Tesis de Fuga de Informacion

INSTITUTO POLITCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

INGENIERA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
MODELO DE CONCIENTIZACIN EN LA PREVENCIN

DE LA FUGA DE INFORMACIN
QUE
PARA
OBT ENER
I N G E N I E R O
E N
EL
T T ULO
DE:
I N F O R M T I C A
BEATRIZ ADRIANA DOROTEO VALDEZ

D A N I E L
M E D I N A
R A M I R E Z
JORGE ALBERTO HERNANDEZ QUIRINO

SANDRA
MXICO. D.F.
SARAI
GUZM AN
GUTIERREZ
2010
2009
NDICE
Resumen .............................................................................................. I
Introduccin ......................................................................................... II
Captulo I: Marco Metodolgico ........................................................... 1
1.1
Planteamiento del problema ................................................................................................ 1
1.2
Objetivos .............................................................................................................................. 3
1.3
Justificacin ......................................................................................................................... 4
1.4
Marco terico ....................................................................................................................... 8
1.5
Diseo de la investigacin ................................................................................................. 11
1.6
Tipo y tcnicas de investigacin ........................................................................................ 11
Captulo II: Conceptos Generales ...................................................... 13

2.1
Informacin ........................................................................................................................ 13
2.1.1
Definicin ................................................................................................................... 13
2.1.2
Funcin de la informacin .......................................................................................... 14
2.1.3
Caractersticas ........................................................................................................... 14
2.1.4
Clasificacin ............................................................................................................... 16
2.2
Seguridad de la informacin .............................................................................................. 18
2.2.1
Definicin ................................................................................................................... 18
2.2.2
Objetivos y propsitos de seguridad de la informacin ............................................. 19
2.2.3
Funciones de la seguridad de la informacin ............................................................ 20
2.2.3.1
Qu debemos proteger.................................................................................. 22
2.2.3.2
De quin debemos protegernos .................................................................... 23
2.2.3.3
Cmo podemos protegernos ......................................................................... 23
2.2.4
2.3
Importancia de la seguridad de la informacin .......................................................... 24
Vulnerabilidades, Amenazas y Riesgos de la Informacin ............................................... 26
2.3.1
Definicin de vulnerabilidad ....................................................................................... 26
2.3.2
Definicin de amenaza .............................................................................................. 26
2.3.3
Definicin de riesgo ................................................................................................... 27
2.3.4
Clasificacin de riesgos, amenazas y vulnerabilidades ............................................ 28
2.4
Fuga de informacin .......................................................................................................... 32
2.4.1
Definicin ................................................................................................................... 33
2.4.2
Tipos .......................................................................................................................... 33
2.4.3
Obstculos en la prevencin de fuga de informacin................................................ 34
2.5
Concientizacin.................................................................................................................. 35
2.5.1
Definicin ................................................................................................................... 36
2.5.2
Objetivos .................................................................................................................... 36
2.5.3
Importancia ................................................................................................................ 37
2.5.4
Tipos .......................................................................................................................... 38
2.5.5
Beneficios y obstculos ............................................................................................. 39
Captulo III: Problemtica actual de la concientizacin en la fuga de

informacin ........................................................................................ 42
3.1
Comportamiento humano: un problema de seguridad de la informacin ......................... 42
3.2
Problemtica actual por falta de concientizacin, educacin y capacitacin .................... 48
3.3
Fuga de informacin .......................................................................................................... 54
Captulo IV: Normatividad, mejores prcticas y tecnologa aplicada a la

