse los procesos del factor humano,
consultorías, capacitación, educación y concientización al personal, etc., por el otro debe darse un
permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan
un modelo vertical de seguridad: seguridad de almacén, seguridad de transporte, seguridad
periférica, seguridad personal, seguridad para la tecnología de información, seguridad de la carga,
seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridad
para una sola organización. Este modelo de seguridad, utilizado mayoritariamente, es muy
vulnerable y facilita la inseguridad pues:
1. Existen zonas grises entre las distintas áreas,
2. Tiene gran dificultad de coordinar los distintos recursos,
3. Existe un riesgo elevado de fuga de información por parte de personal común y
4. No está basado en la inteligencia como “modus operandi”.
La gestión eficiente de la seguridad de la información en las organizaciones, es un claro ejemplo
de cómo la seguridad debe ser planteada en forma estratégica. Fallas de seguridad impactan
negativamente en el cuadro de resultado de las mismas.
26
La seguridad como factor estratégico permitirá coordinar, interactuar y lograr la interoperabilidad
necesaria entre los distintos proveedores verticales, actuando como punto de origen y control
desde el cual se imparten las directrices y el control de la seguridad total de la organización.
2.3 Vulnerabilidades, Amenazas y Riesgos de la Información
Muchos de los términos de seguridad son frecuentemente confundidos en publicaciones
populares. Diferentes términos de seguridad tienen distintos significados para ser usados en
formas específicas por una razón. Por ejemplo, “evaluación de riesgos” y “evaluación de
amenazas” son dos términos completamente diferentes, y cada uno es valioso por sus propias
razones y aplicables para resolver diferentes problemas.
Los tres términos de seguridad: vulnerabilidad, amenaza y riesgo, serán definidos a
continuación24:
2.3.1 Definición de vulnerabilidad
El término vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un
ataque sea exitoso. La evaluación de vulnerabilidades debe ejecutarse por las partes
responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para
identificas daños inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades
no son particularmente en tecnología, estas puede aplicarse en factores sociales, tal como
autenticaciones personales y políticas de autorización.
Analizar las vulnerabilidades es útil para mantener la seguridad continua, permitiendo a las
personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los
nuevos daños cuando sucedan. También es valiosa para el desarrollo de políticas y tecnología, y
como parte de del proceso de selección de tecnología, ya que elegir la tecnología correcta a
tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.
2.3.2 Definición de amenaza
El término amenaza se refiere al origen de un ataque en particular. El análisis de amenazas puede
ser ejecutado para determinar el mejor acercamiento al aseguramiento de un sistema contra una
amenaza en particular o una clase de amenaza mientras le análisis de riesgos se enfoca en
analizar el potencial y la tendencia de un recurso a fallar, debido a los ataques, el análisis de
amenazas se enfoca más en analizar los recursos del atacante.
24 TechRepublic. Chad Perrin: “Understanding risk, threat, and vulnerability”, 07 de Julio de 2009
27
Analizar amenazas ayuda a desarrollar políticas de seguridad específicas en alineación con las
prioridades y el entendimiento de las necesidades de los recursos a asegurar.
2.3.3 Definición de riesgo
El término de riesgo se refiere, a la probabilidad de ser alcanzado por un ataque, ya sea exitoso o
no, así como la exposición a una amenaza. Un análisis de riesgo se ejecuta para determinar las
más potenciales brechas de seguridad y cómo prevenirlas ahora, en vez de corregirlas después.
Enumerando las más críticas y peligrosas, y evalúa los niveles de riesgos relativos a otros
mediante una función de interacción entre el costo y la probabilidad de ocurrencia de dicha brecha.
Analizar riesgos puede ayudar a determinar una apropiada inversión a la seguridad (tanto en
tiempo como en dinero), y priorizar la implementación de políticas de seguridad como un reto para
resolverlos lo más pronto posible.
Entender el uso apropiado de estos términos es importante, no únicamente para sonar que
conocemos de lo que estamos hablando, ni para facilitar la comunicación. También ayuda para
desarrollar y aplicar buenas políticas. La especificidad de los términos técnicos se ve reflejada en
la forma en que los expertos han identificado claras distinciones entre prácticas reales y sus
campos de experiencia, y puede ayudar a clarificar como se deben enfrentar los retos para
alcanzar los objetivos.
Es necesario conocer los riesgos, los recursos que se deben proteger y como su daño o falta
pueden influir en la organización, así mismo, es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una
relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco
(ver Figura 11 “Elementos e Interrelaciones Amenaza – Vulnerabilidad – Riesgo”).
28
Figura 7. Elementos e Interrelaciones Vulnerabilidad – Amenaza –Riesgo. Fuente: Revista de Ingeniería Informática del
CIIRM.
2.3.4 Clasificación de riesgos, amenazas y vulnerabilidades
Retomando los términos anteriores, las organizaciones deben evaluar los posibles riesgos,
amenazas y vulnerabilidades a los que está expuesta su información. En general, esta evaluación
es determinar qué amenazas y vulnerabilidades merecen una atención prioritaria en relación con
el valor de la información o sistemas de información protegida. A pesar de que las amenazas y
vulnerabilidades deben ser consideradas al mismo tiempo, es importante distinguir entre las
amenazas de las vulnerabilidades.
De este modo, las vulnerabilidades en la seguridad de la información pueden clasificarse de la
siguiente forma:
• Vulnerabilidades en Sistemas: Surgen desde las distintas fases del desarrollo de
estos sistemas, mismas que a continuación tratamos de definir: vulnerabilidades de
29
diseño, vulnerabilidades de implementación y vulnerabilidades de implantación y
configuración.
• Vulnerabilidades en Infraestructura Tecnológica: Son el resultado de
implementación incorrecta de tecnologías, otras son consecuencias de la falta de
planeación de las mismas pero, como ya se ha mencionado, la mayoría de las
deficiencias de la seguridad son ocasionadas por los usuarios de dichos sistemas y
es responsabilidad del administrador detectarlos y encontrar la mejor manera de
corregirlas.
• Vulnerabilidades de acuerdo al factor humano. Involucra debilidades por parte de
personas involucradas con los sistemas de la organización, ya que desconocen las
mínimas medidas de seguridad y/o políticas de la organización. Dichas carencia o
deficiencia de conocimiento y/o conciencia de la seguridad de la información puede
llevar a la manipulación de las personas para convencerlas de que ejecuten
acciones o actos que normalmente no realizan para que revele todo lo necesario
para superar las barreras de seguridad (conocido como “Ingeniería Social”). Un
atacante pude utilizar medios no electrónicos (llamadas telefónicas, anuncios,
suplantación de personal técnico, etc.), para conseguir acceso o atacar la
infraestructura de soporte a sistemas de información de la organización. Se deben
evaluar los procedimientos y organización de la organización relacionados con
seguridad de la información a fin de detectar debilidades frente a técnicas de ataque
no electrónicas, mejor conocidas como Ingeniería Social.
A pesar de que las amenazas pueden surgir de una amplia variedad de fuentes, se pueden
clasificar en tres grandes grupos:
• Amenazas Humanas: Esta clasificación trata sobre cada uno de los personajes que
pueden ser potenciales atacantes de nuestro sistema: el personal externo y el
personal perteneciente a la organización. Podemos clasificar las amenazas
humanas en:
o Personal Interno
o Ex–Empleado
o Curiosos
o Terroristas
o Intrusos remunerados
30
o Hackers, crackers, phreakers, gurús, lamers ó script–kidders, copyhackers,
bucaneros, newbies, wannaber, samurái, piratas informáticos, creadores de
virus, etc.
A diferencia del atacante externo, los empleados de una empresa poseen
conocimiento y disponen de mayores oportunidades para explotar vulnerabilidades
existentes. Por esta razón, el fraude interno sigue siendo altamente costoso y difícil
de identificar, el ambiente de control interno, la cultura organizacional de prevención
y la ejecución rápida de acciones asertivas al presentarse situaciones de este tipo,
son fundamentales para su minimización.
Algunas causas por las que un sistema de seguridad de la información puede ser
más vulnerable desde el factor humano, son:
o Personal Interno.
• Baja moral, motivación y sentido de pertenencia entre los
empleados.
• Alta rotación de empleados.
• Baja disponibilidad de personal en los departamentos de
contabilidad y auditoría interna.
• Empleados con estilo de vida inconsistente con sus ingresos y
patrimonio.
• Presión interna (ejemplo, presión sobre la Gerencia para alcanzar
las metas de presupuesto).
• Forcejeos y luchas internas en la alta gerencia.
• Empleados con motivos de queja reales o imaginarios contra la
Compañía o la Gerencia.
o Nivel institucional
• Ambiente de Control Interno débil, en especial en el área de
controles informáticos.
• La ausencia de un programa de cumplimiento de políticas internas y
regulaciones.
• Gran número de quejas de clientes, proveedores o entes
reguladores.
31
• Falta ó deficiencia de conocimiento, debido a nulos o escasos
programas de difusión, educación, capacitación y concientización
en materia de seguridad de la información.
• Amenazas Tecnológicas: El crecimiento de las necesidades en tecnología de la
información (TI) es directamente proporcional al crecimiento de los riesgos,
amenazas y vulnerabilidades que nos rodean. Dentro de las amenazas tecnológicas
a la seguridad de la información podemos considerar las siguientes: trojan horses,
data diddling, spoofing, scanning, eavesdropping ó packet sniffers, denial-of-service,
virus, worms, session hijacking, logic bombs & time bombs, etc.
• Amenazas Naturales: Este tipo de amenazas se refiere a condiciones de la
naturaleza y la intemperie que podrán causar daños a los activos. Las principales
amenazas que se prevén en las amenazas naturales son: incendios, inundaciones,
condiciones climatológicas, terremotos, etc.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del
medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información
brindada por los medios de control adecuados. Estas decisiones pueden variar desde el
conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en
caso de accidentes.
La ejecución adecuada y oportuna de pruebas es esencial para identificar muchas de estas
amenazas y vulnerabilidades. Un punto importante para determinar los riesgos, amenazas y
vulnerabilidades consiste en la elaboración inventario de la información y sistemas relacionados a
la misma (ver tema “2.1.4 Clasificación de la información”), de este modo mediante la apreciación
del riesgo y la exposición a las amenazas y vulnerabilidades observadas, se podrá asignar
clasificaciones de riesgo a la información y sistemas de información.
La clave para la clasificación de riesgos es organizar la información y los sistemas de información
dentro de un marco lógico. Dicho marco debe reconocer que no todas las amenazas y los riesgos
son iguales, así mismo se debe reconocer que la organización dispone de recursos finitos para la
atención de dichos riesgos. Los riesgos razonablemente previsibles, deben ser priorizados y
clasificados de acuerdo a la sensibilidad y la importancia de la información.
La probabilidad o posibilidad de que se produzca un hecho, y el impacto que tendría, debe
considerarse en la determinación de la clasificación del riesgo, además de la clasificación de la
información. Del mismo modo la clasificación asignada al riesgo debe estar directamente influido
32
por perfil de la organización y la eficacia de sus controles. Normalmente, el resultado se expresa
en diferentes “niveles de riesgo”, por ejemplo, "Alto", "Medio" o "Bajo". La clasificación de riesgo es
específicamente juzgado, determinado y asignado en relación con el nivel de exposición y la
probabilidad de la amenaza, teniendo en cuenta la adecuación de los controles internos. Cuando
los controles son insuficientes o no que se haya concluido la evaluación de riesgos se debería
incluir un plan de acción para mejorar los controles.
Una vez que los riesgos asociados con amenazas y vulnerabilidades han sido evaluados, las
probabilidades asignadas, y los riesgos evaluados, los riesgos deben ser separados en los que la
organización está dispuesta a aceptar y aquellos que deben ser mitigados.
Un punto importante a considerar es que se debe disponer de una lista de amenazas
(actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos,
herramientas y técnicas de ataque que se pueden utilizar. Es importante que los administradores
actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos,
herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua.
2.4 Fuga de información
Dentro de los riesgos a los que se encuentra expuesta la información, se puede destacar uno: la
fuga de información. Estadísticas recientes muestran que el número de eventos de esta índole
está en aumento25, en parte debido a la reciente legislación, que exige la notificación de la pérdida
de datos, obligando a las organizaciones a notificar a las víctimas de que su identidad ha sido
puesta potencialmente en peligro.
La fuga de información es una amenaza silenciosa. El personal puede filtrar información sensible
de forma intencional o accidental. Esta información sensible puede ser electrónicamente
distribuida por email, sitios web, protocolos de transferencia de red, mensajería instantánea,
archivos, bases de datos, y alguna otra manera electrónica disponibles, todo a escondidas de la
organización. La propagación maliciosa o involuntaria de información sensible puede tener
consecuencias devastadoras para el cliente, así como para la organización.
25 "Etiolated Statistics". Etiolated Consumer\Citizen. http://www.etiolated.org/statistics. Obtenido el 05/06/2007.
33
2.4.1 Definición
En el campo de seguridad de TI, la fuga de datos, según el artículo “A Chronology of Data
Breaches" es: “La liberación de información segura fuera de su entorno de confianza”26. Otros
términos para este problema incluyen la divulgación de información y pérdida de datos.
La fuga de datos según la página de internet IDG.es, se define como: “la extracción no autorizada
de datos, ya sean públicos, internos, confidenciales y restringidos” así mismo la complementa con
una segunda definición: “la filtración no autorizada de datos, ya sea por medio de correo
electrónico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los
dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniería social
electrónica y no electrónica, comunicaciones de fax a email, medios no autorizados (CD/DVD,
discos y memoria USB), etc.”27
Según el código nuevo código penal colombiano, la fuga de datos es: “la revelación dolosa de
informaciones concernientes a la vida personal y familiar, o del patrimonio económico individual,
que posean personas o entidades autorizadas en sus bases de datos”28.
2.4.2 Tipos
La fuga de información puede incluir incidentes como el robo o la pérdida de los medios digitales,
tales como cintas de computadora, discos duros o computadoras portátiles que contienen estos
medios de comunicación en los que dicha información se almacena sin cifrar, publicar dicha
información en internet o en un equipo de otro modo accesible desde internet sin precauciones de
seguridad adecuadas de información, la transferencia de dicha información a un sistema que no es
completamente abierto, pero no es adecuada o formalmente acreditados para la seguridad en el
nivel aprobado, como cifrar el correo electrónico o la transferencia de información a los sistemas
de información de una agencia posiblemente hostil, como una empresa competidora o de una
nación extranjera, en las que puede estar expuesto a más técnicas de descifrado intensiva.
Estos tipos de eventos pueden ocurrir por:
• Acción intencional: Supresión, robo o extracción intencionada de información.
26 "A Chronology of Data Breaches", Clearinghouse. http://www.privacyrights.org. 27 Network World España, IDG.es 28 Nuevo Código Penal Colombiano
34
• Acciones no intencionales: Eliminación o pérdida accidental de información. No
guardar la información. Mala administración de la información.
• Errores: Fallas de energía, de hardware, de software. Corrupción de datos.
• Desastres: Naturales: fuego, terremotos, inundaciones, tornados, etc.
Sociales/políticos: guerras, golpes de estado, etc.
• Delitos: Robo, piratería, sabotaje, gusanos, virus, hackers.
Los estudios han demostrado fallos en el hardware y el error humano son las dos causas más
comunes, las cuales representan aproximadamente tres cuartas partes de todos los incidentes.
Una causa común que se pasa por alto son los desastres naturales, aunque la probabilidad es
pequeña, la única manera de recuperarse debido a un desastre natural, es almacenar una copia
de seguridad en una ubicación diferente físicamente separada.
2.4.3 Obstáculos en la prevención de fuga de información
Se han desarrollado muchas soluciones que se enfocan a la prevención de fuga de información,
los cuales se enfocan en identificar y categorizar la información, para después implementar
políticas para monitorear la información sensible y aplicar controles necesarios. Muchas de estas
soluciones tienen sentido en el concepto, pero en la práctica se enfrentan a múltiples obstáculos.
Sophos Plc, en su whitepaper “Stopping data leakage” destaca los siguientes obstáculos29:
• Mucha información, poco tiempo: Para muchas organizaciones la información esta
dispersada, desorganizada y en grandes volúmenes, y clasificarla de forma comprensiva
es una tarea demasiado tediosa y consume muchos recursos, tanto materiales como en
tiempo.
• Resistencia de TI: Muchos productos de prevención de fuga de información son
relativamente nuevos y pueden tener algunos incidentes que frecuentemente son “falsos
positivos”, los departamentos de TI pueden mostrarse renuentes a invertir sus cada vez
más reducidos recursos en desplegar otra compleja arquitectura empresarial.
• Resistencia de los usuarios: Se debe ser precavido al liberar otro “agente” que consume
recursos de hardware en cada equipo de cómputo de la organización, ya que los usuarios
29 Sophos Plc, “Stopping data leakage: Exploiting your existing security investment” whitepaper
35
presentaran resistencia, ya que considerarán que estos agentes disminuyen la capacidad
de sus herramientas productivas.
• Complejidad del alcance: Idear e implementar una política comprensible y viable que
soporte la prevención de fuga de información puede encaminar a la organización a hacia
buenas prácticas, pero se necesita que se involucre todo el personal, no solo los
departamentos de TI.
• Enfoque incorrecto: Muchas soluciones se enfocan ampliamente en fuga de datos
intencional, pero en realidad esta es difícil de detener. Ya que las personas pueden
deliberadamente modificar archivos y saltar la detección, así mismo es común que las
personas compartan información por medios inapropiados.
La realidad es que la mayoría de las organizaciones no tienen los fundamentos y recursos
necesarios para implementar amplios programas de prevención de fuga de datos.
2.5 Concientización
La seguridad es un problema de gente. Vivimos en la cultura del producto tecnología, pero, ¿qué
pasa con la gente y los procesos? Todos los expertos, autores, visionarios, pensadores, políticos,
comentan que la gente es un factor crítico de éxito para la seguridad, pero muy pocos son los que
atienden esta problemática. Somos reactivos por naturaleza en lo que a seguridad refiere, con
respecto a la gente si la falla es grande/grave: cambiarlo de área, asignarle otras tareas, lo
apoyamos de forma inadecuada, etc., pero difícilmente lo concientizamos, lo capacitamos o lo
apoyamos de forma adecuada.
Una gran cantidad de planes fracasan por la poca claridad del concepto y el propósito de los
mismos. La concientización no es una moda, aunque así lo parezca. La vulnerabilidad que la
gente representa nunca será totalmente eliminada, no hay mecanismo 100% seguro. Cuando se
trata de gente, el factor es doble, desconocimiento y malas intenciones. Un programa de seguridad
pretende reducir la vulnerabilidad a un nivel aceptable.
36
2.5.1 Definición
Según Israel Cortés R., concientización es “el proceso a través del cual los usuarios reconocen la
importancia de la seguridad de la información y los activos de información, se preocupan de forma
proactiva por la misma, y responden de manera adecuada ante cualquier evento o
circunstancia”30.
En el Cybersecurity Awareness Resource Library se define como “tomar conciencia de una
realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuviésemos ante los
ojos. El proceso de concientización, es el medio o programa en el cual nos aseguramos que existe
un área de seguridad de información, así como sus políticas y normatividades aplicables, son
parte del personal de todos los niveles de la organización”31. De la efectividad de estos programas
depende la velocidad de la organización para implementar adecuadamente la seguridad de
información. Si todo es efectivo, podemos hablar de un proceso rápido, pero si no está resultando
y será tortuoso, entonces nada funcionaría.
2.5.2 Objetivos
La seguridad de la información es un tema de amplio alcance y engloba diversos aspectos. Su
importancia para cada organización depende de la naturaleza de los riesgos que ésta encara. El
artículo “Raising awareness in information security”, publicado por ENISA, enlista los siguientes
objetivos principales de un programa de concientización32:
• Lograr que los usuarios comprendan su rol y responsabilidad en la protección de la
integridad, confidencialidad y disponibilidad de la información y los activos de su
organización.