concientizacin y fuga de informacin ............................................... 62
4.1
Legislacin Internacional ................................................................................................... 62
4.1.1
Del acceso ilcito a los sistemas de informacin ....................................................... 62
4.1.2
Proteccin de los datos ............................................................................................. 63
4.2
Legislacin Nacional .......................................................................................................... 65
4.2.1
Ley de la Propiedad Industrial ................................................................................... 66
4.2.2
Cdigo Penal federal ................................................................................................. 66
4.2.3
Reforma al cdigo penal federal para castigar a los crackers .................................. 68
4.2.4
Proteccin de datos personales ................................................................................ 69
4.3
Legislacin Sectorial .......................................................................................................... 72
4.4
Mejores prcticas ............................................................................................................... 81
4.4.1
Series ISO 27000....................................................................................................... 82
4.4.2
CObIT ........................................................................................................................ 85
4.4.3
Awareness ................................................................................................................. 86
4.4.4
Assessment ............................................................................................................... 88
4.5
Tecnologa existente .......................................................................................................... 88
4.5.1
Data Leakage Prevention (DPL) ................................................................................ 88
4.5.2
Sistema de deteccin de intrusos (IDS) .................................................................... 89
4.5.3
Sistema de Prevencin de Intrusos ........................................................................... 90
4.5.4
Assessment Center (AC) ........................................................................................... 91
Captulo V: Modelo ............................................................................ 96

5.1
Objetivos del Modelo ......................................................................................................... 96
5.2
Descripcin del Modelo ..................................................................................................... 97
5.2.1
Conoce al enemigo y concete a ti mismo ................................................................ 98
5.2.1.1
Conocer el estado actual de la organizacin en fuga de informacin .......... 99
5.2.1.2
Conocer el nivel de conocimientos del personal en temas de fuga de
informacin
..................................................................................................................... 100
5.2.2
Comerse el pastel por rebanadas / divide y vencers............................................. 101
5.2.2.1
Visualizando el camino ................................................................................ 101
5.2.2.2
Definicin de grupos de audiencias ............................................................ 102
5.2.3
De la vista nace el amor / manos a la obra ............................................................. 103
5.2.3.1
Elaboracin de materiales de apoyo ........................................................... 103
5.2.3.2
Imparticin de concientizacin en fuga de informacin .............................. 104
5.2.4
Encontrando el eslabn ms dbil........................................................................... 107
5.2.4.1
Evaluacin de resultados de concientizacin en fuga de informacin ........ 108
5.2.4.2
Autoevaluacin de resultados de concientizacin en fuga de informacin . 108
5.2.5
Redefiniendo el curso .............................................................................................. 109
5.2.5.1
Anlisis de resultados de evaluacin .......................................................... 109
5.2.5.2
Reestructuracin / mejora continua ............................................................. 110
5.3
Conclusiones del modelo ................................................................................................. 111
Captulo VI: Caso Prctico ............................................................... 112

6.1
Conocimiento de la Empresa........................................................................................... 112
6.1.1
Misin ....................................................................................................................... 112
6.1.2
Visin ....................................................................................................................... 112
6.1.3
Organigrama ............................................................................................................ 113
6.2
Aplicacin del Modelo ...................................................................................................... 113
6.2.1
Anlisis- Conoce al enemigo y concete a ti mismo.114
6.2.2
Diseo- Comerse el pastel por rebanadas/ divide y vencers117
6.2.3
Desarrollo/ Implementacin- De la vista nace el amor.117
6.3
Resultados del Modelo .................................................................................................... 125
6.3.1
Evaluacin- Encontrando el eslabn ms dbil125
6.3.2
Mantenimiento- Redefiniendo el curso..125
Conclusiones ................................................................................... 126