• Que los usuarios entiendan que la seguridad de la información es responsabilidad de
todos, no sólo del Departamento de TI.
• Lograr que los usuarios comprendan que sus acciones pueden impactar de forma adversa
en la seguridad de la organización.
30 Israel Cortés R. 31 Cybersecurity Awareness Resource Library 32 ENISA, Raising awareness in information security — Insight and guidance for Member States
37
2.5.3 Importancia
Con tecnología podemos forzar a un usuario a cambiar su contraseña, pero no podremos hacer
nada en lo que a su comportamiento refiere. De este modo, ENISA en su artículo “Raising
awareness in information security” destaca que33:
• La gente es con frecuencia el eslabón más débil en la cadena de seguridad.
• Los empleados desconocen cómo sus acciones pueden impactar en la seguridad de toda
la organización.
• La mayor cantidad de incidentes de seguridad son ocasionados por cosas que hizo o dejó
de hacer el usuario.
• Los colaboradores desconocen su rol y responsabilidad con respecto a la seguridad de la
información.
• La mayor cantidad de incidentes de seguridad son generados por el desconocimiento de la
gente.
• Los usuarios generalmente no saben cómo reaccionar ante un evento o incidente de
seguridad.
Aunque el marketing es una herramienta poderosa para lograr concientización en la gente, es
importante considerar que se requiere lograr algo más que marketing para concientizar a las
personas.
Ya que buscamos lograr un cambio en: forma de actuar, actitudes y cultura. El resultado esperado
no será una labor trivial. Será necesario involucrarse con la forma y cultura de la organización.
Con este proceso vamos a cambiar prácticas de hace muchos años, y cuando esto se hace con
gente de por medio, el riesgo de fracasar es alto.
33 ENISA, Raising awareness in information security — Insight and guidance for Member States
38
2.5.4 Tipos
Dependiendo del tipo de industria y filosofía de la organización, existen diversos métodos o
medios para enviar los contenidos de los programas de concientización. Estos pueden ser: correo
electrónico, pósters, intranet con ligas o referencias de seguridad de información, conferencias,
uso del DVD, protectores de pantalla (screen savers) con información relevante, fondos de
pantalla informativos, etcétera.
La revista B-Secure, en un artículo publicado en el 2009, recomienda que las evaluaciones son
muy importantes. Se puede utilizar el e-learning como medio de enseñanza, pues brinda facilidad
para concientizar en los tiempos que el personal prefiera, y la evaluación se facilita al ser online.
También hay evaluaciones personales y globales que constituyen una buena práctica después de
una campaña de varios meses, pues así la organización ubica las áreas de oportunidad para
futuras campañas. Por supuesto que la capacitación formal es de lo mejor, siempre y cuando se
evalúen los resultados obtenidos.
Asimismo, se puede recurrir a incentivos como premios y reconocimientos para el personal que,
por ejemplo, haga más reportes de incidentes, asista a cursos, cumpla con tareas relacionadas y/u
obtenga certificaciones. Otra buena idea es implementar la semana de la seguridad, que puede
constar de pláticas, concursos, desplegados en el periódico mural o los televisores del comedor,
reparto de artículos de escritorio alusivos (como mouse pads, por ejemplo) y más.
Por otra parte, es importante que al nuevo personal se la haga saber en forma adecuada de este
tema, antes de que tenga acceso a un activo de información. Un buen método para generar
compromiso, es haciéndoles firmar documentos en los que los nuevos empleados dicen haber
entendido las políticas de seguridad y códigos de ética o confidencialidad, y se comprometen a
acatarlos.
En un programa de seguridad enfocado a las personas, se tienen tres componentes:
Concientización
Está enfocado a lograr conciencia de la importancia de la seguridad, los mensajes deben ser
simples, claros y presentados en un formato fácil de entender para la audiencia.
39
Entrenamiento
Está enfocado a lograr un mejor nivel de entendimiento de las prácticas de seguridad, las técnicas
pueden incluir clases formales, entrenamiento personalizado y paquetes de educación.
Educación
Está enfocado a lograr competencias específicas y especialistas. Las técnicas incluyen
capacitaciones especializadas y cursos de propósito específico.
2.5.5 Beneficios y obstáculos
Sin duda alguna la concientización es una herramienta muy poderosa en la protección de la
información que cualquier individuo maneje, sin embargo, lo que las organizaciones deben tener
en cuenta para su implementación son los beneficios que esta ofrece para así convencerse que
esta puede ayudar de sobre manera. Por otra parte el camino a su implementación presenta
obstáculos que deben considerarse antes de salir en marcha.
Michael E. Whitman, destaca los siguientes beneficios y obstáculos que presenta la
concientización34:
Beneficios
• Ayuda a reducir el costo ocasionado por los incidentes de seguridad.
• Eleva la moral de los colaboradores.
• Reduce la cantidad de sanciones y pérdida de empleados valiosos.
• Reduce los riegos de la información y los activos de información.
• Protege a la organización.
• Aumenta el valor del negocio.
Obstáculos
• “Resistencia al cambio”
• “Seguridad es un problema de tecnología de información, no es mi problema”
• Demasiada información
• Mala organización
34 Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor of Information Systems. Member – Human Firewall Council.
40
• Fallas en el seguimiento
• Llevar el mensaje adecuado al lugar no adecuado
• Falta de apoyo de la dirección
• Falta de recursos
• No explicar “¿por qué?”
• Confundir “concientización” con “entrenamiento”
• Ingeniería social
• Tomar como referencia los pósteres o las “mejores prácticas” de Internet
Si la organización sufre al no contar con una adecuada concientización en seguridad de
información, los problemas más frecuentes son:
• Incapacidad para el manejo de información clasificada. Si el personal no clasifica y maneja
adecuadamente la información, no se puede ir muy lejos y se facilita la presencia de
errores y ataques de ingeniería social.
• Pérdida o destrucción de información clasificada. Relacionado al punto anterior, podría
inclusive llegar a establecerse la posibilidad de perder o dañar la información.
• Atrasos en proyectos relacionados a seguridad de información. En estos días, la velocidad
en los negocios es relevante. Si a causa de una falta de concientización el personal no
cumple con lo establecido en materia de seguridad, es probable que los proyectos se
retrasen impactando negativamente a la organización.
• Incapacidad para responder a incidentes. No se debe improvisar ante los incidentes. Si no
hay conciencia de estos no se reportarán, lo que hará que se eleven los riesgos.
• Imposibilidad de aspirar a contar con acreditaciones internacionales. Los estándares más
importantes, como el ISO27001, consideran muy relevantes los temas afines a la
concientización, requisito de su sistema de gestión. Fallas en este proceso impiden
certificarse en esta norma.
• Desgaste del personal al no entender los beneficios. Si los empleados no entienden la
importancia de la seguridad, para el equipo de seguridad que empuja este tipo de
iniciativas será como empujar una carreta por los lados (y no por la parte de atrás)
41
• Todo tipo de impactos (financieros, legales, de imagen, etc.) a la organización.
Dependiendo de cada caso, podrían tratarse de impactos mínimos, pero también podrían
ser desastrosos, si se violara alguna ley o regulación que ocasione la pérdida de una
concesión o genere graves consecuencias para el futuro de la empresa.
42
Capítulo III: Problemática actual de la concientización en la fuga de
información
Las organizaciones, ya sean públicas o privadas, están almacenando y difundiendo un volumen
cada vez más extenso de información por medios electrónicos, creando una mayor dependencia
de los sistemas de TI. Estas tareas constituyen una parte crecientemente importante de la
actividad empresarial.
Sin embargo, aunque la tecnología y los procesos representan piezas fundamentales de los
programas de seguridad de la información, el componente más importante que se necesita son las
personas.
Este capítulo satisface el primer objetivo de esta investigación identificando la necesidad para un
nuevo modelo que enfatice el factor humano, tomando como herramienta la concientización, y
atacando el problema: la fuga de información.
3.1 Comportamiento humano: un problema de seguridad de la información
El comportamiento humano se define como “conjunto de actividades realizadas por el ser humano
y es influenciado por cultura, actitudes, emociones, valores, ética, autoridad, relaciones,
persuasión y/o manipulación”35. La teoría detrás del comportamiento humano, es que el ser
humano reacciona a “objetivos definidos, estímulos o situaciones y no factores subjetivos”36. En
otras palabras el comportamiento humano es simplemente las acciones y reacciones como
resultado de influencias y eventos.
El lado humano de la seguridad de la información es fácilmente explotado y constantemente
pasado por alto. Las compañías gastan millones de dólares en firewalls, mecanismos de cifrado y
dispositivos de acceso seguro, muchas veces es dinero desperdiciado, porque ninguna de estas
medidas se enfocan en el eslabón más débil de la cadena de seguridad: el factor humano.
En la práctica, muchas empresas e investigadores han buscado encontrar formas de proteger,
reaccionar, y mitigar ataques de fuentes externas, pero falta mucho trabajo para proteger a la
organización de daños causados por empleados con acceso legítimo a los recursos internos. El
personal interno es diferente de personas externas, porque a ellas les han sido concedidas ciertas
autoridades y confianza, y tienen conocimiento superior del valor del activo.
35 Shulyupin, C. Human behavior. 2004 36 Webster Comprehensive Dictionary International Edition. Vol. 1. 1995, Chicago: Ferguson Publishing Co.
43
La amenaza del personal interno es un gran problema y ocurre en muchos niveles comenzando
con accesos accidentales debido a la ignorancia de normas sobre seguridad, falta de práctica o
falta de previsión. El peor daño del personal interno, proviene de intentos maliciosos, realizados a
propósito, y a menudo con resultados que comprometen o destruyen la información, o negación de
servicios.
Se han realizado varios estudios que han señalado la naturaleza del personal interno. Lo que
sigue es una sinopsis breve de un estudio realizado por CERT (Computer Emergency Response
Team). La importancia de este estudio reside en el hecho de que examina las amenazas desde
dos perspectivas: comportamiento y tecnología, simultáneamente. A continuación se muestran las
siete conclusiones que el estudio produjo37:
Conclusión 1: La mayoría de incidentes requirieron mínimo conocimiento técnico, en donde:
Figura 8. Conclusión 1 - Insider Threat Study. Fuente: CERT
37 CERT: Computer Emergency Response Team. “Insider Threat Study 2008”
44
Conclusión 2: Los atacantes planearon sus acciones. Donde:
Figura 9. Conclusión 2 - Insider Threat Study.Fuente: CERT.
Conclusión 3: Las ganancias financieras motivaron a la mayoría de los atacantes. Donde:
Figura 10. Conclusión 3 - Insider Threat Study. Fuente: CERT.
45
Conclusión 4: Los atacantes no comparten un perfil común. Donde:
Figura 11. Conclusión 4 - Insider Threat Study. Fuente: CERT.
Conclusión 5: Los incidentes fueron detectados por varios métodos y personas. Donde:
Figura 12. Conclusión 5 - Insider Threat Study. Fuente: CERT.
46
Conclusión 6: Las víctimas sufrieron pérdidas financieras. Donde:
Figura 13. Conclusión 6 - Insider Threat Study. Fuente: CERT.
Conclusión 7: Los atacantes actuaron en el lugar de trabajo. Donde:
Figura 14. Conclusión 7 - Insider Threat Study. Fuente: CERT.
Esta investigación nos arroja resultados importantes, ya que consideró ambas implicaciones:
tecnológicas y de conducta, y produjo varias conclusiones cruciales en la naturaleza del personal
interno. Nos da una clara referencia de la importancia de la educación y capacitación de todo el
47
personal a todos los niveles organizacionales en cuestiones de seguridad de la información,
enfatizando el papel clave que cada persona desempeña en la prevención y detección temprana
de las actividades que atenten contra la seguridad de la información. La educación puede ayudar a
reconocer e informar de comportamientos inusuales que afecten la seguridad de la información,
así mismo, crear una cultura de seguridad en la que los empleados comprendan que son una
importante línea de defensa contra ataques a la información de la organización, enfatizando que
son un componente clave de cualquier estrategia para mitigar las amenazas que acechan a la
información.
Además, las conclusiones de este informe resaltan el hecho de que el personal subestima
frecuentemente las posibles consecuencias de sus actos. Muchas veces el robo de información,
perdida de datos y fuga de información, se da por compartir dicha información sin intenciones
maliciosas, educar al personal sobre las consecuencias que podrían derivarse de este tipo de
actividades, en personal sobre ellos mismos, es una herramienta que puede emplearse para
mitigar los riesgos de amenazas internas.
Otro punto importante a considerar, es la realización de medidas preventivas, es decir verificar las
referencias del personal antes de la contratación, ya que las personas que han mostrado
antecedentes delictivos tienden a recurrir a esta clase de conductas.
Del mismo modo, el monitoreo continuo aumenta la probabilidad de detección temprana de
actividades maliciosas, y así disminuir su impacto. Está monitoreo de actividades debe efectuarse
tanto en el lugar de trabajo como en conexiones remotas, ya que ambas son igualmente
importantes ya que las actividades maliciosas son cometidas desde el lugar de trabajo y de forma
remota en números casi iguales.
Los controles de acceso deben ser cuidadosamente diseñados, controlados y vigilados de forma
continua, debido a que el estudio revela que la mayoría de los ataques se efectúan usando las
credenciales propias del personal, así mismo se pueden evitar las consecuencias sobre personal
inocente debido a ataques de suplantación de identidad.
Las personas, quienes son todas susceptibles de fallar, y son usualmente reconocidos como el
eslabón más débil en la seguridad información. El problema es: por mucho que sea el esfuerzo
que sea enfocado a la protección de información, en todas sus formas, sólo se requiere una
persona malintencionada o mal guiada para derrumbar todos los esfuerzos.
48
3.2 Problemática actual por falta de concientización, educación y capacitación
El aumento en el uso de sistemas de TI para almacenar y procesar la información, torna más
importante el hecho de conservarla en condiciones seguras. Una de las principales obligaciones
para toda organización es garantizar que su personal actúe correctamente. Mantener segura la
información de carácter sensible no es un hecho a tales obligaciones.
Varios de los principales factores que promueven la importancia de la concientización sobre la
seguridad de la información podrían enumerarse en estos términos:
• Las necesidades empresariales cambian a medida que evoluciona el uso de la
tecnología
• Los reguladores extranjeros (p. ej., Estados Unidos y Singapur) cuentan con que el
personal reciba formación orientada a la concientización
• La delincuencia organizada constituye una amenaza cada vez más latente. En un
informe sobre la seguridad en Internet publicado recientemente, se hace hincapié
en los elevados índices de actividad delictiva en la red, registrándose un incremento
de las estafas basadas en la usurpación de identidad, el correo basura, las redes
robot, los ataques de troyanos y las amenazas de día cero. En el pasado, estas
amenazas solían estar claramente definidas y podían ser atajadas por separado. No
obstante, los agresores perfeccionan sus métodos, y en la actualidad sus
actuaciones tienden a implicar múltiples vectores de ataque. Además, están
consolidando posiciones con el fin de crear redes mundiales que facilitan la
coordinación de la actividad delictiva
• Los clientes se han vuelto actualmente más receptivos a la problemática de la
seguridad. Un tratamiento despectivo en la prensa puede suponer un grave perjuicio
para la reputación de una organización
• La usurpación de la identidad constituye un riesgo cada vez más generalizado para
la seguridad. Las organizaciones que almacenan y gestionan datos de identificación
personal deben tomar precauciones para garantizar su confidencialidad e
integridad. Cualquier transacción que implique la filtración de datos de identidad
personales puede llevar aparejada la pérdida de la confianza por parte del público,
así como responsabilidades penales y costosos litigios.
49
Figura 15. Importancia de la seguridad de la información. Fuente: ENISA.
Teniendo en cuenta estos parámetros, nada tiene de sorprendente que un 80% de los consultados
califique la seguridad de la información como una prioridad elevada o muy elevada a nivel
ejecutivo. Se trata de una proporción similar a la observada en otras encuestas recientes sobre
seguridad. La seguridad de la información es un tema de amplio alcance y engloba diversos
aspectos. Su importancia para cada organización depende de la naturaleza de los riesgos que
ésta encara. La prioridad dada a la seguridad de la información parece estar más relacionada con
la actitud de la alta dirección que con el sector en el que opera la organización y, por tanto, con los
riesgos a los que se expone.
Retomando la gráfica mostrada en la Figura 15 “Importancia de la seguridad de la información”, la
mayoría de las empresas confirman que la seguridad sigue ocupando un lugar importante en la
lista de prioridades para la mayoría de sus consejos de dirección; no obstante, en algunas, la
seguridad aún parece obedecer a un modelo ascendente, en lugar de lo contrario. El hecho de que
una empresa asigne a la seguridad una prioridad baja, refleja en sus ejecutivos una actitud basada
en la noción de que “si no ha ocurrido nada malo hasta el momento, ¿para qué invertir dinero?”.
En la contraparte, la principal motivación de aquellos situados al otro lado de la balanza es la
percepción del cliente, y el daño que una infracción podría implicar en su reputación.
Más de la mitad de los encuestados califica cada uno de estos elementos como muy importantes,
y el 80% aproximadamente los consideran importantes o muy importantes. Varios de estos puntos
(responsabilidades en materia de seguridad de la información dentro de la organización y
50
comunicación de incidencias que afecten a la seguridad), tienen la consideración de información
básica que el personal debe conocer.
Toda actividad orientada a concientizar sobre la seguridad de la información debe inscribirse en el
marco de una norma de seguridad formal. Sin una "norma" general sobre el uso de los sistemas y
de la información, resulta muy difícil imponer una conducta adecuada.
En las normas de buenas prácticas se hace mucho hincapié en la necesidad de implantar una
política de seguridad que abarque toda la organización. Así, la ISO 27001 recomienda que las
organizaciones adopten programas de formación y de concientización. El personal directivo ha de
cumplir el requisito de velar por que el personal a sus órdenes aplica la seguridad con arreglo a
unas directrices preexistentes. Para cumplir este objetivo, deben impartir una formación adecuada
en materia de concientización, y actualizar periódicamente las políticas y los procedimientos de la
organización, de acuerdo con la actividad laboral que desarrollen sus empleados y, en su caso, los
contratistas y usuarios terceros.
Además, en muchas normas se recomienda o se exige que la política de seguridad de una
empresa contemple la formación orientada a la concientización de los usuarios.
Estudios recientes avalan que nunca había sido mayor el número de empresas que habían
implantado una política de seguridad formal. El 88% de los encuestados contaban con una política
de seguridad específica, y un 76% hace alusión a los requisitos de seguridad en el manual dirigido
a sus empleados.38
Un componente fundamental de toda política de seguridad de la información y de toda formación
orientada a la concientización, consiste en el análisis de las amenazas y los riesgos con los que se
enfrenta la empresa. Tal análisis deberá ser el vector de aquellas áreas que deban cubrirse
mediante la política y la formación. Todas las organizaciones se enfrentan a entornos, amenazas y
riesgos cambiantes. Para ser eficaces, las iniciativas orientadas a la concientización deben contar
con el respaldo de la alta dirección. En el supuesto ideal, deberían contar con el refrendo del
consejo de administración o del consejero delegado, como elemento que acentúe la importancia
de la cuestión entre los miembros del personal. Si la alta dirección no concede a la concientización
la importancia que merece, es improbable que la formación pueda culminarse con éxito.
Sin embargo, retomando los valores ilustrados en la Figura 2 “Programas de concientización como
porcentaje del presupuesto de seguridad”. En los dos años registrados (2007 y 2008), es
“sorprendente” (y preocupante) observar que el presupuesto destinado a programas de formación
38 European Network and Information Security Agency. Initiatives to raise awareness on information security 2008.
51
y concientización tienen porcentajes tan bajos. Alrededor del 42% gastan menos del 1% de su
presupuesto de seguridad en los programas de concientización. El gráfico muestra una variación
en general entre el 2007 y 2008, pero en general se puede notar que el presupuesto está
débilmente enfocado a los esfuerzos de concientización en seguridad de la información.