Bibliografa....................................................................................... 127
Glosario ........................................................................................... 129
NDICE DE FIGURAS
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008. ................ 6
Figura 2. Programas de concientizacin como porcentaje del presupuesto de seguridad. Fuente
CSI Survey 2008. ............................................................................................................................. 6
Figura 3. Mtricas de los programas de concientizacin. Fuente: CSI Survey 2008. .................... 7
Figura 4. Clasificacin de la Informacin. Fuente: SANS Institute InfoSec Reading Room. ........ 16
Figura 5. Componentes de seguridad de la informacin. Fuente: http://wikipedia.org, John M.
Kennedy T...................................................................................................................................... 22
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: Seguridad
Informtica: Sus implicancias e implementacin.......................................................................... 23
Figura 7. Elementos e Interrelaciones Vulnerabilidad Amenaza Riesgo. Fuente: Revista de
Ingeniera Informtica del CIIRM. .................................................................................................. 28
Figura 8. Conclusin 1 - Insider Threat Study. Fuente: CERT ...................................................... 43
Figura 9. Conclusin 2 - Insider Threat Study.Fuente: CERT. ...................................................... 44
Figura 10. Conclusin 3 - Insider Threat Study. Fuente: CERT. ................................................... 44
Figura 15. Importancia de la seguridad de la informacin. Fuente: ENISA. ................................. 49
Figura 16. Cmo se justifican los costos continuos de los programas de concientizacin?
Fuente: ENISA. .............................................................................................................................. 52
Figura 17. Tcnicas empleadas para que el personal tome conciencia en seguridad de la
informacin Fuente: ENISA. .......................................................................................................... 53
Figura 18. Motivos por los cuales los empleados violan la seguridad de la informacin. Fuente:
InsightExpress. .............................................................................................................................. 59
Figura 19. Distribucin de los dominios de la Norma ISO 27002.................................................. 83
Figura 20. Modelo de concientizacin para la prevencin de fuga de informacin. Fuente:
Personal. ........................................................................................................................................ 98
Resumen
Fuga de Informacin se ha convertido en la frase de moda para describir los incidentes de
seguridad de informacin ocurridos durante los ltimos aos. Aunque el trmino puede ser
interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causa
una reaccin universal: miedo. Aun cuando es difcil dimensionar el dao de las fugas de
informacin, no hay duda que la exposicin de las bases de datos, o robos de informacin en
sistemas de informacin, entre otros, afectan y/o disminuyen la confianza de los clientes, con las
respectivas consecuencias negativas para la organizacin. El aumento de la recoleccin y
almacenamiento de datos por organizaciones de todas las industrias y sectores, acompaado del
incremento de sofisticadas tcticas de hackeo informtico para robar informacin sensitiva, y de la
poca, y a veces nula, conciencia dentro de la propia organizacin, las ha forzado a reconocer y
enfrentar directamente esta amenaza que dej de ser fantasma.
El panorama es claro, la fuga de informacin es un problema latente y creciente, y el mecanismo

para contrarrestarlo no est dentro de los lmites de la tecnologa, puesto que esta puede
protegernos en el permetro de la organizacin, sin embargo, los problemas de fuga de
informacin surgen desde dentro de la misma: el factor humano. Ya sea de forma o no intencional,
las personas estn contribuyendo a que este problema crezca descontroladamente, y al ser un
problema de personas no se debe, ni se puede, atacar con tecnologa, el mejor acercamiento a
una solucin que nos ayude a mitigar est problemtica, es hacindolos consientes, cambiando
sus formas de pensar y actuar en asuntos de seguridad de la informacin, es decir, cambiando la
cultura de seguridad.
Tomando en cuenta lo anterior, el objetivo del presente trabajo es la elaboracin de un Modelo de

concientizacin en la prevencin de la fuga de informacin, en el cual se proponen las pautas
necesarias para llevar a cabo un programa que se acople a cualquier organizacin y con el
objetivo de minimizar la creciente fuga de informacin en las organizaciones. Para alcanzar esto,
es necesario conocer las bases de la seguridad de la informacin, fuga de informacin y
concientizacin, as mismo se requiri un estudio y anlisis de las problemtica existente en estos
temas, y basndonos en herramientas existentes: mejores prcticas, estndares, legislacin y
tecnologa, se elabor la propuesta del modelo.
El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cclico e iterativo de
anlisis, diseo, desarrollo, implementacin, evaluacin y mantenimiento. Un resumen de las
particularidades de esta propuesta se describe a continuacin:
El anlisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las
necesidades, debilidades y estatus de la organizacin. Los resultados de esta etapa nos
servirn de gua para definir la lnea de accin a seguir.
El diseo: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las
posibles acciones a seguir, y as definir una estrategia mediante la cual se resuelvan las
reas de oportunidad encontradas.
El desarrollo: En esta etapa se plasma la estrategia y objetivos que deben alcanzarse. Se

definen los recursos que utilizarn para llevar a cabo el plan de accin.
La implementacin: Despus de definir el plan de accin, es en esta etapa se pone en

marcha, y se consumen los recursos definidos, enfocndose siempre en alcanzar los
objetivos establecidos.
La evaluacin y mantenimiento: En esta etapa se hace una valoracin de los resultados

obtenidos de la implementacin, para as poder mejorar y encontrar nuevas reas de
oportunidad. Esta etapa tambin es crucial ya que es el punto de retroalimentacin para
que el modelo pueda iniciar un nuevo ciclo, llegando a una cultura de mejora continua.
En conclusin, se considera relevante el uso de la concientizacin para minimizar la fuga de

informacin, y cada organizacin debera contemplar en su estrategia de negocios, la integracin
de un modelo de concientizacin en temas de seguridad de la informacin, para la proteccin del
activo ms importante: la informacin. Llegando ms lejos an, este esquema debera escalarse, y
ser legislado y exigido al margen de la legalidad para el establecimiento y operacin de cualquier
organizacin, ya sea pblica o privada. Debido a que la era de la informacin en la que vivimos,
cualquier violacin al derecho primordial de la privacidad, debera ser penado.
Introduccin
La informacin y el conocimiento han sido los elementos centrales de todas las sociedades
histricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas
tecnolgicas que revolucionan las formas de procesamiento de informacin y comunicacin,
transformando la forma en que las personas viven y se comunican entre s. Hoy por hoy el manejo
de la informacin puede contribuir de manera decisiva en cualquier mbito de la actividad humana,
por esta razn, es importante definir lineamientos generales que ayuden a resguardarla sin que
esta pierda su integridad, confidencialidad y disponibilidad.
La seguridad de la informacin es una de las tareas ms cruciales que debemos afrontar en la

actualidad ya que nos encontramos en un medio donde la informacin se ve amenazada por
diferentes fuentes que simplemente no existan o no conocamos hace algunos aos, y an
tomando todas las precauciones tcnicas para evitar estas amenazas, y confiando con la
proteccin que le damos, no es suficiente, ya que la prctica nos ha demostrado que la fuga de
informacin sigue creciendo da a da por diversos factores, uno de ellos y que ser el pilar de esta
investigacin: la falta o deficiente concientizacin.
El presente trabajo se enfoca en plantear un Modelo de concientizacin en la prevencin de la

fuga de informacin, el cual propondr las pautas necesarias para llevar a cabo un programa que
se acople a cualquier organizacin y con el objetivo de minimizar la creciente fuga de informacin
en las organizaciones.
Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 captulos que se distribuyen de
la siguiente forma.
En el primer captulo, se aborda la problemtica objeto de anlisis y estudio de esta tesina, los
objetivos de dicha tesina, la justificacin de porqu es factible llevar a cabo la investigacin y de
cmo se llevar a cabo sta, as como el marco terico relacionado al tema de estudio: la
concientizacin en la prevencin de la fuga de informacin.
A lo largo del segundo captulo se trata uno de los temas principales de esta tesina: la Informacin.
Se hace un estudio de qu es la informacin?, su importancia, su funcin y sus caractersticas.
As mismo, se hace nfasis en la concientizacin, fuga de informacin, seguridad de la
informacin, sus definiciones, objetivos, funciones, importancia, as como los riesgos de la
informacin.
II
Debido a que el usuario final es quien hace uso de los sistemas de informacin, el tercer captulo
est dedicado al estudio del comportamiento humano y seguridad de la informacin.
Se enfatiza la influencia que tiene el factor humano en la fuga de informacin y la importancia de

una capacitacin y educacin de los usuarios para minimizar la fuga de la informacin.
El cuarto captulo, est dedicado al estudio y anlisis de la normatividad existente referente a la

seguridad de la informacin, localizando sus cualidades y deficiencias. As mismo se estudian las
mejores prcticas y la tecnologa aplicada a la concientizacin para prevencin de fuga de
informacin.
A lo largo del quinto captulo se realiza el desarrollo del modelo de concientizacin en la

prevencin de la fuga de informacin, explicando los objetivos que busca, una descripcin
detallada, as como sus alcances y limitaciones del mismo.
Y es indispensable hacer conciencia de que cada uno de nosotros desempeamos un papel

fundamental en la proteccin de la informacin que se nos confa, y por consiguiente, en la
reputacin de la organizacin en la que trabajamos. Lograramos esto con una correcta
administracin de contraseas, manteniendo los documentos en lugares seguros, sabiendo
perfectamente quines son los que nos estn solicitando informacin, siguiendo un programa de
concientizacin, etc., con esto nos aseguramos que somos la clave para mantener protegida la
informacin.
II
Captulo I: Marco Metodolgico