Es difícil decir por qué estos números son inferiores a lo que algunos de los debates en torno a la
importancia de la formación y concientización en seguridad podrían sugerir. Por un lado, muchos
medios de formación y concientización en seguridad pueden ser implantados a un costo
relativamente bajo. Además, uno de los principales costos de cualquier tipo de formación (el
tiempo que los empleados dedican a programas de concientización, y que afectan su
productividad) no se contempla en el presupuesto de seguridad. Sin embargo, los bajos gastos en
capacitación también pueden reflejar un cinismo general sobre la necesidad o la eficacia de la
capacitación de los programas de concientización.
Desde hace algún tiempo, se ha creído que los proyectos diseñados para aumentar la seguridad
de la información de una organización no serán aprobados automáticamente por la alta dirección,
sino que tienen que estar justificados en términos económicos. Por lo tanto, estos programas
deben ser justificados en función al Retorno de la Inversión (ROI), Valor Presente Neto (VPN) y la
Tasa Interna de Retorno (TIR) como indicadores financieros para la cuantificación de los costes y
beneficios de los gastos en seguridad de la información.
Pese a la elevada prioridad que se asigna a la seguridad, a muchos consultados les resulta difícil
justificar un gasto significativo en medidas de concientización. Sólo un tercio de los mismos ha
justificado dichos gastos desde un razonamiento empresarial formal; de ellos, sólo la mitad ha
intentado cuantificar los beneficios que se derivarían de sus programas de concientización, y muy
pocos evalúan el ROI. En un estudio efectuado por PricewaterhouseCoopers LLP (PwC)* en el
2008, los resultados arrojaron que el 15% de los consultados ha cuantificado los beneficios que
aportaría su programa, aun sin haber razonado formalmente la pertinencia de su ejecución.
* En 2008, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) encargó a PricewaterhouseCoopers LLP (PwC) la elaboración de un informe sobre “Iniciativas de de concientización en seguridad de la información”
52
Figura 16. ¿Cómo se justifican los costos continuos de los programas de concientización? Fuente: ENISA.
Analizando los valores de la gráfica ilustrada en la Figura 16 “¿Cómo se justifican los costos
continuos de los programas de concientización?”, para la mayoría de los consultados, la formación
orientada a la concientización en materia de seguridad, no es sino una obligación más que deben
atender, es decir, un requisito obligatorio. Consecuentemente, el presupuesto asignado a esta
tarea se inscribe dentro del gasto general, no en las inversiones. Es una consideración
interesante, porque en la mayoría de los países no existe una norma que obligue a impartir una
formación específica sobre seguridad de la información. Sin embargo, la normativa sobre
protección de datos parece haber impulsado la formación orientada a la concientización. Alrededor
del 40% de los encuestados justifican su programa apelando a una comparación entre los niveles
de concientización en materia de seguridad de la información antes y después de haberlo puesto
en práctica.
La conclusión que extrae la mayoría es que los beneficios aportados por una mayor
concientización en materia de seguridad, no son ni tangibles ni cuantificables. Es difícil concretar
unos parámetros que permitan evaluar adecuadamente las conductas. Sin unos parámetros
fiables, el trabajo que supone calcular el rendimiento de la inversión es mayor que los beneficios
obtenidos. A la inversa, una mejora de dichos parámetros llevaría aparejado un incremento del
número de organizaciones dispuestas a efectuar el razonamiento desde un planteamiento
empresarial.
Existe un abanico muy amplio de técnicas de concientización. Sin embargo, las empresas que
asignan menor prioridad a la seguridad de la información son también las que menos se esfuerzan
en concientizar a sus empleados. Nuevamente, prevalece el deseo de “minimizar costos”.
53
Toda organización debería adoptar ciertas disciplinas básicas. Si bien es cierto que gran parte de
las organizaciones ya han definido sus políticas de seguridad, ya sea en el manual del personal, o
en un documento específico al respecto. El 85% de los consultados han creado un sitio en su
Intranet donde el personal puede informarse sobre todo aquello relativo a la seguridad de la
información. Estas técnicas son baratas, y no hay motivo para no utilizarlas. Sin embargo, muchos
encuestados consideran que políticas, manuales y directrices no bastan por sí solos para hacer
más eficiente la concientización. Simplemente, es ilusorio pensar que la mayoría del personal
leerá y asimilará toda la información con la que se le bombardee. Estas técnicas juegan un papel
útil como sostén y refuerzo de otras actividades de concientización. Sin embargo, no son eficaces
para modificar por sí solas los comportamientos. En lo concerniente a este tema, la Figura 17
“Técnicas empleadas para que el personal tome conciencia en seguridad de la información”, ilustra
las técnicas comúnmente usadas para que el personal tome conciencia de las cuestiones relativas
a la seguridad de la información y de sus obligaciones.
Figura 17. Técnicas empleadas para que el personal tome conciencia en seguridad de la información Fuente: ENISA.
Ante todo nos encontramos frente a un desafío cultural. Es necesario reconocer a la seguridad
como un proceso continuo que debe estar presente en todas las personas involucradas con el
funcionamiento de la organización y en todos los aspectos del negocio.
54
Cada persona debe comprometerse con la seguridad, empezando por aspectos tan simples como
no revelar sus contraseñas. Y debido a la creciente amenaza contra la seguridad la información
en las organizaciones, sabemos que no es suficiente confiar en la tecnología. La seguridad de la
información parte de un problema social, que requiere una comprensión individual completa y
suficiente para cumplir con las políticas, del eslabón más débil: el comportamiento humano. En
donde, la misión es educar, bajo una cultura consciente, al personal, acerca de los diferentes
riesgos, responsabilidades que se tiene en el ámbito de la seguridad.
La concientización será el punto crucial y significativo de la inversión de un modelo de seguridad
de la información, y es tan importante, así como debe de ser la seguridad a nivel técnico y los
procedimientos, pues los procesos pueden ser mal utilizados, mal interpretados o no utilizados por
las personas perdiendo de esa manera su eficacia real; y no solo es estar enterados de los
problemas que acatan a la información, en realidad es responder y reaccionar ante ellos, por lo
tanto esto se considera un factor de comportamiento.
Ahora bien, la ausencia o deficiencia de un plan de concientización repercute en varios factores
que afectan de sobre manera aspectos importantes de la organización, como lo son exposición
innecesaria y pérdida de datos de clientes y/o confidenciales, graves daños reputacionales, entre
otros, y cada organización deberá de tomar conciencia de que lo más importante para ella, son
sus clientes, y que sobre todo, proteger todo lo que a ellos englobe.
En resumen, la seguridad de la información es responsabilidad de todos los que trabajan en una
organización, y no sólo de unos cuantos.
3.3 Fuga de información
Después de años combatiendo intrusiones, virus y spam, las organizaciones se encuentran a sí
mismas luchando con otro creciente incidente de seguridad: la fuga de información. Hoy en día, la
brechas de seguridad de la información no vienen de ataques de hackeo desde internet, pero
engloban el amplio ambiente de IT, involucrando perdida o robo de laptops, memorias USB y otros
dispositivos, correos electrónicos, aplicaciones, mensajería instantánea entre otros.
En reciente estudio elaborado por IDC, la exposición inadvertida de información confidencial es
citada como el número uno de amenazas, por encima de virus, troyanos y gusanos. El tipo de fuga
de información más común, fue la propiedad intelectual y el 81% de los encuestados define la
protección y control de información como parte integral de toda su estrategia de protección de
datos, esto denota que las organizaciones son cada vez más conscientes de la urgente necesidad
de controlar la información que fluye a través y fuera de sus instalaciones.
55
La fuga de información se ha convertido en una de los más importantes incidentes de seguridad a
los que se enfrentan las organizaciones hoy en día. Sin embargo, implementar una nueva y
completa estructura para detener la fuga de información es generalmente una estrategia poco
viable o poco apropiada. Es preferible, implementar una política de uso aceptable que refuerce la
aplicación de controles apropiados que existan actualmente.
Para entender el reto, es necesario comprender porque a pesar de las políticas de seguridad,
procedimientos y herramientas actualmente en vigor, las personas están involucrados en
comportamientos de riesgo que ponen las empresas y los datos personales en riesgo.
Empleados en todo el mundo están utilizando las redes de negocios para comunicarse, colaborar
y acceder a información. Las empresas que desean aumentar la productividad han abrazado la
creciente integración de la red de comunicaciones y operaciones de negocio, y han alentado a los
empleados a tomar ventaja de la tecnología, tales como los dispositivos inalámbricos y puntos de
acceso público. La productividad está en auge, pero las redes colaborativas exponen la
información organizacional en un entorno más amplio que es más vulnerable y difícil de proteger.
Además de poner con más información en riesgo, las organizaciones sufren mayores
consecuencias en caso de que se materialice la fuga de información. La pérdida de la propiedad
intelectual, tales como planos de productos de propiedad, datos financieros, y los planes de fusión
y adquisición, puede dañar la reputación de una empresa, debilitan su marca, o ponen en peligro
su ventaja competitiva. La omisión de los requisitos reglamentarios para el manejo de información
confidenciales de clientes puede reducir la confianza de los clientes y dar lugar a multas.
No debe ser un secreto que para reducir la fuga de información, las empresas deben integrar la
seguridad en la cultura corporativa y evaluar constantemente los riesgos de cada interacción con
las redes, dispositivos, aplicaciones, datos y, por supuesto, los demás usuarios.
Elaborar políticas de seguridad de la información y capacitar a los empleados sobre el riesgo de la
fuga de información, es una acción muy utilizada para hacer frente a esta problemática, pero la
eficacia de estas medidas es cuestionable. En los últimos dos años, más de 250 millones de
registros confidenciales se reportaron pérdidas o robos39. Y esas pérdidas no siempre se originan
de las amenazas externas. Con conocimiento o sin él, de forma inocente o malintencionada, los
empleados participan en comportamientos que aumentan el riesgo de fuga de información.
Para reducir la fuga de información y proteger la información organizacional, las organizaciones de
TI necesitan entender cómo el comportamiento de los empleados aumenta el riesgo y tomar
39 Privacy Rights Clearinghouse, http://www.privacyrights.org, 2008
56
medidas para fomentar una cultura de seguridad de la información en las organizaciones
(concientización) en el cual los empleados se apeguen a las políticas y procedimientos.
Para comprender mejor los comportamientos de los empleados que ponen en riesgo los activos de
las empresas, Cisco encargó a la consultaría InsightExpress una investigación para llevar a cabo
un estudio que resalte los errores más comúnmente competidos por los empleados en todo el
mundo en lo que respecta a fuga de información. Este estudio reveló un conjunto impresionante de
comportamientos que ponen la información y los activos organizacionales en riesgo, a pesar de las
políticas corporativas que definen los procedimientos correctos. Los ejemplos siguientes muestran
cómo los empleados con conocimiento ó sin él, caen en pérdida y fuga de información:
• El uso de aplicaciones no autorizadas dentro de las organizaciones puede poner en riesgo
los datos organizacionales. El uso de correo electrónico personal, es la aplicación más
empleada, seguido por la banca en línea, pago de facturas en línea, compras en línea y
mensajería instantánea. Estas aplicaciones suponen un alto riesgo de fuga de información
por un empleado o de robo de información por un hacker, ya no se encuentran bajo
monitoreo y no se apegan a las normas de seguridad organizacional. Los empleados que
utilizan estas aplicaciones también ponen a la organización en riesgo de infección
provenientes de sitios maliciosos.
o El 78% de los empleados accede a su correo electrónico personal desde la
organización. Este número es aproximadamente el doble del nivel de uso
autorizado.
o El 63% de los empleados admitió que utilizaba los equipos informáticos de la
organización para su uso personal todos los días, y 83% admitió que utilizaba los
recursos organizacionales para su uso personal, al menos unas veces.
o El 70% de los profesionales de TI creen que el uso de programas no autorizados
en la organización resultan en hasta la mitad de "incidentes de fuga ó pérdida de
información”.
• Muchos empleados mal emplean los equipos de sus organizaciones, aun conociendo que
quebrantan las políticas de seguridad de TI. Algunos ejemplos incluyen la alteración de la
configuración de seguridad y dispositivos de trabajo, compartir información sensible con
otros empleados, descargar música, comprar en línea, pagar facturas, y en algunos casos,
participar en juegos de azar en línea y la pornografía. Aproximadamente una cuarta parte
de los empleados encuestados reconocieron compartir información sensible con amigos,
57
familiares, o incluso desconocidos, y casi la mitad de los empleados encuestados
comparten dispositivos de sus organizaciones con personas ajenas a la organización sin
supervisión. Estos comportamientos pueden dar lugar al robo de propiedad intelectual que
puede llegar a audiencias que deriven en graves amenazas para la seguridad y la
rentabilidad de la organización.
• Muchos empleados dejan que desconocidos ingresen en las instalaciones de sus
organizaciones, dando también la libertad de moverse alrededor de las instalaciones de la
organización sin supervisión. Estas acciones dan la oportunidad de robar físicamente los
recursos organizacionales o bien acceder a información sensible a personas no
autorizadas. Los empleados también acceden a sitios no autorizados de la red
organizacional así como a lugares físicos.
o 39% de los profesionales de TI, han lidiado con accesos no autorizados físicos y
de red por parte de empleados.
o Las empresas medianas y grandes tienen en promedio un 46% de accesos no
autorizados, mientras que las empresas medianas se enfrentan a esta
problemática en un 32%.
o El 22% de los empleados permiten a personal ajeno a la organización moverse en
las instalaciones de la organización sin supervisión.
• Las operaciones de las empresas son cada vez más distribuidas, los empleados móviles
amplían el riesgo potencial de pérdida o fuga de información.
o 46% de los empleados de admiten haber transferido información entre los equipos
de la organización y casa.
o Más del 75% de los empleados no utilizan un protección de privacidad cuando
trabajan de forma remota en un lugar público.
o El 68% de las personas no consideran hablar en voz baja en el teléfono cuando
están en lugares públicos fuera de la organización.
o 13% de las personas que trabajan desde casa, admiten que al no poder
conectarse a las redes de la organización, envían datos desde sus cuentas
personales.
58
• Cerrar sesión, bloquear los equipos y emplear contraseñas son algunos de las más
comunes y simples formas de seguridad informática. Hoy en día sería difícil imaginar a los
usuarios de TI sin esos principios básicos, sin embargo, sigue sucediendo y en números
alarmantes. Al menos uno de cada tres empleados admitió haber dejado abierta su sesión
o el equipo desbloqueado cuando se mueven de sus lugares. Y uno de cada cinco
empleados almacenan sus información de inicio de sesión en escrito y o dejan sobre sus
escritorios, en cajones abiertos o pegados en sus equipos. Cada una de estas fallas en los
protocolos de seguridad proveen de oportunidades de riesgo para los atacantes. Tomadas
en conjunto, no solo dejan abierta la puerta a amenazas potenciales, también invitan a los
atacantes a entrar.
o 28% de los empleados guardan su usuario y contraseña para efectuar operaciones
financieras personales en sus equipos de trabajo.
o 18% de los empleados comparten sus contraseñas con compañeros.
o 10% de los empleados guardan la información de sus inicios de sesión en notas
escritas en sus escritorios.
El desarrollo de estas estadísticas que revelan cuantos empleados presentan comportamientos
que reducen la seguridad de la información es un ejercicio importante, pero el valor real que
proporciona es la comprensión de los comportamientos, ayudando a generar guías que apunten
como esos comportamientos e incrementar la seguridad de la información, para hacer esto, las
organizaciones necesitan entender como los empleados ven la seguridad y porque ignoran o
violan las políticas y procedimientos de seguridad de la información.
¿Por qué los empleados no siguen los procedimientos de seguridad que admiten les han sido
comunicados? ¿Las políticas son comunicadas sin educación ó explicación? ¿Los empleados son
apáticos? O peor aún, ¿son ellos amenazas internas que a propósito violan las políticas de
seguridad por obtener beneficios personales? La Figura 18 “Motivos por los cuales los empleados
violan la seguridad de la información”, ilustra los motivos por los cuales los empleados alrededor
del mundo no siguen los procedimientos de seguridad.
59
Figura 18. Motivos por los cuales los empleados violan la seguridad de la información. Fuente: InsightExpress.
La figura 18, nos revela datos importantes, ya que de los encuestados el 22% de los profesionales
de TI creen que la educación en seguridad debe ser mejorada. Un gran número de profesionales
de TI creen que los empleados son obstinados porque no entienden el riesgo de sus
comportamientos, porque la seguridad no es una de sus prioridades o simplemente no les importa.
La información mostrada en la figura 18 confirma estas creencias.
En muchos casos, los empleados evaden abiertamente las políticas de seguridad por beneficios
personales. Si los empleados son infelices con sus trabajos, están enojados con sus jefes, o se
quieren vengar por alguna razón, ellos se convierten en amenazas internas que provocan daños
deliberadamente o provocan fuga de información.
Si se toman en cuenta estos resultados, se puede determinar que la fuga de información surge
debido a dos grandes problemas:
• Deficiente concientización: La fuga de información es frecuentemente el resultado de
comportamientos riesgosos de los empleados, ya que no son conscientes de que sus
acciones son inseguras. Parte de este problema puede atribuirse a la deficiencia de la
política de seguridad o a la inadecuada comunicación de dicha política a los empleados.
En otros casos, los profesionales de TI esperan algún grado de profesionalismo,
conciencia de seguridad, y sentido común para que los empleados tomen precauciones,
sin embargo, no lo obtienen.
60
o 43% de los profesionistas de TI, consideran que los empleados no están bien
educados, capacitados y/o concientizados.
o 19% de los profesionistas de TI, consideran que las políticas de seguridad no han
sido comunicadas a los empleados eficientemente.
• Deficiencia de atención: Ejemplos comunes de comportamientos de los empleados
demuestran una deficiente atención con respecto a resguardar información sensible,
incluido el hablar en voz baja en lugares públicos sobre información confidencial, dejar
sesiones abiertas, dejar contraseñas a la vista, acceder a sitios web no autorizados. Una
gran amenaza en esta área proviene de empleados que pierden sus dispositivos de
trabajo tales como laptops, teléfonos móviles, memorias USB, etc.
o 9% de los empleados han reportado que han perdido o robado dispositivos con
información confidencial de la organización.
o De los empleados que reportaron pérdida o robo de dispositivos, el 26% sufrieron
este incidente durante el último año.
o El 33% de fuga de información se da porque los empleados comparten esta
información a través de memorias USB, el 25% se da a través de correo
electrónico
o Cuando se les cuestiona a los empleados porque son menos cuidadosos en el
manejo de información confidencial, el 48% indica que en la actualidad manejan
un mayor volumen de información. 43% han demostrado una creciente apatía
hacia los temas de seguridad de la información.
La explosión al desarrollo tecnológico ha derivado en el incremento de dispositivos que se pueden
utilizar para enviar y recibir información, lo cual supone al mismo tiempo un beneficio y una
amenaza para las empresas que hacen uso de ellos.
Un estudio de la firma de seguridad Symantec arrojó que alrededor de 60% de los empleados
utilizan estos medios para sustraer información al momento de dejar la empresa.
"Esto representa un delito intangible, el empleado que se lleva los contactos que crearon en
nombre de la empresa causa pérdidas a nivel mundial, aunque poco se habla de ello", afirmó Juan
61
Carlos Guell, director de delitos cibernéticos de la PFP en el marco del Foro de Liderazgo 2009
organizado por Symantec.
Actualmente el precio que se paga por conseguir información sobre contactos en el mundo del
cibercrimen es mayor que aquel que se paga por tarjetas bancarias, de acuerdo con Rafel García,
gerente regional de Mercadotecnia para América Latina, de la firma de seguridad.
Al 2009 una persona que quisiera comprar un "lote" de tarjetas de crédito debía pagar entre 0.06 y
30 dólares, mientras que quien busca adquirir contactos de correo electrónico deben dar entre
0.20 y 60 dólares.
El aumento en los costos se debe a que actualmente las organizaciones que cometen crímenes a
través de Internet operan a través de redes de contacto, ya que esto les da la oportunidad de
expandir su base de datos y su límite de acción, dijo García.
Otra de las amenazas internas que supone la fuga de datos es la pérdida de información por
causa del extravío de los dispositivos y la falta de respaldos de la misma, así como el envío de
información de propiedad intelectual a direcciones de correo electrónico erróneas, afirma la
empresa.
El 55% las empresas encuestadas por Symantec en su Estudio Preparación ante Desastres para
las Pymes indicaron que si perdieran su información no tendrían un respaldo que les permitiera
recuperarla.
Las consecuencias de violar las políticas de seguridad de la información son amplias y costosas.
Si se consideran los costos por pérdida de información, el aspecto más fácil de medir son los
costos de capital para reemplazar los activos robados y/o perdidos otro costo significativo es el
gasto operacional asociado al reemplazo de activos.
62
Capítulo IV: Normatividad, mejores prácticas y tecnología aplicada a la
concientización y fuga de información
Como se ha explicado en el capítulo anterior, el factor humano es el principal eslabón en la fuga
de información.
Las empresas gastan grandes cantidades para defenderse de ataques externos, pero como se ha
mencionado, la mayor parte de los ataques provienen “desde casa”, es “fuego amigo”, ya sean
cometidos algunos por ignorancia, error, por no estar satisfechos con su ambiente laboral, con
fines de lucro, etc.
Leyes internacionales protegen a las empresas contra ataques cibernéticos, robo de información,
etc., pero en México aún no se ha avanzado de tal modo.
A lo largo de este capítulo podrá observarse que leyes protegen a las empresas contra ataques
informáticos, tanto en México como en otros países.
4.1 Legislación Internacional
México va dando sus primeros pasos en la creación de leyes en materia de delitos informáticos,
pero ¿Qué tan rezagado se encuentra en comparación de otros países?
4.1.1 Del acceso ilícito a los sistemas de información
En el año 2007, Alemania aprobó una ley que castiga los ataques cometidos por Crackers
informáticos. Alemania ya contaba con una ley parecida, pero ahora es una ley más clara y se
diseñó para que difícilmente sea evadida. Dicha ley menciona que se considera como Crackeo a
aquella actividad que penetre los sistemas de seguridad de cómputo logrando tener acceso a los
datos seguros sin que estos necesariamente sean robados; castigando dicha acción hasta con 10
años de cárcel.
Austria también ha reformado su código penal, permitiendo que a aquellas personas que con dolo
causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de
datos automática a través de la confección del programa, por la introducción, cancelación o
alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla
sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas.
63
Gran Bretaña creó su Ley de Abusos Informáticos, la cual establece que son el simple intento (ya
sea exitoso o no) de alterar datos informáticos sin autorización, se penará dicha acción hasta con
5 años de prisión.
Francia cuenta con una Ley relativa al fraude informático, la cual llega a castigar con hasta 2 años
de prisión a quienes elimine o modifique datos informáticos con fines fraudulentos.
España en su nuevo Código Penal Federal sanciona con hasta 3 años de prisión a quien dañe,
modifique y elimine datos, programas o documentos electrónicos ajenos. A su vez, en caso de
divulgación, espionaje y violación de secretos, se penaliza con prisión, agravando el castigo
cuando fue la acción fue realizada con dolo.
4.1.2 Protección de los datos
En Alemania
El 7 de abril de 1970, el Parlamento del estado alemán de Hesse, promulga su normativa de
protección de datos Datenshutz convirtiéndose en el primer territorio con una norma dirigida a la
protección de datos.
Después, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la Datenshutz
Federal. En estos casos, se crea un Comisario Federal para la Protección de Datos
(Bundesbeauftragter fur den Datenshutz).
En Francia
En 1978 se establece la Comisión Nacional de la Informática y de las Libertades, un organismo
colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.
En España
Desde 1978, la Constitución, en su artículo 18, apartado 4, dice: "La ley limitará el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos... "
Relacionada con esta disposición constitucional, en España se ha publicado la Ley Orgánica
5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter
personal que tiene como objeto básico la protección de la intimidad y el honor de las personas.
En los Estados Unidos de América
64
El 31 de diciembre de 1974, el Congreso expide el "Privacy Act (literalmente acto de retiro)", con el
objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la
recolección y tratamiento automatizado de datos personales por parte de las agencias federales.
En Brasil
En 1988 la Constitución brasileña, en su artículo 5, numeral LXXII, se refiere al "conocimiento de
informaciones relativas a la persona de la impetrante..." y a la rectificación de datos.
Aproximadamente 10 años más tarde, en Brasil se expide la Ley número 9.507, de 12 de
noviembre de 1997 que reglamenta la disposición constitucional, con base en 23 artículos.
En Colombia
A partir de 1991, el artículo 15 de la Constitución de este país reconoce al habeas data* como un
derecho fundamental aún no reglamentado.
En Paraguay
Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Policía
Nacional, que la Constitución, en su artículo 135 reconoce el derecho de las personas para
acceder a la información que le corresponda en archivos públicos y privados, para conocer la
finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.
En Perú
Desde 1993, el artículo 200, inciso 3, de la Constitución establece de manera expresa el habeas
data con los objetivos de que el interesado pueda acceder a la información pública, con ciertas
limitantes, y evitar la difamación de la persona por la difusión o suministro a terceros de
informaciones que afecten la intimidad personal y familiar.
En Ecuador
El artículo 30 de la Constitución vigente establece el habeas data con los objetos de acceder a los
registros, bancos o bases de datos, conocer su uso y finalidad, así como para solicitar la
* Habeas data significa, en términos generales, un recurso pronto y expedito para lograr que un dato que se encuentra en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido, suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros, archivos, bancos o bases de datos, además de que se pueda acceder a registros o bancos de datos.
65
rectificación, actualización, eliminación o anulación de los datos, en caso de que éstos sean
erróneos o afecten ilegítimamente los derechos de las personas.
En Argentina
La nueva Constitución de 1994, en su artículo 43, en su párrafo tercero, establece el habeas data
como un amparo especial.
Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es
hasta el año 2000 que se expide la Ley 25326 de Protección de los Datos Personales, publicada
en el Boletín Oficial correspondiente al 2 de noviembre del año mencionado.
Como se ha podido observar, México va dando sus primeros pasos en la creación de leyes en
materia de delitos informáticos, pero ¿Qué tan rezagado se encuentra en comparación de otros
países?
4.2 Legislación Nacional
Como se ha citado a lo largo del desarrollo de esta tesina, gran porcentaje de la fuga de
información en una empresa es debido a personal interno. La gran mayoría de las empresas, si
no es que en su totalidad, al realizar una contratación extienden un contrato de confidencialidad de
secretos industriales. Dichos contratos se celebran cuando las personas físicas o morales
manejaran información de carácter confidencial.
Cuando existe un contrato de confidencialidad de secretos industriales y de la información que se
maneja, las empresas tienen una base jurídica para obligar legalmente a que sus empleados o
colaboradores no divulguen la información que se les proporcione o tengan acceso.
Hemos mencionado que gran porcentaje de la fuga de información se da por personal interno,
pero también se puede dar por medio de empresas subcontratadas conocidas como “outsourcing”.
Cabe destacar que aún cuando no nos estamos refiriendo a personal contratado directamente por
la empresa, son recursos humanos que también tienen acceso a información confidencial, por lo
que es necesario celebrar con las empresas subcontratadas un Contrato de Presentación de
Servicios que incluya una cláusula de Confidencialidad de la Información manejada.
66
4.2.1 Ley de la Propiedad Industrial
Según el Artículo 82 de la Ley de la Propiedad Industrial se considera secreto industrial a toda
información de aplicación industrial o comercial que guarde una persona física o moral con
carácter confidencial, que le signifique obtener o mantener una ventaja competitiva o económica
frente a terceros en la realización de actividades económicas y respecto de la cual haya adoptado
los medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la
misma.
Cabe mencionar que un contrato de Confidencialidad de la Información queda limitado a aquellos
casos en que por orden judicial se obligue al personal a dar a conocer determinada información de
la empresa, en cuyo caso no deberá ser considerado como fuga de información.
4.2.2 Código Penal federal
El Código Penal Federal refuerza a la Ley de Propiedad Industrial, ya que se encarga también de
castigar delitos informáticos. El Código Penal Federal en su Título Noveno habla acerca de la
Revelación de secretos y acceso ilícito a sistemas y equipos de informática.
El Artículo 210 del Código Penal Federal menciona que se impondrán de treinta a doscientas
jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin
consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada
que conoce o ha recibido con motivo de su empleo, cargo o puesto.
El Artículo 211 Bis se enfoca a la legislación sobre el Acceso ilícito a sistemas y equipos de
informática; menciona que a quien revele, divulgue o utilice indebidamente o en perjuicio de otro,
información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán
sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.
A continuación se detalla el Artículo 211:
Artículo 211 bis 1
Al que sin autorización modifique, destruya o provoque pérdida de información contenida en
sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán
de seis meses a dos años de prisión y de cien a trescientos días multa.
67
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un
año de prisión y de cincuenta a ciento cincuenta días multa.
Artículo 211 bis 2
Al que sin autorización modifique, destruya o provoque pérdida de información contenida en
sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le
impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis
meses a dos años de prisión y de cien a trescientos días multa.
Artículo 211 bis 3
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado,
indebidamente modifique, destruya o provoque pérdida de información que contengan, se le
impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado,
indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión
y de ciento cincuenta a cuatrocientos cincuenta días multa.
Artículo 211 bis 4
Al que sin autorización modifique, destruya o provoque pérdida de información contenida en
sistemas o equipos de informática de las instituciones que integran el sistema financiero,
protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de
prisión y de cien a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo
de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos
días multa.
68
Artículo 211 bis 5
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de
información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a
seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente copie información que contengan, se le
impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean
cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
Artículo 211 bis 6
Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que
integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código.
Artículo 211 bis 7
Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información
obtenida se utilice en provecho propio o ajeno.
4.2.3 Reforma al código penal federal para castigar a los crackers
Como puede observarse, el Código Penal Federal y la Ley de Propiedad Industrial se ajustan para
castigar aquellos delitos informáticos cometidos por personal interno de la empresa, pero ¿Qué
pasa con aquellos delitos cometidos por personal ajeno a la empresa, mejor conocidos como
“crackers”?
En Noviembre del año 2005, la cámara de Diputados aprobó una reforma al mismo Código Penal
Federal que sancione actos ilícitos cometidos por Crackers.
Dicha reforma menciona que: al que sin autorización, diseñe, elabore, transmita programas
conocidos como virus con la finalidad de bloquear o interferir en sistemas o programas, o en su
caso, sustraer datos o información, se le aplicará una sanción penal.
69
4.2.4 Protección de datos personales
A nivel Federal no se cuenta con una ley de protección de datos personales. El 14 de Febrero del
2001, el diputado Antonio García Torres presentó ante la Cámara de Diputados la Iniciativa de Ley
Federal de Protección de Datos Personales.
Entre las características de interés para el tema que se trata en esta tesis, se encuentran las
siguientes:
Capítulo I
Disposiciones generales
Artículo 1.
1. Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las
garantías de las personas físicas.
2. Las disposiciones de esta ley también son aplicables, en lo conducente, a los datos de las
personas jurídicas.
3. En ningún caso se podrán afectar los registros y fuentes periodísticas.
Artículo 2.
1. Esta ley es aplicable a los datos de carácter personal que figuren en archivos, registros, bancos
o bases de datos de personas físicas o jurídicas, públicas o privadas, y a todo uso posterior,
incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible
de tratamiento automatizado.
2. Esta ley no es aplicable a los archivos, registros, bases o bancos de datos:
I. De titularidad pública cuyo objeto por ley sea almacenar datos para su publicidad con carácter
general;
II. Cuyo titular sea una persona física y tengan un fin exclusivamente personal;
III. De información científica, tecnológica o comercial que reproduzcan datos ya publicados en
medios de comunicación oficial;
70
IV. De resoluciones judiciales publicadas en medios de comunicación oficial; y,
V. Administrados por los partidos políticos, sindicatos, iglesias y asociaciones religiosas, sola y
exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex
miembros y que se relacionen con su objeto, sin perjuicio de que la cesión de datos quede
sometida a lo dispuesto en esta ley.
3. Se regulan por sus disposiciones específicas los archivos, registros, bases o bancos de datos:
I. Electorales, conforme a los ordenamientos aplicables;
II. Referentes al registro civil, a la prevención, persecución y sanción de los delitos, así como a la
ejecución de las sanciones penales;
III. Con fines exclusivamente estadísticos, regulados por la Ley del Instituto Nacional de Geografía,
Estadística e Informática; y,
IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad
pública o a datos relativos a esos cuerpos.
4. los archivos, registros, bancos o bases de datos relativos a la prevención, persecución, sanción
de los delitos, ejecución de sanciones penales, o a los datos correspondientes a los cuerpos de las
fuerzas armadas y de seguridad pública o a sus integrantes, serán reservados, y se actualizarán,
complementarán, corregirán, suspenderán, o cancelarán en los términos de sus propias
disposiciones, sin que les resulte aplicable el régimen general de esta ley.
Artículo 4.
1. Para los efectos de esta ley se entiende por:
I. Datos personales: La información de persona física o jurídica determinada o determinable;
II. Datos sensibles: Aquellos que revelan el origen racial, étnico, opiniones políticas, convicciones
religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual;
Artículo 5.
3. Los datos sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines
compatibles con estos.
71
Capítulo IV
De las sanciones
Artículo 39.
1. Son infracciones leves a esta Ley:
I. Omitir la inclusión, complementación, rectificación, actualización, reserva, suspensión o
cancelación, de oficio o a petición del interesado, de los datos personales que obren en archivos,
registros, bases o bancos de datos;
II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,
III. Cualquiera otra de carácter puramente formal o documental que no pueda ser catalogada como
grave.
Artículo 40.
1. Son infracciones graves a esta Ley:
I. Colectar o tratar datos de carácter personal para constituir, o implementar archivos, registros,
bases o bancos de datos de titularidad pública, sin la previa autorización de la normativa aplicable;
II. Colectar o tratar automatizadamente datos de carácter personal para constituir, o implementar
archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del
interesado o de quien legítimamente puede otorgarlo;
III. Colectar, tratar automatizadamente o administrar datos de carácter personal con violación de
los principios que rigen esta ley o de las disposiciones que sobre protección y seguridad de datos
sean vigentes;
VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin
las condiciones mínimas de seguridad requeridas por las disposiciones aplicables.
72
4.3 Legislación Sectorial
Recomendaciones del Instituto Federal de Acceso a la Información Pública (IFAI)
El Instituto Federal de Acceso a la Información Pública (IFAI) ha establecido una serie de
recomendaciones sobre el manejo, mantenimiento, seguridad y protección de datos personales,
que estén en posesión de las dependencias y entidades de la Administración Pública Federal.
Debido al carácter e importancia de los datos que el IFAI maneja, estas recomendaciones son de
índole técnicas y organizativas para así garantizar la seguridad de los datos personales, evitar su
alteración, pérdida, tratamiento o acceso no autorizado, basándose en estándares internacionales
de seguridad.
Debido a tal importancia, para su protección es necesario tomar en cuenta los avances
tecnológicos, la naturaleza de los datos almacenados y los riesgos a los que éstos son expuestos,
ya sean por la acción humana ó por la naturaleza (en esta tesis la atención se verá enfocada en
los riesgos que son debido a la acción humana), por lo que se han establecido distintos niveles de
seguridad dependiendo la categoría ó tipo de datos.
Dichos niveles se mencionan a continuación:
A. Nivel básico
Las medidas de seguridad marcadas con el nivel básico serán aplicables a todos los sistemas
de datos personales.
A los sistemas de datos personales que contienen alguno de los datos que se enlistan a
continuación, les resultan aplicables únicamente, las medidas de seguridad de nivel básico:
• De Identificación: Nombre, domicilio, teléfono particular, teléfono celular, correo
electrónico, estado civil, firma, firma electrónica, RFC, CURP, cartilla militar, lugar de
nacimiento, fecha de nacimiento, nacionalidad, edad, nombres de familiares dependientes
y beneficiarios, fotografía, costumbres, idioma o lengua, entre otros.
• Laborales: Documentos de reclutamiento y selección, de nombramiento, de incidencia, de
capacitación, puesto, domicilio de trabajo, correo electrónico institucional, teléfono
institucional, actividades extracurriculares, referencias laborales, referencias personales,
entre otros.
73
B. Nivel medio
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuación, además de cumplir con las medidas de seguridad de nivel básico, deberán
observar las marcadas con nivel medio.
• Datos Patrimoniales: Bienes muebles e inmuebles, información fiscal, historial crediticio,
ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados,
referencias personales, entre otros.
• Datos sobre procedimientos administrativos seguidos en forma de juicio y/o
jurisdiccionales: Información relativa a una persona que se encuentre sujeta a un
procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral,
civil, penal o administrativa.
• Datos Académicos: Trayectoria educativa, títulos, cédula profesional, certificados y
reconocimientos, entre otros.
• Tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro
y fuera del país e información migratoria de las personas, entre otros.
C. Nivel alto
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuación, además de cumplir con las medidas de seguridad de nivel básico y medio,
deberán observar las marcadas con nivel alto.
• Datos Ideológicos: Creencia religiosa, ideología, afiliación política y/o sindical, pertenencia
a organizaciones de la sociedad civil y/o asociaciones religiosas, entre otros.
• Datos de Salud: Estado de salud, historial clínico, alergias, enfermedades, información
relacionada con cuestiones de carácter psicológico y/o psiquiátrico, incapacidades
médicas, intervenciones quirúrgicas, vacunas, consumo de sustancias tóxicas, uso de
aparatos oftalmológicos, ortopédicos, auditivos, prótesis, entre otros.
• Características personales: Tipo de sangre, ADN, huella digital, u otros análogos.
74
• Características físicas: Color de piel, color de iris, color de cabello, señas particulares,
estatura, peso, complexión, discapacidades, entre otros.
• Vida sexual: Preferencia sexual, hábitos sexuales, entre otros.
• Origen: Étnico y racial.
Dentro de las medidas de seguridad que establece el IFAI para los datos personales en soportes
físicos son:
Para el área de Consulta de Datos Personales:
1. Existe la infraestructura apropiada y se siguen los procesos y procedimientos necesarios y
suficientes, de tal manera que es posible supervisar y vigilar los datos personales en
soportes físicos que consultan los Usuarios de los datos dentro del área de consulta.
[Nivel básico]
2. De existir ventanas o muros divisorios transparentes en el área de consulta, la visión está
obstruida mediante una película translúcida. [Nivel medio]
3. La puerta de acceso del área de consulta cuenta con cerradura, dispositivo electrónico o
cualquier otra tecnología que impida su libre apertura. Este mecanismo queda cerrado en
horas no hábiles o cuando el personal autorizado que ahí labora abandona el área. [Nivel
medio]
4. El personal autorizado que labora en el área de consulta ostenta una identificación con
fotografía (credencial o gafete) emitida por la dependencia o entidad. [Nivel básico]
5. Cualquier persona puede identificar con facilidad al personal autorizado que labora en el
área de consulta gracias a que los nombres completos y fotografías de dicho personal se
exhiben en un lugar visible dentro y fuera de dicha área. [Nivel medio]
6. El Encargado de los Sistemas de Datos Personales actualiza los nombres completos y
fotografías que se exhiben en el área de consulta conforme se presentan cambios de
personal. [Nivel medio]
7. No está permitido el libre acceso y el uso de aquellos aparatos referidos en la sección
“Equipo no autorizado” dentro del área de consulta. [Nivel medio]
75
8. Existe señalización visible sobre: horarios de atención, restricciones de acceso,
prohibiciones que aplican y el procedimiento para dar aviso al personal de vigilancia en
caso de sospecharse la presencia de personas no autorizadas en el área de consulta.
[Nivel básico]
Dentro de las recomendaciones para la Baja de Datos Personales se observan las siguientes:
1. El Encargado de los Sistemas de Datos Personales:
a) Sigue procedimientos y utiliza mecanismos para asegurar la valoración y en su caso,
destrucción de soportes físicos que contienen datos personales. [Nivel medio]
b) Destruye por completo dichos soportes físicos antes de desecharlos [Nivel básico]
c) Lleva una bitácora de las veces que se efectúa la acción de baja de datos personales.
[Nivel básico]
2. Los métodos de destrucción de datos personales en soportes físicos están definidos en el
Manual de operaciones de la dependencia o entidad; o, si no lo están, son aprobados por el
Responsable de los Sistemas De Datos Personales antes de ejecutarlos. [Nivel básico]
3. Si en esa dependencia o entidad realizan la separación de materiales para su reciclaje
(como podría suceder con el papel, el cartón, el metal y el plástico), los datos personales
contenidos en materiales reciclables son triturados y la viruta resultante se entrega
directamente a una empresa que los recibe para procesarlos de inmediato, garantizando por
escrito que no serán examinados para su eventual reconstrucción. [Nivel medio]
Dentro de las medidas de seguridad para datos en soportes electrónicos se establece lo siguiente:
Para las Áreas de Recepción, Resguardo y Consulta de datos personales, se destaca:
1. Existe la infraestructura apropiada y se siguen los procesos y procedimientos necesarios y
suficientes de tal manera que es posible mantener en forma organizada y segura los datos
personales recibidos en el área de recepción, en tanto siguen la demás fases de su
tratamiento. [Nivel básico]
2. El equipo de cómputo instalado en el área de recepción cumple con las Recomendaciones
presentadas en la sección “4. Medidas de Seguridad para equipo de cómputo en zonas de
acceso restringido”. [Nivel básico]
76
3. Dicho equipo de cómputo está provisto de la tecnología necesaria y suficiente para
verificar la identidad del personal autorizado que labora en el área de recepción. Ello
implica que, mediante la verificación de claves de acceso, dicho personal accede al equipo
a fin de realizar el tratamiento que corresponda a la recepción de datos personales. [Nivel
medio]
4. El personal autorizado que labora en el área de recepción ostenta una identificación con
fotografía (credencial o gafete) emitida por la dependencia o entidad. [Nivel básico]
Para la Baja de Datos Personales se menciona lo siguiente:
1. Todo soporte electrónico que será dado de baja (ya sea por obsolescencia, sustitución o
alguna otra causa) pasa por un proceso de preparación final antes de ser desechado. Dicho
proceso incluye: la transferencia del contenido que sea preciso conservar hacia otro soporte
electrónico y la destrucción, inhabilitación o daño que deje inservible dicho soporte. [Nivel
básico]
2. Las únicas personas autorizadas para realizar proceso de preparación final son el área de
sistemas y el personal de vigilancia. [Nivel básico]
3. Los métodos de destrucción de datos personales en soportes electrónicos están definidos
en el Manual de operaciones de los Sistemas de Datos Personales; o, si no lo están, son
aprobados por el Responsable de los Sistemas de Datos Personales antes de ejecutarlos.
[Nivel básico]
4. El Encargado de Sistemas de Datos Personales:
a) Vigila que se sigan los procedimientos y se utilicen los mecanismos para asegurar la
destrucción de soportes electrónicos que contienen datos personales. [Nivel básico]
b) Lleva una bitácora donde registra la baja de soportes electrónicos que contienen datos
personales anotando
• Nombre y firma de la persona que realiza esta acción
• Fecha y hora en la que se realiza
• El destino que se le dará al soporte electrónico desechado
77
• Nombre y firma (visto bueno) del Responsable de los Sistemas de Datos
Personales [Nivel básico]
De las medidas de seguridad para equipo de cómputo en zonas de acceso restringido:
1. De las Computadoras de escritorio:
a) Resguardo: La computadora de escritorio está asegurada físicamente para evitar el
robo del gabinete o la sustracción de piezas o partes. Para tal propósito, está
resguardada con cajones de protección, candados o cualquier otro dispositivo que
impida la manipulación del gabinete y el acceso físico al interior del equipo. [Nivel
básico]
b) Operación:
1. Están deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
puertos de comunicación (USB, paralelo, serial, etc.) que no se utilizan. Los cables
o dispositivos conectados a los puertos que sí se utilizan están asegurados para
evitar su desconexión. Las cancelaciones pueden ser abiertas por personal
autorizado del área de sistemas. [Nivel medio]
2. Están deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
dispositivos de almacenamiento removible (unidades de disco flexible,
quemadores de CD/DVD, etc.). Las cancelaciones pueden ser abiertas por
personal de sistemas. [Nivel medio]
3. No existen dispositivos de conexión inalámbrica (Wi-Fi, Bluetooth, infrarrojo,
etc,) en las computadoras de escritorio asignadas dentro de las zonas de acceso
restringido de los Sistemas de Datos Personales. [Nivel medio]
4. El acceso a una computadora de escritorio dentro de una zona de acceso
restringido, con el propósito de realizar labores de mantenimiento preventivo y
correctivo o para soporte técnico, es exclusivo para el personal de sistemas o,
para un proveedor externo subcontratado. En cualquier caso, el Responsable de
los Sistemas de Datos Personales es quien autoriza, supervisa y registra el acceso
archivando la autorización que emite. [Nivel básico]
78
2. Del equipo no autorizado:
a) Computadoras Portátiles:
1. No está permitido el libre acceso de computadoras portátiles a las zonas
de acceso restringido de los Sistemas De Datos Personales. [Nivel básico]
2. En caso de que se autorice el acceso temporal de una computadora
portátil, el área de sistemas o el personal de vigilancia lleva a acabo una
revisión inicial del equipo. Dicha revisión incluye:
• La revisión y el registro de la estructura de los medios de
almacenamiento no volátil, específicamente el número de
particiones y el espacio libre
• La detección de cualquier software que suponga un riesgo, ya sea
por la pérdida de datos personales o por la sustracción, como
malware y herramientas de intrusión
• La inhabilitación de dispositivos de conexión inalámbrica que
pudieran suponer un riesgo de extracción de datos personales por
una persona que se encuentre fuera de las zonas de acceso
restringido [Nivel medio]
4. En caso de ser necesario el traslado de datos personales al equipo no
autorizado, éste sería con las siguientes restricciones: sólo lectura, no
para modificación, no para sustracción, no para impresión, no para
quemado. [Nivel medio]
5. Al finalizar la visita, se llevará a cabo una revisión final de la
computadora portátil por parte del área de sistemas o del personal de
vigilancia. Dicha revisión incluye:
• La revisión y el registro de la estructura de los medios de
almacenamiento no volátil a fin de comprobar que el número de
particiones y el espacio libre sigue siendo el mismo que en la
79
revisión inicial, lo que permite detectar si hay archivos
almacenados en el equipo portátil que no estaban al inicio
• Las áreas no utilizadas (vacías) en los medios de almacenamiento
no volátil se sobrescriben con un solo valor (unos o ceros)
utilizando una herramienta especializada para ello [Nivel básico]
6. Por el riesgo que implica, está prohibido el uso de computadoras
portátiles para la transmisión de datos personales en soportes
electrónicos, mediante traslado físico, sin antes haber sometido dichos
datos personales a un proceso de preparación previa.
b) De los dispositivos de almacenamiento externo:
1. Sin excepción alguna, no se permite el acceso de ningún tipo de
dispositivo de almacenamiento externo ajeno a la institución o sin
autorización. [Nivel básico]
2. En caso de que se autorice el acceso temporal de dispositivos de
almacenamiento externo, el área de sistemas o el personal de vigilancia
lleva a cabo una revisión inicial del equipo. Dicha revisión incluye:
• La revisión y el registro de la estructura de los medios de
almacenamiento no volátil, específicamente el número de
particiones y el espacio libre
• La detección de cualquier software que suponga un riesgo, ya sea
por la pérdida de datos personales o por la sustracción, como
malware y herramientas de intrusión
• La inhabilitación de dispositivos de conexión inalámbrica que
pudieran suponer un riesgo de extracción de datos personales por
una persona que se encuentre fuera de las zonas de acceso
restringido [Nivel medio]
4. En caso de ser necesario el traslado de datos personales al equipo no
autorizado, éste sería con las siguientes restricciones: sólo lectura, no
80
para modificación, no para sustracción, no para impresión, no para
quemado. [Nivel medio]
5. Al finalizar la visita, se llevará a cabo una revisión final de los
dispositivos de almacenamiento externo por parte del área de sistemas o
del personal de vigilancia. Dicha revisión incluye:
• La revisión y el registro de la estructura de los medios de
almacenamiento no volátil a fin de comprobar que el número de
particiones y el espacio libre sigue siendo el mismo que en la
revisión inicial, lo que permitiría detectar si hay archivos
almacenados en el equipo portátil que no estaba al inicio
• Las áreas no utilizadas (vacías) en los medios de almacenamiento
no volátil se sobrescriben con un solo valor (unos o ceros)
utilizando una herramienta especializada para ello [Nivel medio]
6. Por el riesgo que implica, está terminantemente prohibido el uso de
dispositivos de almacenamiento externo para la transmisión de datos
personales en soportes electrónicos, mediante traslado físico, sin antes
haber sometido dichos datos personales a un proceso de preparación.
Finalmente, el IFAI también proporciona una serie de documentación de las Medidas de Seguridad
en procesos y políticas del Sistema de Datos Personales:
a) De la Sensibilización y capacitación
1. Se ha desarrollado un curso de sensibilización sobre protección de datos personales en
soportes físicos y soportes electrónicos. El personal a quien va dirigido este curso son
servidores públicos que tienen funciones asignadas para interactuar con Sistemas de
Datos Personales al interior de la dependencia o entidad. [Nivel básico]
2. Este curso se imparte al menos una vez cada año al personal, llevando un registro de
asistencia. [Nivel básico]
3. Al finalizar el curso, el participante manifiesta conocer la relevancia de la seguridad de
datos personales y sus responsabilidades mediante firma autógrafa que se recaba en una
81
lista que archiva el Responsable de los Sistemas de Datos Personales en la dependencia
o entidad. [Nivel básico]
4. Existen un curso de sensibilización y un documento de firmas, similares a los anteriores,
que persiguen el mismo fin pero que están orientados a proveedores externos que
interactúan con uno o más Sistemas de Datos Personales y a quienes también se exige
aseguren la protección de datos personales. [Nivel básico]
b) De las Cartas compromiso, cláusulas y contratos de confidencialidad
1. Al menos cada dos años, el Responsable de los Sistemas de Datos Personales recibe
(y archiva) una carta compromiso de parte de cada uno de los miembros del personal
autorizado que interactúa con uno o más Sistemas de Datos Personales. [Nivel medio]
2. En dicha carta, el servidor público manifiesta, con su firma autógrafa, su compromiso
para realizar su trabajo apegándose a los MS que apliquen a los Sistemas de Datos
Personales en esa dependencia o entidad.
Además, el servidor público manifiesta conocer los Lineamientos, el Reglamento y la Ley
que integran el marco jurídico de las presentes Recomendaciones a fin de garantizar al
ciudadano la custodia de sus datos personales. [Nivel medio]
3. La dependencia o entidad cuenta con un contrato de confidencialidad que ha firmado
con cada proveedor o prestador de servicios que llama para la realización de servicios que
impliquen interactuar con los Sistemas de Datos Personales. [Nivel básico]
4.4 Mejores prácticas
Hoy en día cada vez existen más requisitos de carácter legal que tienen que ver con la seguridad
de la información (Ley Orgánica de Protección de Datos, por ejemplo). La confidencialidad,
integridad y disponibilidad de la información es determinante para mantener la imagen empresarial
y ciertos niveles de competitividad de las organizaciones, lo cual genera en rentabilidad.
Con todos estos condicionantes, se ha demostrado que el nivel de seguridad alcanzado
exclusivamente por medios técnicos está muy limitado y en la mayoría de las ocasiones es
claramente insuficiente. La gestión de la seguridad debe contemplar numerosos factores y se debe
hacer de forma planificada y en base a criterios objetivos.
82
Como es habitual, existen normas que recogen las mejores prácticas para la gestión de la
seguridad. En la actualidad los estándares de reconocimiento más amplios son los de la serie ISO
27000 de la ISO/IEC, aunque también existen otros como COBIT e ISO 9001:2000.
4.4.1 Series ISO 27000
La familia de normas ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO
(International Standar Organization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información válido para cualquier tipo de
organización.
• ISO 27000: en este documento se define el vocabulario y definiciones aplicables en la
serie 27000. Es el análogo a la ISO 9000 en la familia de gestión de la calidad. Es de
especial interés habida cuenta de la terminología técnica específica del área que trata.
• ISO 27001: Es el estándar de la familia que permite certificar (especifica requisitos), por
entidad acreditada para ello, el Sistema de Gestión de Seguridad de la Información.
Basado como otros en el ciclo PDCA (Planificar, Hacer, Verificar y Actuar ). Especifica
requisitos para el diseño, implantación, mantenimiento y mejora del SGSI, sus procesos y
los controles de aplicación.
• ISO 27002: Es el relevo natural de ISO 17799 como código de prácticas para la Gestión
de Seguridad de la Información. Contiene un listado de controles y objetivos para proteger
la información.
• ISO 27003: Guía para la implantación del Sistema de Gestión de Seguridad de la
Información. Su finalidad es la de ayudar y facilitar la implantación del SGSI.
• ISO 27004: Estándar relacionado con las métricas y medidas en materia de seguridad
para evaluar la efectividad del sistema de gestión de la seguridad de la información.
• ISO 27005: Trata el análisis y gestión de riesgos.
• ISO 27006: Relacionada con los temas de continuidad de negocio y recuperación ante
desastres.
83
ISO 27002
La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los
controles de seguridad y una guía para la implantación de un SGSI (Sistema de Gestión de
Seguridad de la Información).
Se compone de 13 dominios, 39 objetivos de seguridad y 133 controles de seguridad.
Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado
aspecto de la seguridad de la información. En el siguiente dibujo se muestra la distribución de
dichos dominios y el aspecto de seguridad que cubren:
Figura 19. Distribución de los dominios de la Norma ISO 27002
En el dominio 06 (Organización de la Seguridad de Información) sugiere establecer una gestión
con objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la
organización.
El dominio 06 también nos sugiere lo siguiente: los miembros de la Dirección deberían respaldar
activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y
aprobando explícitamente las responsabilidades en seguridad de la información dentro de la
84
Organización. Quienes deberían identificar y revisar regularmente en los acuerdos aquellos
requisitos de confidencialidad o no divulgación que contemplan las necesidades de protección de
la información de la Organización.
Este dominio también habla de mantener un control del acceso de terceros a los dispositivos de
tratamiento de información de la organización. Cuando el negocio requiera dicho acceso de
terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la
seguridad y las medidas de control que requieren. Estas medidas de control deberían definirse y
aceptarse en un contrato con la tercera parte. Se deberían identificar, documentar e implantar
regulaciones para el uso adecuado de la información y los activos asociados a recursos de
tratamiento de la información.
El dominio 08 (Seguridad ligada a los Recursos Humanos) tiene como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean
aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios. Las responsabilidades de la seguridad se deberían definir antes de la
contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones del
empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberían seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados,
contratistas y usuarios de terceras partes de los servicios de procesamiento de la información
deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la seguridad.
La organización debe asegurarse de que los empleados, contratistas y terceras partes son
conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que están
equipados para cumplir con la política de seguridad de la organización en el desempeño de sus
labores diarias, para reducir el riesgo asociado a los errores humanos.
A todos los usuarios empleados, contratistas y terceras personas se les debería proporcionar un
adecuado nivel de concientización, educación y capacitación en procedimientos de seguridad y en
el uso correcto de los medios disponibles para el procesamiento de la información con objeto de
minimizar los posibles riesgos de seguridad.
En caso de que los empleados, contratistas y terceras personas abandonan la organización o
cambian de empleo garantizar que lo harán de forma organizada, que los empleados devuelven
todo el equipamiento y se eliminan completamente todos los derechos de acceso.
La estructura del dominio 11 (Control de accesos) consiste en controlar los accesos a la
información, los recursos de tratamiento de la información y los procesos de negocio en base a las
necesidades de seguridad y de negocio de la Organización.
85
Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de
la información y de autorizaciones. Con procedimientos formales para controlar la asignación de
los permisos de acceso a los sistemas y servicios de información.
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.
Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación
de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del
sistema.
La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Se debería
asignar responsabilidades de usuario, impidiendo el acceso de usuarios no autorizados y el
compromiso o robo de información y recursos para el tratamiento de la información.
Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de controles
de acceso eficaces, en particular respecto al uso de contraseñas y seguridad en los equipos
puestos a su disposición.
Se debería implantar una política para mantener mesas de escritorio y monitores libres de
cualquier información con objeto de reducir el riesgo de accesos no autorizados o el deterioro de
documentos, medios y recursos para el tratamiento de la información.
4.4.2 CObIT
Es el modelo de objetivos de control para tecnologías de información (TI) desarrollado por la
Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de
mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias
para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y
medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.
Sin embargo solo el PO 7 (planeación y organización) enfocado a la administración de los
recursos humanos, así como el área de servicio y soporte (DS7 educar y entrenar a los usuarios),
nos hacen referencia a la importancia de la concientización respecto a la seguridad de la
información.
86
El dominio de planear y organizar (PO) cubre las estrategias y las tácticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnológica apropiada. Todas las personas dentro de la
organización deben entender los objetivos de TI.
El dominio de entregar y dar soporte (DS) cubre la entrega en sí de los servicios requeridos, lo que
incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. La
fuerza de trabajo debe ser capaz de utilizar los sistemas de TI de manera productiva y segura.
4.4.3 Awareness
Un awareness (programa de concientización) consiste en implementar un programa dentro de la
organización una “acción cultural” en donde el personal y todas aquellas personas que formen la
organización sean capaces de identificar el bien y el mal de sus acciones, respecto a un problema
importante para el mantenimiento de la seguridad de la información.
El 1 de Septiembre de 2005 el Dr. Gary Hinson publico una guía de siete pasos para implementar
un Awareness en las organizaciones (NoticeBored). Los pasos son los siguientes:
1. Especificación de necesidades. Tiene que evaluar cuál es el objetivo de
implementar un programa de concientización en seguridad. Se tiene que
considerar si la organización ya cuenta con plan de awarreness ó es un tema
completamente nuevo, que aspectos de la seguridad de la información son
importantes para la organización, el programa debe incluir educación y formación
o solo uno de estos puntos, con qué frecuencia se debe aplicar el programa,
debería aplicar el programa al personal desde su primer hasta el último día de
trabajo, será una campaña permanente.
2. Preparar un plan y una lista de verificación. Usted necesita el diseño del
programa, desarrollar un plan para establecer el programa y luego administrarlo
de manera eficaz a fin de entregar los beneficios previstos. Una manera de
concretar sus ideas desde el paso 1 en paralelo al desarrollo de su plan es
preparar una lista de evaluación de productos que contenga:
• Filas para cada uno de sus criterios.
87
• Las columnas de los criterios y su ponderación (por ejemplo 3 = esencial, 2 =
importante, 1 = agradable de tener) y, a continuación las columnas
adicionales para comentarios y resultados respecto a cada uno de los
productos que está evaluando.
3. Asegurar el financiamiento y apoyo a la gestión. El tiempo empleado en
privado y explicando pacientemente sus planes en funciones tales como la
Auditoría Interna, Cumplimiento, Servicios, Gestión de Riesgos, Recursos
Humanos y Finanzas, ayudará (a) perfeccionar su plan, (b) identificar cualquier
problema; (c) desviar las críticas y (d) a la línea para apoyar su programa, y
hacerlo abiertamente en las primeras fases de la entrega.
4. Identificar y listar las posibles soluciones. Comience por buscar dentro de su
propia organización los recursos adecuados, por ejemplo, en TI, recursos
humanos, internos / Comunicaciones Corporativas y funciones de capacitación y
desarrollo. Tome el consejo de sus compañeros acerca del funcionamiento de
otros programas de formación y enseñanza (tales como salud y seguridad o
formación en TI).
5. Evaluar las soluciones. Consiste en lanzar una licitación convencional apoyada
por el área de adquisición, sobre todo si hay trascendentales sumas de dinero en
juego. Debe asegurarse de que el proceso sea justo, objetivo y completo por
encima de todo.
6. Seleccionar y adquirir las soluciones. Generalmente el resultado de la etapa 5
no siempre proyecta a un solo ganador. Este paso implica un poco de negociación
con los proveedores, por lo regular algunas aclaraciones sobre precios, los
términos de la oferta y otra mirada a lo que ofrecen. Por último al tomar la decisión
final, se prepara la orden de compra y se prosigue a firmar el contrato.
7. Implementar y poner en marcha el awareness. Ahora es el momento de solicitar
el apoyo de sus colegas internos y proveedores elegidos para construir y entregar
el programa de concientización que cubra el objetivo planteado.40
40 Fuente: IsecT Ltd.
88
4.4.4 Assessment
Assessment es un instrumento de alta especificidad técnica para la evaluación de potencial de
las personas. Permite obtener información objetiva acerca de cómo actuarían las personas en
diferentes circunstancias y tareas. Esta herramienta adquiere especial importancia en procesos
masivos de selección de personal y en evaluaciones de potencial para determinar los planes de
carrera y la inversión en desarrollo humano que la organización quiere hacer.
Un proceso de Assessment brinda beneficios tales como:
• Evaluación en forma precisa y completa del potencial.
• Brinda información sobre el comportamiento de las personas en situaciones concretas de
trabajo.
• Ayuda a la identificación de habilidades y aptitudes específicamente requeridas para cada
puesto.
• Optimiza los esfuerzos orientados al desarrollo.
4.5 Tecnología existente
Como se ha venido mencionando, el factor humano es el principal medio de fuga de información
en las organizaciones, por tal motivo se han desarrollado una serie de tecnologías para hacer
frente a dicha problemática. Sin embargo estas tecnologías no logran satisfacer por si solas las
necesidades empresariales ante la fuga de información ocasionada por el personal interno.
A continuación se citan algunas de las principales tecnologías para prevenir la fuga de
información.
4.5.1 Data Leakage Prevention (DPL)
Las soluciones Data Leakage Prevention (DLP) monitorizan el contenido en las redes y puntos
extremo siguiendo criterios definidos como etiquetas en los documentos o búsquedas de palabras
clave, entre otros. A medida que se escanea el contenido y se aplican los criterios de parámetros
de búsqueda, se activan las reglas. En las soluciones menos sofisticadas, estas reglas generan
alertas frecuentemente vía mensajes de email al administrador responsable de hacer el
89
seguimiento de estas transacciones. En las soluciones más evolucionadas, el contenido puede ser
bloqueado o sometido a cuarentena.41
4.5.2 Sistema de detección de intrusos (IDS)
Un sistema de detección de intrusos (IDS) es un programa usado para detectar accesos no
autorizados a una computadora o a una red. Estos accesos pueden ser ataques de crakers, o de
Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales con los que el núcleo del IDS puede obtener datos externos
(generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que
pueden ser indicio de la presencia de ataques o falsas alarmas.
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red,
el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo
analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de
detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de
puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa
ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde
forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Existen tres tipos de sistemas de detección de intrusos:
• HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los
intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado,
cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El
HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de
sus conclusiones.
41 Network World España, IDG.es. “Data Leak Protection”, 2008
90
• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la
red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la
red.
• DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por
una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información
de posibles ataques en una unidad central que puede almacenar o recuperar los datos de
una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas regla
de control especializándose para cada segmento de red. Es la estructura habitual en redes
privadas virtuales (VPN).
Sistemas pasivos y sistemas reactivos
En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda
una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS
responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee el tráfico que
proviene de la red del atacante.42
4.5.3 Sistema de Prevención de Intrusos
Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en
una red informática para proteger a los sistemas computacionales de ataques y abusos. La
tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los
Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más
cercano a las tecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de
detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continúan en relación.
42 Diego González Gómez. “Sistemas de Detección de Intrusiones”, CriptoRed, Universidad Politécnica de Madrid
91
También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
Funcionamiento
Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona
por medio de módulos, pero la diferencia es que este último alerta al administrador ante la
detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de
Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un
ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege
reactivamente.43
4.5.4 Assessment Center (AC)
Un Assessment Center44 es un proceso estandarizado de evaluación, diseñado para minimizar
todas las distintas formas de sesgo que pueden ocurrir en una evaluación, asegurando a cada
participante el respeto al principio de igualdad de oportunidades, ya que éstos pueden demostrar
sus capacidades a través de un amplio abanico de situaciones.
Así, los Assessment Centers o Centros de Evaluación, están dirigidos a valorar y examinar el
potencial, las experiencias y capacidades actuales de una persona, así como su posible desarrollo
profesional.
Sea cual sea su empleo, su cualificación inicial, su puesto en la empresa o su responsabilidad,
todo profesional está obligado a aprender constantemente cosas nuevas. Y a su vez, la empresa a
conocer el desarrollo y competencias de su personal, en busca de su multi operatividad.
Los Assessment aportan, por tanto, una información de doble dirección. La empresa obtiene un
conocimiento más profundo de sus profesionales y éstos, a su vez, pueden participar de forma
más directa y consciente en su propio desarrollo profesional, toda vez que se produce una toma
de conciencia más objetiva de sus propias aptitudes, competencias y limitaciones.
Los usos y aplicaciones de los Assessment Centres son variados, ya que como técnica aporta una
información muy objetiva, fiable y actualizada, muy difícil de conseguir a través de otros sistemas
de recursos humanos, dentro de una compañía.
Sus aplicaciones más importantes son:
43 Jed Haile y Vern Paxon. One Secure 44 Bill Byham, Dr. Douglas Bray. Development Dimensions International
92
• Selección y reclutamiento externo.
• Promoción interna a puestos con responsabilidades de gestión.
• Evaluación del potencial de gestión.
• Planificación de carreras.
• Reclutamiento interno de candidatos–profesionales, para programas de management.
• Detección de necesidades de formación.
Podemos identificar cinco características básicas que definen el diseño y la realización de los
Assessment Centres, éstas son:
• Evalúan varias competencias.
• Integran diversas técnicas.
• Participan varios candidatos simultáneamente.
• Integran datos de varios evaluadores.
• Cumplen varios objetivos: selección; evaluación del potencial; planificación de
carreras, detección de necesidades de formación.
Tipos de ejercicios de evaluación
Una vez obtenida la lista de competencias que se desea examinar, se inicia el diseño de los
ejercicios de simulación. Éstos deben ser lo más parecidos a la realidad profesional, para que
permitan una evaluación objetiva de las competencias puestas en práctica.
Todos los ejercicios que se realizan en un Assessment pueden clasificarse en dos grupos,
teniendo en cuenta su dinámica de desarrollo:
1. Ejercicios individuales: son todos los Cuestionarios de Personalidad y Motivación; los Test
de Aptitudes y los Scheduling Exercises.
93
• Cuestionarios de personalidad y motivación: permiten una descripción completa de
la personalidad y los principales motivadores de la conducta del participante, dentro
de su entorno laboral.
• Test de aptitudes: miden la capacidad o aptitud para manejar distintos conceptos;
todos ellos deben estar estrechamente relacionados con el tipo de trabajo o de
actividad a desarrollar dentro de un puesto de trabajo.
• Scheduling Exercises: se facilita al participante una serie de complejos documentos
relacionados con su trabajo, con el fin de medir su capacidad para planificar,
ordenar y secuenciar en el tiempo un determinado proyecto.
2. Ejercicios interactivos: aunque todos los ejercicios son necesarios para el perfecto
desarrollo de un Assessment, son los que implican cierto grado de interactividad, los que
aportan al proceso una evidencia más fuerte y una mecánica más elaborada.
• Ejercicios de grupo: gran parte de nuestra vida se desarrolla en grupo: familia,
amigos, trabajo, etc. De esta forma, es importante poder evaluar la capacidad de un
individuo para desenvolverse en tareas sociales. La prueba tiene normalmente entre
cinco y seis participantes, ya que menos de cinco restaría competitividad mientras
que un grupo mayor de siete, induciría a alguno de los candidatos a una actitud
pasiva. Con una duración de cuarenta y cinco minutos a una hora, los ejercicios
pueden diseñarse de dos formas, dependiendo de las competencias que se quieran
analizar:
§ Con Rol asignado: en el que tienen objetivos conflictivos entre sí.
§ Sin Rol asignado: en el que trabajan para solucionar un problema común.
• Ejercicios Fact-Finding: en el caso de los Fact-Finding, las capacidades que se
pretende evaluar son el análisis y la solución de problemas. En estos ejercicios, se
facilita al participante una breve información sobre un caso que debe ser
solucionado en poco tiempo. El consultor es, en este caso, la única fuente de
información disponible, de la que el participante tiene que obtener, mediante
precisas preguntas, los datos que necesite. Al término del ejercicio tiene que tomar
una decisión lo más completa y razonada que pueda. Una vez expresada ésta, se le
94
da al participante toda la información disponible del caso, ofreciéndole la posibilidad
de modificar sus conclusiones.
• Ejercicios In-Tray: al igual que en el ejercicio anterior, en los In-Tray se debe llegar
a la resolución de un problema de gestión empresarial. Sin embargo, en éste se
pide a los participantes que completen una serie de tareas, con tiempo
independiente para cada una de ellas. Para su resolución se proporciona una
carpeta que contiene una enorme cantidad de documentos: cartas, memorándums,
organigramas, cifras, gráficas… La intención de los ejercicios es poner a la persona
en una situación de máxima presión, para ver su rendimiento intelectual y su
capacidad de reacción en estas circunstancias. Esta técnica se complementa con la
Entrevista In-Tray, cuyo objetivo es conocer, en mayor profundidad, el sentido de
las decisiones aportadas por los participantes durante la realización del ejercicio.
• Ejercicios Role-Play: es una de las pruebas más complejas de todo el desarrollo de
un Assessment Centre. El Role-Play es puramente interactivo y analiza las
habilidades de relación interpersonal, poniendo al candidato en una situación a
menudo conflictiva con otra persona. En el proceso se encuentran implicadas tres
personas:
a) El evaluado.
b) El evaluador.
c) El actor o ficticio.
En estos casos el papel del “actor” es de una importancia extrema, dado que no sólo tiene que
estar perfectamente preparado, sino que debe provocar en el evaluado la situación conflictiva que
se busca, lo más rápidamente posible.
• Ejercicios de Análisis y Presentación: en este tipo de ejercicios se le entrega al
participante una documentación que debe analizar y sobre la cual deberá basar su
posterior presentación. Esta técnica permite evaluar tanto el proceso mental de
análisis y toma de decisión, como las habilidades de los participantes a la hora de
presentar y “vender” sus ideas a los demás.
Todas estas pruebas permiten obtener una fotografía muy aproximada sobre los conocimientos,
aptitudes y habilidades de los profesionales. Hay que considerar que los Assessment Centres son,
sin lugar a dudas, uno de los procesos de mayor rigor analítico, más exhaustivos y completos con
los que puede contar una empresa a la hora de evaluar las competencias.
95
Fases de un AC
Para que un proceso de evaluación sea considerado un Assessment Center, ha de reflejar los
siguientes pasos45:
• Análisis del puesto: comprende el método empleado por la empresa para
determinar las competencias vinculadas con el desempeño exitoso en el puesto en
cuestión.
• Clasificación de los comportamientos: las respuestas manifestadas por los
candidatos se han de clasificar en categorías relevantes y significativas, como por
ejemplo: competencias, aptitudes, habilidades, conocimientos...
• Utilización de técnicas específicas: todas las herramientas han de ser diseñadas
especialmente para obtener información acerca de las competencias, previamente
determinadas en la primera fase.
• Uso de múltiples técnicas de evaluación: éstas pueden ser tests, entrevistas,
cuestionarios... que han de permitir amplia información sobre comportamientos
relevantes en relación a las competencias seleccionadas.
• Simulaciones: comprende ejercicios vinculados con el puesto a desempeñar. Así,
los evaluadores podrán registrar cada comportamiento en relación a cada
competencia.
• Evaluadores, observadores, técnicos: se han de usar varios consultores para
evaluar a cada participante. Éstos han de poseer las competencias necesarias
(capacidad de observación, de registro, de clasificación...).
• Recolección y registro de datos: los observadores han de registrar los
comportamientos mientras observan, y redactar informes durante cada ejercicio.
• Integración de los datos: tras el análisis y discusión de la información suministrada,
pasa a integrarse en determinados documentos tras haber llegado a un consenso.
45 NBS Norman Broadbent, S.A
96
Capítulo V: Modelo
En los capítulos anteriores se ha tratado la problemática generada en la seguridad de la
información, y se ha hecho énfasis especialmente en uno: la fuga de información. Cuando se
habla de “fuga de información”, la solución más natural para contrarrestarla es empleando el
concepto de “cultura de seguridad”. No obstante, se hace muy poco para lograrla y en muchas
ocasiones se ha dicho que la creación de un programa de concientización sobre la importancia de
la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el
eslabón más débil de la cadena, que es el usuario final.
Así, un plan de cultura organizacional dirigido a la seguridad de la información debe ser completo,
esto es, que incluya políticas sobre aspectos de seguridad, reuniones con grupos objetivo, una
metodología adecuada, y sobre todo, estar apoyada por la alta dirección.
5.1 Objetivos del Modelo
El objetivo principal del modelo es apoyar en la minimización de la creciente fuga de información
en las organizaciones:
• Apoyando a identificar las principales vías de fuga de información en la organización que
se implante, así como la identificación de las motivaciones del factor humano a explotar
dichas vías.
• Planteando un programa general de comunicación entre los miembros de la organización,
para que el personal en general comprenda que la seguridad de la información es
responsabilidad de todos, no sólo del departamento de TI.
• Proponiendo mecanismos permanentes de difusión, concientización y educación que
fortalezcan la prevención de fuga de información y evitar el uso de acciones correctivas en
la organización ante la fuga de información.
• Proponiendo mecanismos de medición de la efectividad de los programas y llevar a cabo
seguimiento y monitoreo de los resultados obtenidos.
97
5.2 Descripción del Modelo
Cuando se da vida al programa de concientización, se tiene que entender que este escenario es
dinámico y por lo tanto está en construcción permanente, lo que significa que sus definiciones y
documentos debemos usarlas todos los días, pues no se trata de elaborar un texto para archivarlo
y dejarlo llenar de polvo en un escritorio de la organización. Adicionalmente, se hace necesaria la
creación de indicadores que nos permitan medir (lo que no se mide, no se puede mejorar) la
eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y
mejoras necesarios que lleven al funcionamiento óptimo del programa.
Muy seguramente en el camino nos encontraremos con algunos obstáculos que hay que sortear y
que son de carácter general en cualquier organización que quiera implementar este (y cualquier
otro) modelo de concientización para la seguridad. Algunos de los obstáculos pueden ser:
• No reconocer que la seguridad es tarea de todos
• La llegada de una nueva tecnología
• La falta de seguimiento adecuado al programa
• No recibir apoyo de la alta dirección
• Empleados reacios a cambiar paradigmas
Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qué
clase de metodología se necesita en la organización que se quiera implantar el modelo.
Generalmente las metodologías utilizadas constan de cinco grandes pasos: análisis, diseño,
desarrollo, implementación y una evaluación y mantenimiento. También por supuesto, se hace
necesario que las campañas de culturización sean de forma completa y no simplemente con
carteles que vemos pegados en paredes de la organización, pues por sí solos no consiguen nada.
Es interesante comprender que por muy robustos sistemas de seguridad que se posean, es inútil
si el usuario no forma parte del programa de cultura de seguridad y si no se desarrolla una métrica
para evaluar el avance del mismo, que permita precisar si realmente se está cumpliendo o no con
los objetivos del programa. Visto desde este enfoque el modelo propuesto en este trabajo puede
verse reflejado en la Figura 20 “Modelo de concientización para la prevención de fuga de
información”:
98
Figura 20. Modelo de concientización para la prevención de fuga de información. Fuente: Personal.
Como se observa en la figura el modelo consta de 5 sencillos pasos, que se sustentan en una
metodología general para efectuar casi cualquier proceso, sin embargo, las particularidades serán
expuestas a continuación.
5.2.1 Conoce al enemigo y conócete a ti mismo
De todas las piezas que componen el rompecabezas de la seguridad, destacaríamos una como el
pilar central de todo el conjunto: el análisis de riesgos, en este caso ya tenemos definido el riesgo
que analizaremos: la fuga de información. Basándose en el Capítulo II (2.3 Vulnerabilidades,
Amenazas y Riesgos de la Información), es importante conocer los puntos débiles o vulnerables
que pueden ser explotados para materializar la fuga de información, proporcionará a todo el
99
programa de concientización la fortaleza necesaria para que el impacto en la organización sea
notorio.
5.2.1.1 Conocer el estado actual de la organización en fuga de información
Para poder aplicar cualquier programa de concientización, es necesario conocer el estado actual
de la organización para así poder hacer un diagnóstico inicial y por supuesto correcto.
Para ello, es necesario tomar en cuenta por qué se está implementando, ¿Estamos previniendo la
fuga de información o ya nos enfrentamos a un problema de fuga de información?
En ambos casos, es conveniente que el programa de concientización sea dirigido a aquellas
áreas que manejan y hacen uso de la información que no queremos que salga de la organización,
para esto es importante conocer la clasificación y determinar en qué rubro se encuentra la
información que maneja la organización, en el tema 2.1.4, se definen los tipos de clasificación de
información recomendados para su identificación. Esta información, puede ser de clientes,
empleados, estados financieros, información que si es exhibida a personas que no deben, puede
causar un daño a la reputación organizacional o pérdidas financieras. Un vez que se ha ubicado a
quiénes se dirigirá el programa de concientización, hay que determinar ¿Cómo? y si se puede
¿Por qué? hubo la fuga de información, para así detectar que sistemas de seguridad de
información se requieren o no han funcionado correctamente para así en un futuro atacar esos
puntos débiles.
El “cómo” hacer esta valoración del estado de la organización, puede llevarse a cabo
respondiendo a las siguientes preguntas:
• ¿Qué información se quiere proteger?
• ¿Cuál es el valor de dicha información para la organización?
• ¿Cómo se pueden producir incidentes de fuga de dicha información?
• ¿Cuál es el alcance de la exposición potencial para dicha información?
• ¿Qué se está haciendo actualmente para reducir la probabilidad o el alcance del daño en
la dicha información?
• ¿Cuáles son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
Para un profesional de seguridad de información o de TI, las respuestas anteriores se traducen en
terminología y categorías específicas que pueden emplearse para asignar prioridades. No
obstante, es posible que para el personal en general dichos términos y categorías, no le resulten
100
familiares, y por tanto se muestre incapaz de asignar prioridades, por este motivo, es
recomendable evitar terminología de seguridad de información, como amenazas, vulnerabilidades
y contramedidas, para mejorar la calidad de la valoración, permitiendo así que los participantes sin
conocimientos “técnicos” no se sientan intimidados, y por tanto se muestren más abiertos y
participativos. En caso de que sea inevitable el uso de terminología, se debe continuar con la
valoración, y esperar al final de la misma para resolver dudas acerca de las definiciones y
terminología.
Un punto importante a considerar, es que esta valoración debe efectuarse de manera continua y
periódica, además puede llevarse a cabo independientemente del proceso que se encuentre en
ejecución del presente modelo, ya que puede proporcionar información de base para acciones
más ambiciosas en el ámbito de la seguridad organizacional.
Debemos hacer conciencia sobre lo que pueda pasar antes de que llegue a ocurrir porque
entonces, probablemente, ya sea demasiado tarde.
5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de
información
Con base en las definiciones los tópicos 2.4 y 2.5 del presente trabajo, es necesario evaluar que
conocimientos tiene el personal sobre la fuga de información, para así poder localizar quienes son
más susceptibles a extraer información intencionalmente o quienes son lo suficientemente
“ingenuos” para permitir que se extraiga información sin que se den cuenta de ello. También nos
podemos basar en las estadísticas recolectadas en el Capítulo III, donde se resalta que el
comportamiento humano es un problema de seguridad de la información, en donde una grave
consecuencia es: la fuga de información.
En este punto cabe destacar la importancia de verificar si el personal conoce las medidas de
seguridad y/o políticas de la organización.
Esta valoración puede enfocarse a la fuga de información en general, pero sobre todo, debe
enfocarse en aquellos puntos débiles encontrados con anterioridad, debido a que estos son áreas
de oportunidad que podemos corregir y mejorar.
Estás evaluaciones deben manejarse con mucho tacto, ya que el personal puede sentirse
intimidado al ser evaluado sobre estos temas, en todo momento se debe hacer partícipe al
personal en las actividades de concientización, ya que al final del día: la seguridad es una tarea de
todos.
101
Un punto importante, es la honestidad y la apertura auto - crítica, ya que los resultados de la
evaluación del estado de la organización, así como la del personal, pueden ser poco alentadores,
sin embargo, arrojan luz donde existía obscuridad y la organización se negaba a ver, es un buen
momento de efectuar un cambio en la cultura organizacional, ya que los resultados de estas
valoraciones son los insumos para los futuros pasos de este modelo, y sin bases firmes, corremos
el riesgo de que todo se venga abajo.
5.2.2 Comerse el pastel por rebanadas / divide y vencerás
Sin duda alguna, las valoraciones anteriores nos arrojaron interesantes áreas de oportunidad, pero
estás pueden ser demasiado vastas como para atacarlas todas en una sola oportunidad, por esto
es necesario delimitar el campo de acción que se ejercerá en cada punto débil encontrado.
5.2.2.1 Visualizando el camino
Antes de iniciar el desarrollo de cualquier programa de concientización, es importante que la
organización esté consciente de la problemática actual por falta de la misma, como se menciona
en el Capítulo III, para así establecer un objetivo, el cual puede ser tan simple como “todos los
empleados deben entender sus responsabilidades en la seguridad de la información”, o algo tan
robusto como “desarrollar en todos los empleados conciencia sobre las amenazas que enfrenta la
organización en fuga de información y motivarlos a desarrollar los hábitos necesarios para
contrarrestar dichas amenazas y proteger la información”.
Cuando se establezca este objetivo se debe tener muy claro que el alcance del mismo sea realista
y ambicioso a la vez, porque pudiera resultar muy frustrante no alcanzarlo, pero podría ser muy
conformista no “arriesgar”.
Las valoraciones efectuadas con anterioridad pueden resultar un faro en la oscuridad, mostrando
los problemas más importantes que hay que atacar, e incluso descartando aquellos que no
requieren de un plan de concientización para ser resueltos. Así, se puede tomar de la lista de
áreas de oportunidad los puntos que conformaran el programa de concientización, y se puede
definir un objetivo que resulte satisfactorio, tanto para la alta dirección como para los empleados,
debido a que será más tangible el logro del mismo, y se verá reflejado en la motivación del
personal para continuar con más programas de concientización. Se deben tomar las cosas con
calma, puesto que todos los puntos débiles serán atacados, ya que el modelo propuesto está
considerado para ser cíclico, y ser llevado mediante mejora continua.
102
5.2.2.2 Definición de grupos de audiencias
Las personas son punto clave en cualquier proceso del negocio, y la seguridad de la información
es parte del mismo proceso. Por tal motivo, los programas concientización deben ser
implementados para que todo aquel ente que esté relacionado con la información entienda qué es
la seguridad de la información: porqué es importante cumplir con todos los procesos, asegurarse
de que la tecnología es aplicada de acuerdo a estándares, y que todos los procesos y
procedimientos deben ser seguidos al pie de la letra.
Como parte del modelo de concientización, la organización debe asegurarse que el personal
interno, clientes, proveedores y todo aquel ente que esté relacionado con la organización reciban
los lineamientos correspondientes a la seguridad de la información de la organización, así como la
capacitación necesaria en seguridad de la información para su puesto y funciones. Así mismo, se
debe asegurar que las personas involucradas puedan reconocer incidentes de seguridad, como
debe reportarlos y responder ante estos.
Sin embargo, hacer llegar el mensaje a tantas personas puede resultar una labor titánica, es por
eso que es importante dividir el problema, e informar mediante grupos de audiencia, debido a que
no todos necesitan saber lo mismo ni tampoco todos están expuestos a las mismas amenazas.
El nivel y tipo de contenido dependen de las necesidades de la organización. Esencialmente, a los
empleados, se les debe informar sobre lo que necesitan proteger, cómo lo deberían proteger, y
qué tan importante es. Así el mensaje se distribuirá de manera personalizada, y se podrá obtener
un mejor resultado. Una forma sencilla de determinar los grupos de audiencias puede ser
respondiendo las siguientes preguntas:
• ¿A quién pretende alcanzar el programa de concientización?
• ¿Las necesidades de son iguales para todos, o cada uno necesita saber cosas diferentes?
, en caso de necesitar saber cosas diferentes, ¿necesitan saber cosas radicalmente
diferentes?
• ¿El conocimiento de todos es igual, o están a distintos niveles?
• ¿Qué formas de comunicación se pueden usar para entregar el mensaje de
concientización a todos los involucrados?
• ¿Cómo es percibida la cultura de seguridad de la información por los involucrados?
• ¿Tienen conocimientos de políticas, procedimientos, mejores prácticas de seguridad de la
información?, de ser así, ¿Qué tan actualizados están?
103
Además de indicarles su roles, responsabilidades y funciones, es necesario hacerles saber las
diferentes formas en que se puede dar la fuga de información, los cuales se mencionan en el
punto 2.4.2 del presente trabajo.
Un punto importante a destacar, también son las consecuencias a las que exponen a la
organización, como a ellos mismos, estás consecuencias pueden delimitarse de la siguiente
forma:
• Legales: Pueden ser aquellas en las que se incumple directamente alguna de las
cláusulas establecidas en algún contrato, entre la empresa y el personal, o bien con los
clientes. Del mismo modo se tienen las consecuencias legales establecidas por la
legislación de cada país y/o sector, en el caso de México se establecen en el Código
Penal, las cuales se pueden observar en el punto 4.2.2.
• Administrativas: Se tienen aquellas por las que se ve afectada directamente la empresa,
por ejemplo: falta de credibilidad y bajo prestigio.
• Operacionales: Son aquellas en las cuales la empresa tiene que reestructurarse en caso
de tener que hacer algún cambio de personal que ha incurrido en una falta.
5.2.3 De la vista nace el amor / manos a la obra
Hay que tener en cuenta que el éxito de un programa de concientización depende de la capacidad
para alcanzar una gran audiencia a través de varios materiales y técnicas de difusión atractivos y
llamativos.
El programa de concientización debe sensibilizar al personal sobre las amenazas y
vulnerabilidades a las cuales se expone la información, así mismo debe recordarles la necesidad
de proteger la información que ellos mismos crean, procesan, transmiten y almacenan. Ya que
básicamente el objetivo del programa es “la conciencia de seguridad” en todo el personal.
5.2.3.1 Elaboración de materiales de apoyo
Los métodos y opciones disponibles para hacer llegar a los empleados la información sobre
concientización en seguridad de la información son muy similares a aquellos que se usan para
hacer llegar otro tipo de información organizacional. Sin embargo, también es necesario tomarse
tiempo para romper tradicionalismos y salirse del cuadro, es decir, será tiempo de “innovar”.
104
Hay que pensar métodos y materiales positivos, divertidos, interesantes y motivantes que le den al
personal el mensaje y los entusiasme a llevar a cabo buenas prácticas de seguridad de la
información. Algunos ejemplos de estos materiales pueden ser:
• Posters
• Carteles con slogans motivantes y contagiosos
• Videos
• Capacitación
• Medios electrónicos, como CD-ROM, correo electrónico o intranet
• Trípticos
• Plumas, lápices, llaveros con slogans motivantes
• Etiquetas adhesivas para puertas y tableros de anuncios
• Dibujos animados, publicados mensualmente o trimestralmente en el boletín interno de la
organización o del área
• Boletines especiales de estos tópicos (las alertas de seguridad)
• Correo electrónico mensual con los avisos relacionados a la seguridad
• Anuncios o mensajes de entrada en los sistemas
5.2.3.2 Impartición de concientización en fuga de información
Después de haber evaluado a situación de la organización, establecido una estrategia y preparado
los materiales de apoyo, es momento de llevar a cabo la impartición de la concientización.
En primera instancia el plan de concientización debe ser comunicado y completamente explicado a
las entidades a las que va dirigido, para asegurar su apoyo. Esta comunicación debe incluir las
expectativas de dicho programa, así como los beneficios que traería el logro del objetivo del
105
mismo. Es importante que todos entiendan sus roles y responsabilidades dentro del programa de
concientización.
Algunas claves para lograr una comunicación efectiva del mensaje de seguridad son las
siguientes:
• Abarcar las más amplia audiencia posible
• No hay que ser alarmistas o sobre exagerar los puntos negativos
• Emplear situaciones y experiencias de la audiencia a las cuales se dirige el mensaje
• El mensaje, los canales y el emisor del mensaje deben tener autoridad y credibilidad
• Debe de emplearse más de un canal de comunicación para atrapar la mayor atención
posible
• Los medios deben ser flexibles y adaptables, debido a que factores externos pueden
alterar el escenario
• Asegurar los elementos de una comunicación básica
o Qué expectativas se tienen de la audiencia
o Porqué la audiencia debe participar en el programa de concientización y cuáles
son los beneficios
o Cuando es que los receptores deben tomar acciones
o Cómo es que las acciones indicadas afectan sus responsabilidades y desempeño
o Quienes son los responsables de dicho programa
o A quién contactar para más información
Para llevar a cabo una comunicación efectiva del mensaje es recomendable llevar a cabo un plan
de comunicación en el cual se incluya:
106
• Grupo audiencia: Quién recibirá el mensaje
• Necesidades de la audiencia: Las necesidades de comunicación de la audiencia
• Mensaje: El contenido de la comunicación
• Canal: El medio por el cual el mensaje será transmitido
• Responsable: Quién efectuará el comunicado
• Objetivos: Que se espera lograr a través del comunicado
• Tiempo/Frecuencia: Cuando será efectuado el comunicado
• Retroalimentación: Que medios se utilizarán para recibir respuesta, retroalimentación
El programa de difusión y concientización debe permanecer actualizado. Si las políticas cambian,
las personas deben ser notificadas. Será necesario y de gran ayuda configurar medidas técnicas
para la entrega inmediata de información.
Finalmente, el programa de difusión y concientización debe ser simple. Para la mayoría de las
organizaciones, este programa no debe ser necesariamente caro, complicado o excesivamente
técnico en su entrega. Se debe hacer sencillo para que el personal que reciba la información lo
entienda rápidamente. Este programa debe:
• Ser soportado y liderado por el ejemplo de los jefes
• Simple y sencillo
• Positivo y motivante
• Un esfuerzo continúo
• Repetir los mensajes más importantes
• Entretenido
107
• Hacer slogans fáciles de recordar
• Decir al personal que son las amenazas y sus responsabilidades en la protección de la
información
Tal como en un programa dirigido a todo el personal, el programa de concientización debe ser
soportado por los altos mandos, esto debe incluir costos, materiales, horarios, etc.
Se debe tener en cuenta que algunos empleados mostrarán resistencia pacífica, creando una
atmósfera negativa, ignorando los procedimientos y violando las políticas de seguridad. También
habrá resistencia activa, en la cual los empleados a propósito se negarán a seguir las protecciones
de seguridad y discutirán sobre las políticas. Aunque habrá resistencia, la mayoría del personal
quiere hacer bien su trabajo, hacer lo correcto y seguir las reglas. No se debe permitir que los que
van en contra afecten los esfuerzos de seguridad.
Otro factor crucial de éxito en un programa de concientización, es recordar que nunca termina, el
programa de concientización debe repetir este mensaje. Si el mensaje tiene mucha importancia,
entonces, debería ser repetido más a menudo, y de una forma diferente cada vez. Debido a que la
concientización de la seguridad debe ser una actividad continua, requiere creatividad y entusiasmo
para mantener el interés de todos los miembros de la audiencia. Los materiales de concientización
deben ser creados en una atmósfera en la que la seguridad de la información no solo es
importante para la organización, sino para cada empleado. Debe encender el interés en el
seguimiento de las políticas, procedimientos, reglas y buenas prácticas de seguridad de la
información.
Como apoyo a la concientización en la prevención de fuga de información, es importante
considerar también la tecnología existente aplicada en la concientización y fuga de información. En
el tema 4.5, se citan algunas de las principales tecnologías para prevenir la fuga de información.
5.2.4 Encontrando el eslabón más débil
Todos los programas organizacionales, incluido el de concientización debe ser revisado y
evaluado periódicamente. No siempre es necesario aplicar exámenes o evaluaciones en forma,
debe ser suficiente con revisar y monitorear informalmente cuales actitudes o comportamientos
han cambiado. La evaluación y retroalimentación son mecanismos críticos del programa de
concientización, ya que la mejora continua no puede darse sin una autentica valoración de cómo
ha funcionado dicho programa.
108
5.2.4.1 Evaluación de resultados de concientización en fuga de información
Algunas veces las evaluaciones pueden enfocarse en puntos erróneos, por ello es importante
medir la efectividad de la implementación del programa de concientización. A continuación se
enlistan algunas opciones a considerar:
• Distribuir encuestas o cuestionarios buscando la contribución de los empleados.
• Preguntar en momentos laborales comunes acerca del programa de difusión y
concientización.
• Llevar registro de los números y tipos de incidentes de seguridad ocurridos antes y
después del programa.
• Revisar los lugares de trabajo.
• Monitorear quien ha recibido el mensaje, de lo contrario reenviarlo.
• Realizar hackeo ético periódicamente.
Se debe tener en cuenta que el proceso de evaluación debe reflejar y responder si los objetivos y
metas planteados inicialmente, fueron alcanzados.
5.2.4.2 Autoevaluación de resultados de concientización en fuga de información
Una estrategia de retroalimentación puede ser un componente muy útil en un programa de
concientización, ya que ayudaría a rediseñar y actualizar dicho programa. Entre los métodos de
retroalimentación que se podrían emplear destacaríamos:
• Cuestionarios
• Grupos foco
• Entrevistas selectivas
• Observación y análisis
109
• Reportes de estatus
• Benchmarking externo de seguridad de la información
5.2.5 Redefiniendo el curso
La efectividad de los programas de concientización, así como la capacidad de mejorar la
seguridad de la información, puede medirse. La necesidad de concientizar es ampliamente
reconocida, pero no muchas organizaciones se atreven a cuantificar el valor de los programas de
concientización. La evaluación es esencial para entender su efectividad, así como para obtener
información que guíe las iniciativas de mejora, sin embargo, las métricas de valoración no pueden
aplicarse igual para todas las organizaciones, debido a que las situaciones y necesidades difieren
enormemente.
5.2.5.1 Análisis de resultados de evaluación
Ya que se ha implementado, evaluado y puesto en práctica el modelo de concientización, es
necesario llevar a cabo el análisis de la información obtenida, para determinar sí se cumplió con
los objetivos establecidos. Esta evaluación puede darse en los siguientes niveles, y con algunos
indicadores propuestos:
• De negocio. Midiendo el impacto de las funciones de manera completa en los objetivos de
negocio. Por ejemplo: satisfacción del cliente, satisfacción de los colaboradores, medidas
financieras.
• De servicio. Midiendo las actividades y resultados del servicio. Por ejemplo: cumplimiento
de los acuerdos de niveles de servicio y operación.
• De operación. Midiendo los procesos y técnicas necesarias para el funcionamiento de la
organización. Por ejemplo: mediciones de errores reportados y tiempo de respuesta a
procedimientos.
Cada factor, lo deberá determinar cada organización dependiendo su alcance, necesidades y
recursos con los que cuenten.
110
5.2.5.2 Reestructuración / mejora continua
Es necesario que el modelo sea cíclico y no de una sola vez. Para esto, se debe evaluar y ajustar
eventualmente cualquier actividad relacionada al modelo, teniendo como meta incrementar la
calidad del modelo, y en consecuencia, los beneficios que este pueda traer a la organización.
Siendo necesario demostrar la efectividad medida del modelo, la cual se debe enfocar en la
medida del progreso sobre los resultados deseados y en caso de que este no esté funcionando,
enfocar los esfuerzos en la mejora y reestructura de las áreas de oportunidad.
Será necesario asegurar que el programa, esté estructurado, y se actualice de acuerdo a los
cambios emergentes en el ambiente de seguridad de la información. La concientización necesita
nuevas habilidades y capacidades para responder a las más recientes amenazas. Un cambio en la
misión y/u objetivos de la organización puede proporcionar ideas relacionado con mejores formas
de diseñar la estrategia del programa de concientización. El surgimiento de nuevos incidentes de
seguridad, también debe impactar la naturaleza y extender las actividades de concientización
necesarias y mantener a los colaboradores informados acerca de los últimos puntos débiles así
como de sus contramedidas. Las nuevas leyes, estatutos ó reglamentación también deben
impactar el desarrollo ó implementación de este programa de concientización, así como cualquier
cambio organizacional.
El modelo enfoca su atención en crear un nivel de excelencia y concientización plena que penetre
al 100% en la organización. Los procedimientos de concientización deben estar integrados con la
estrategia del negocio, siempre teniendo en cuenta que el éxito de la organización debe enfocarse
en la protección de la información. Un programa maduro de concientización debe garantizar esta
excelencia, proporcionado una ventaja competitiva y denotando beneficios tanto en el clima laboral
como en el ámbito del negocio.
El objetivo de la concientización es asegurar que los colaboradores reconozcan los problemas de
seguridad que se presentan día a día, y como proteger la información y a ellos mismos en sus
funciones diarias. Sin embargo, el objetivo primordial de la concientización involucra un esfuerzo
conjunto para asegurar que cada colaborador tiene un entendimiento de sus roles y
responsabilidades en la protección de los recursos de información de la organización. Tales
esfuerzos de concientización tienen un alcance más amplio que sólo los recursos de TI, ya que
debe involucrar proteger otro tipo de información sensible: la que poseen las personas, así como
las instalaciones. Debido a que el enfoque de la concientización debe girar alrededor de las
personas, un cambio de cultura organizacional es necesario para asegurar verdaderamente que
los colaboradores entienden sus responsabilidades y las toman con seriedad.
111
5.3 Conclusiones del modelo
Este modelo nos ayuda a proponer pautas para llevar a cabo un programa de concientización que
apoye en la minimización de la fuga de información, identificando las principales causas de fuga
de información y lo que motiva factor humano en hacerlo y consecuencias del mismo.
Este modelo es cíclico, por lo que su rumbo debe ser encaminado a la mejora continua, lo que da
como resultado, un modelo y un programa de calidad, el cual se acople a las necesidades de la
organización y a la rotación y cambio de las políticas y procedimientos que afecten a los
colaboradores.
Es importante considerar que el programa de concientización debe de ser divertido y sencillo para
el entendimiento de los usuarios, a ciencia cierta ellos serán los usuarios finales del mismo,
quienes ayudarán a validar la efectividad del mismo. Independiente de las reglas o pautas
específicas del modelo, ellos son quienes le dan peso al modelo. Y es necesario hacerles, las
consecuencias del mal uso de la información, desde recesión de contrato, hasta pérdidas
financieras y daños de reputación irreparables, o que da como consecuencia final, la
desconfianza de los clientes, quienes son los principales proveedores de las organizaciones.
El ver las gráficas anteriores, se demuestra la importancia de la existencia de un modelo que nos
dé la pauta para salvaguardar el activo más importante para las organizaciones: la información. Y
no solo tener el enfoque de que la seguridad es cuestión del área de tecnología, si no enfocar un
mayor peso al factor humano, ya que ellos son quienes controlan, manejan, distribuyen, procesan
y resguardan la información.
A pesar de lo anterior, se deja abierto, el profundizar en un programa general de comunicación
entre los miembros de la organización, así como la elaboración de mecanismos de medición de la
efectividad de los programas, así como el llevar a cabo un seguimiento y monitoreo de los
resultados obtenidos.
112
Capítulo VI: Caso Práctico
En el capítulo V hemos visto en qué consiste el modelo de concientización en la prevención de la
fuga de información y la descripción de cada una de sus fases, sin embargo no basta una
investigación teórica. Es necesario llevar el modelo a la práctica para demostrar su funcionamiento
y relevancia.
Para esto se consideró una organización pública debido a que son más vulnerables a ataques con
motivo al tipo de información que manejan y a que no se le da el resguardo ideal. Además de que
en la actualidad están instituciones desean innovarse, obtener certificaciones y aumentar su
prestigio.
A lo largo de este capítulo se describirá el desarrollo de cada fase que compone al modelo de
concientización en la prevención de la fuga de información pero aplicado a una organización
pública.
6.1 Conocimiento de la Empresa
La propuesta será aplicada en el Centro de Estudios Tecnológicos Industrial y de Servicios
(CETIS) No. 54 ubicado en Avenida 412 esquina con avenida 608 colonia San Juan de Aragón,
delegación Gustavo A. Madero, México, Distrito Federal. El área específica será la de control
escolar.
Control escolar es un departamento en donde se encuentra contenida toda la información de la
población estudiantil como son los historiales, documentos personales Como organización pública
es necesario hacerlos conscientes de que para mantener la seguridad de su información no basta
con la seguridad clásica, es necesario un programa de concientización del personal para que los
datos almacenados no se divulguen fuera del plantel.
6.1.1 Misión
Formar personas con conocimientos tecnológicos en las áreas industrial, comercial y de servicios,
a través de la preparación de bachilleres y profesionales técnicos, con el fin de contribuir al
desarrollo sustentable del país.
6.1.2 Visión
Ser una institución de educación media superior certificada, orientada al aprendizaje y desarrollo
de conocimientos tecnológicos y humanísticos.
113
6.1.3 Organigrama
6.2 Aplicación del Modelo
Se implementará el modelo de concientización dentro de las oficinas de Control Escolar del turno
vespertino, realizando un análisis de dicha área que consiste en verificar la existencia de medidas
y políticas de seguridad de la información. Con el objetivo de prevenir una fuga de información por
parte del personal que ahí labora o en casos extremos, personas maliciosas que busquen un
beneficio de la divulgación de información procedente de la población estudiantil.
Como organización pública es necesario hacerlos conscientes de que para mantener la seguridad
de su información no basta con la seguridad clásica, es necesario un programa de concientización
del personal para prevenir que los datos almacenados no se divulguen fuera del plantel y evitar
poner en riesgo la reputación de la Institución Educativa (CETiS No. 54).
114
6.2.1 Análisis – Conoce al enemigo y conócete a ti mismo
Tenemos bien definido que debemos prevenir que la información de los alumnos salga del plantel,
por lo que la concientización debe ser dirigida a las secretarias y jefes de control escolar. Para
llegar a esta conclusión fue necesario realizar una valoración de la seguridad con que se
resguardan los datos y con qué grado de conciencia cuenta el personal respecto al tema de
seguridad de información, tanto en lo que se refiere a la ética de no divulgación como a la
legislación existente, mejores prácticas aplicables y que medidas de seguridad emplean. Lo
anterior se obtuvo por medio de entrevistas con el personal y encargados, la observación de
procesos como: entrega de calificaciones e inscripciones, así como la verificación de la seguridad
de los equipos. Con el objetivo de conocer el área, la existencia de restricciones de acceso al
sistema y por supuesto abrir un canal de comunicación con el personal, ganarse su confianza,
para obtener respuestas honestas que hagan que el modelo arroje los resultados esperados.
Como parte de las entrevistas con las secretarias de control escolar se aplicó un breve
cuestionario que se presenta a continuación:
CUESTIONARIO
Fecha: Entrevistado por:
Nombre y Cargo:
El siguiente cuestionario tiene un objetivo informativo, los datos proporcionados son
confidenciales, por lo que no hay lugar a represalias por los mismos.
1.- ¿Existe algún código ó políticas de no divulgación de la información que maneja?
SI NO
En caso de ser la respuesta afirmativa pase a la pregunta 2, de lo contrario pase a la pregunta 4
2.- ¿Conoce usted a detalle el código o políticas de no divulgación de la información que maneja?
SI NO
3.- ¿Se le recuerda constantemente este código o políticas de no divulgación?
SI ¿Cada cuánto tiempo?________________________________________ NO
115
4.- ¿Considera usted que la fuga de información podría conllevar consecuencias graves?
SI NO
En caso de ser la respuesta afirmativa pase a la pregunta 5, de lo contrario pase a la pregunta 6
5.- ¿Qué consecuencias considera usted que conlleva la fuga de información?
a) Legales
b) Administrativas
c) Operacionales (al perder la información o al caer en manos de terceros, la operación se
vería afectada)
d) Todas las anteriores
e) Otras____________________________________________________________________
________________________________________________________________________
6.- ¿Qué tipo de información considera usted que es manejada?
a) Restringida (Que solo un grupo reducido de personas tiene acceso a ella)
b) Altamente confidencial (Información de uso exclusivo de solo un área)
c) Confidencial (Información personal, ya sea del personal docente o alumnado)
d) Interna (Información que no debe salir de la escuela)
e) Pública (Información que puede verse tanto dentro y fuera de la escuela)
f)
Otra________________________________________________________________________
___________________________________________________________________________
_
7.- ¿Qué efecto tendría a su criterio el que la información que maneja caiga en manos ajenas?
_______________________________________________________________________________
_______________________________________________________________________________
Fecha: Entrevistado por:
Nombre y Cargo:
116
8.- ¿Qué mecanismos conoce usted que estén implementados para el resguardo y seguridad de la
información?
_______________________________________________________________________________
_______________________________________________________________________________
9.- ¿Qué otros mecanismos propondría para el resguardo de la información?
_______________________________________________________________________________
_______________________________________________________________________________
10.- En caso de que la información que usted maneja caiga en otras manos, ¿En manos de
quienes considera usted que correría más riesgo?
a) Personas externas a control escolar
b) Personas internas a control escolar
11.- ¿Alguna vez ha logrado acceder a alguna aplicación o módulo de la misma de tal modo que
“no supo cómo lo hizo pero logro entrar?
Si No
12.- En caso de ser afirmativa la pregunta anterior, ¿Pudo haber sustraído algún tipo de
información?
Si No
13.- En caso de ser afirmativa la pregunta anterior, ¿Qué medidas de seguridad sugeriría para que
no se presentara dicha situación nuevamente?
_______________________________________________________________________________
_______________________________________________________________________________
Fecha: Entrevistado por:
Nombre y Cargo:
117
6.2.2 Diseño – Comerse el pastel por rebanadas/ divide y vencerás
El objetivo particular de este modelo es “motivar a todos los empleados para que refuercen los
hábitos y valores necesarios para proteger la información en beneficio de la institución”.
Debido al poco personal que integra las oficinas de control escolar se trabajará con dos grupos de
audiencia. El primero integrado por las secretarias y el segundo por los jefes de control escolar.
El plantel cuenta con un código de ética proveniente de la DGTI, el cual está integrado por 10
lineamientos, de los cuáles sólo los siguientes hacen referencia a la concientización:
• Con acciones y palabras honestas y dignas de credibilidad propiciar, el beneficio de la
institución.
• No usar el cargo en la institución para ganancia personal.
• Actuar siempre en forma imparcial y en estricta observancia de la norma
El código y las políticas de no divulgación se le da a conocer al personal cuando ingresan a
laborar en dicho plantel; la falta de recordatorios o la exposición visual de este código hace que los
empleados tengan el conocimiento de que existe el código pero no de su contenido. A excepción
de la jefa de control escolar Lic. Patricia E. Márquez. En lo que se refiere a legislación y mejores
prácticas, es necesario plantearles todo lo que existe actualmente y en lo referente a mejores
prácticas mostrarles cuáles existen y que puntos deben cubrir para que sean certificados.
Darles una guía de las contingencias que pueden surgir y cómo reaccionar en caso del
surgimiento de una, a quién dirigirse. Es importante que el personal del área en estudio este
consciente de las responsabilidades y funciones respecto a seguridad de la información que debe
seguir de acuerdo al puesto que desempeña y que los estándares aplicados se sigan al pie de la
letra para lograr la mejora continua de la calidad de los servicios que proporcionan.
6.2.3 Desarrollo/ Implementación – De la vista nace el amor/ manos a la obra
Dar una plática a las secretarias sobre las leyes y penas que existen actualmente y hacerles
sugerencias respecto a cómo evitar que la información salga del plantel. A continuación la
presentación sobre la legislación existente:
118
119
120
121
122
Publicar en la oficina el código de ética, agregando más puntos, para que el personal no lo olvide.
123
Colocar posters con slogans que inviten a las personas a mantener la información segura.
A todos los usuarios
No copies la información a
unidades como usb’s, cd’s y
diskettes. Si te descuidas estos
podrían caer en manos de
terceros.
No abras correos de
remitentes desconocidos o
con asuntos poco
confiables podría ser un
¡VIRUS!
124
¿Hora de ir a casa? ¡Un momento! ¿Ya apagaste tu equipo?
Cuidado cuando te alejes de tu equipo, bloquéalo para que nadie más tenga acceso mientras
no estas
125
6.3 Resultados del Modelo
Como se describía en el capítulo anterior el modelo consta de cinco fases ( análisis, diseño,
desarrollo, evaluación y mantenimiento). A continuación se presentarán los resultados de los
cuestionarios aplicados en la fase de análisis, que nos permitieron armar la base de la información
que era necesaria dar a conocer y en qué tipo de material de apoyo enfocarnos. También
presentaremos las últimas fases del modelo.
6.3.1 Evaluación – Encontrando el eslabón más débil
De acuerdo con los resultados de los cuestionarios se constató que la jefa de control escolar es
quién mayor conciencia situacional tiene sobre la importancia de la información que maneja, esto
va desde su conocimiento del código de ética y políticas de no divulgación, teniendo en cuenta
que la información manejada es confidencial, hasta un poco de las leyes que sancionan los delitos
informáticos. Por otro lado, las secretarias no conocen a detalle el código y políticas de no
divulgación, a tal grado de considerar que la información manejada es únicamente de carácter
interno, además de no estar conscientes de todas las consecuencias que conllevaría la fuga de
información, provocando la incapacidad de poder proponer otros mecanismos para el resguardo
de la información.
6.3.2 Mantenimiento – Redefiniendo el curso
Como se ha venido mencionando la efectividad de un modelo de concientización consiste en la
perseverancia, esto es el seguimiento que se le asigna al modelo .Los modelos de concientización
deben ser cíclicos.
En este caso se le sugiere a la jefa de control escolar que se aplique cada mes una evaluación de
los procesos que efectúan las secretarias para observar como realizan sus actividades y
percatarse de que puntos aún continúan afectando la seguridad de la información. Se sugiere
también hacer consultas periódicas a la población estudiantil para verificar si el servicio en control
escolar realmente presenta mejoras. No basta con hacer la inversión en posters o en la
disposición del personal al cambio de hábitos, si no se realiza una evaluación de que el personal
está realmente captando el mensaje.
Haciendo el análisis de los resultados de dicha evaluación se puede llegar a la reestructuración y
mejora del modelo para que este se siga actualizando y aplicando de acuerdo a las necesidades
que se tengan que cubrir para evitar la fuga de información en esta organización.
126
Conclusiones
La Seguridad de la Información es uno de las tareas más cruciales a la que nos enfrentamos
actualmente. Estamos en un ambiente dónde los recursos de información se ven amenazados por
una variedad de factores que simplemente no existían hace unos años y uno de ellos es la fuga de
información, que va en continuo aumento. Generalmente las organizaciones toman precauciones
técnicas para prevenir estas amenazas, de esta manera la organización debe enfatizar más el
trabajo diario, que las personas relacionadas con la organización efectúan en pro de la Seguridad
de la Información.
Enfatizando el objetivo de nuestro “Modelo de concientización en la prevención de la fuga de
información”, en el cual se proponen pautas necesarias para llevar a cabo un programa que se
acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información en
las organizaciones, y consideramos que este ha sido cubierto a lo largo del presente trabajo. Ya
que mediante un análisis sustentado por estudios elaborados por especialistas en el campo de la
seguridad de la información, se identificaron las principales vías de fuga de información y lo que
motiva al factor humano a explotarlas, así como las consecuencias de la fuga de información a
causa del factor humano.
De la misma manera mediante un estudio de las herramientas existentes, se dan a conocer:
tecnología, normatividad, estándares y mejores prácticas; que apoyan en la prevención de fuga de
información.
Se deja en pro de la mejora del presente modelo, profundizar en un programa general de
comunicación entre los miembros de la organización, para que los usuarios comprendan que la
seguridad de la información es responsabilidad de todos, no sólo del departamento de TI, y
proponer mecanismos de medición de la efectividad de los programas y llevar a cabo seguimiento
y monitoreo de los resultados obtenidos.
Un punto importante a enfatizar es que durante el desarrollo del presente trabajo, no se encontró
normatividad, ni legislación clara que promoviera esquemas de concientización para las
organizaciones, dejando una brecha significativa en la seguridad de la información. Es
preocupante debido a que viviendo en la era de la información, cualquier violación al derecho
primordial de la privacidad, debería ser penada, y sin embargo, no está gestionado ni sancionado
explícitamente el no tener mecanismos de prevención.
127
Bibliografía
Presentación del libro “Seguridad: una Introducción”. Dr MANUNTA, Giovanni. Consultor y
Profesor de Seguridad de Cranfield University. Revista Seguridad Corporativa.
TOFFLER, Alvin. La Tercera Ola. Editorial Sudamericana. España. 1998.
ALDEGANI, Gustavo. Miguel. Seguridad Informática. MP Ediciones. Argentina. 1997. Página 22.
CALVO, Rafael Fernández. Glosario Básico Inglés–Español para usuarios de Internet. 1994–2000.
ARDITA, Julio César. Director de Cybsec S.A. Security System y ex–Hacker. Entrevista personal
realizada el día 15 de enero de 2001 en instalaciones de Cybsec S.A.
HOWARD, John D. Thesis: An Analysis of security on the Internet 1989–1995. Carnegie Institute of
Technology. Carnegie Mellon University. 1995. EE.UU. Capítulo 6–Página 59.
Revista de Ingeniería Informática del CIIRM
Revista “The EDP audit control and security newsletter”
MAGERIT. Consejo Superior de Informática, Ministerio de Administraciones Públicas
ITGovernance Institute™, CObIT 3rd. Edition, Framework.
Del instituto nacional de estándares y tecnología (NIST)
• SP 800-12 Computer Security Handbook
• SP 800-14 Generally Accepted [Security] Principles & Pratices
• SP 800-18 Guide for Developing Security Plans
• SP 800-26 Security Self-Assessment Guide for Information Technologies Systems
• SP 800-30 Risk Management Guide for Information Technologies Systems
• SP 800-34 Contingency Plan Guide for Information Technologies Systems
128
RFC 1244 Site Security Handbook
Guía de implantación BS 7799-2:2002
http://www.aig.com
http://seguridad.internet2.ulsa.mx
http://www.seguridadcorporativa.org
http://www.ati.es/novatica/2000/145
http://www.cybsec.com
http://www.cert.org
http://www.wikipedia.org
http://www.pc-news.com
http://www.csi.map.es/csi/pg5m20.htm
http://csrc.nist.gov/publications/nistpubs/index.html
http://www.shellsec.net/articulo/iso-27001/
http://www.27001-online.com/
http://www.eeye.com/html/resources/whitepapers/index.html
http:// www.nexusasesores.com
http://www.microsoft.com/technet/security
129
Glosario
Ataque: Intento de traspasar un control de seguridad de un sistema.
Cifrar: Ver Criptografía.
Clave, Contraseña (Password): palabra o frase que permite acceder a un sistema, encriptar un
dato, determinar privilegios de usuarios, etc.
Clave Pública: En un Sistema Asimétrico de Cifrado es la clave que todos conocen para Cifrar o
descifrar un mensaje.
Clave Privada: En un Sistema Asimétrico de Cifrado es la clave que solo el emisor del mensaje
conocen para cifrar o descifrar un mensaje.
Cracker: Persona que quita la protección a programas con sistemas anti copia. Hacker maligno,
que se dedica a destruir información.
Criptografía: Ciencia que consiste en transformar un mensaje inteligible en otro que no lo es,
mediante la utilización de claves, que solo el emisor y receptor conocen.
Detección de Intrusos: Sistemas que agrupa un conjunto de técnicas cuyo propósito es detectar
las intrusiones en una computadora o un sistema.
ID: Identificación.
Ingeniería Social: Arte de convencer a la gente para que realice actos que pueden comprometer
un sistema. Obtención de información por medios ajenos a la informática.
Internet: Sistema de redes de computación ligadas entre si, con alcance mundial, que facilita
servicios de comunicación de datos como registro remoto, transferencia de archivos, correo
electrónico y grupos de noticias.
Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso de
hardware o software.
ISMS: Information Security Management System.
130
ISO (International Organization for Standarization): Organización voluntaria, no gubernamental,
cuyos miembros han desarrollado estándares para las naciones participantes. Uno de sus comités
se ocupa de los sistemas de información. Han desarrollado el modelo de referencia OSI y
protocolos estándares para varios niveles de este modelo.
Pirata Informático: Persona que copia software, con derecho de autor, ilegalmente sin que medie
el permiso expreso del desarrollador. No confundir con el término Hacker o Cracker.
Red: Conjunto de computadoras, impresoras, Routers, Switches, y otros dispositivos, que pueden
comunicarse entre sí por algún medio de transmisión.
Sistema Asimétrico de Cifrado: Sistema mediante el cual se emplea una doble Clave kp (privada) y
KP (Pública). Una de ellas es utilizada para Cifrar y la otra para descifrar. El emisor conoce una y
el receptor la otra. Cada clave no puede obtenerse a partir de la otra.
Sistema Simétrico de Cifrado: Sistema mediante el cual se emplea la misma Clave para Cifrar y
descifrar. El emisor y receptor deben conocerlas.
Software: Programas de sistema, utilerías o aplicaciones expresadas en un lenguaje de máquina.
Username (Usuario): Nombre único que identifica a un usuario, y es utilizado como medio de
identificación ante un sistema.
Virus: Programa de actuar subrepticio para el usuario; cuyo código incluye información suficiente y
necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas,
puedan reproducirse y ser susceptibles de mutar; resultando de dicho proceso la modificación,
alteración y/o daño de los programas, información y/o hardware afectados.
Vulnerabilidad: Debilidades del sistema que pueden ser explotadas y empleadas, por alguna
amenaza, para comprometerlo. Hardware, firmware o Software que contiene Bugs que permiten
su explotación potencial.