Hoy en da, se habla mucho de conceptos como seguridad, sin embargo, la practica nos
demuestra que muchas veces no se pasa de eso: un concepto, diversos artculos y noticias
resaltan la deficiencia existente en conseguir la anhelada: seguridad. Muchas empresas han
visto reducida su reputacin, y todo lo que de esto se deriva, debido a incidentes de seguridad,
entre los ms destacados se encuentra: la fuga de informacin.
En este primer captulo se abordar la problemtica objeto de anlisis y estudio del presente
trabajo, as como los objetivos y la justificacin para llevar a cabo la investigacin y de cmo se
llevar a cabo sta, as como el marco terico relacionado al tema de estudio: la concientizacin
en la prevencin de la fuga de informacin.
1.1 Planteamiento del problema
En el mundo actual, donde las tecnologas de informacin son cada vez ms un medio comn
para almacenar y procesar la informacin, las brechas de seguridad en lo que respecta a prdidas
o fuga de informacin nunca han sido tan altas. No slo se ha multiplicado el volumen de
informacin en circulacin, sino tambin las formas en que puede ser almacenada y transferida sin
consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de
los negocios y la privacidad de sus clientes.
Otro punto importante a considerar, es que hoy en da las empresas estn cada vez ms
*
globalizadas y esto las hace vulnerables; de acuerdo a estadsticas obtenidas por InsightExpress ,
se descubri que a pesar de las polticas, procedimientos y herramientas de seguridad
actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen
en peligro los datos personales y empresariales. Tales conductas incluyeron:
Uso de aplicaciones no autorizadas: el 70% de los profesionales de Tecnologa de

Informacin (TI) cree que el uso de programas no autorizados fue responsable de
hasta la mitad de los incidentes de prdida de informacin en sus empresas.
Uso indebido de computadoras de la empresa: el 44% de los empleados comparte

dispositivos de trabajo con otras personas sin supervisin.
* En el ao 2008, Cisco encarg a InsightExpress, una compaa independiente de investigacin de mercado, que
realizara un estudio que abarcara a empleados y profesionales de TI en diversos pases, con el objeto de
comprender la fuga de datos a nivel mundial.
Acceso no autorizado tanto fsico como a travs de la red: el 39% de los

profesionales de TI afirm que ha debido abordar el acceso no autorizado por parte
de un empleado a zonas de la red o de las instalaciones de la empresa.
Seguridad de trabajadores remotos: el 46% de los empleados admiti haber

transferido archivos entre computadoras del trabajo y personales al trabajar desde
el hogar.
Uso indebido de contraseas: el 18% de los empleados comparte contraseas con

sus colegas. El porcentaje aumenta al 25% en China, India e Italia.
De acuerdo con las estadsticas elaboradas en Estados Unidos y parte de Europa sobre delitos
informticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de
las mismas empresas vctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo a
1
las estadsticas nacionales realizadas por el INEGI , arrojan que un 67%
de los ataques
informticos provienen del interior de la organizacin.
Las empresas de cada sector (tanto privado, como pblico) continan informando de
vulnerabilidades de seguridad y aun as, todava permiten la exposicin de su informacin ms
sensible y confidencial.
Los usuarios informticos pueden considerarse como la menos predecible y controlada

vulnerabilidad de seguridad. En la mayora de casos, una falta de informacin y un
desconocimiento de los principios y procedimientos bsicos de seguridad son las principales
causas de las deficiencias de seguridad en lugar de la actividad maliciosa (aunque esto ltimo no
se puede ignorar). Sin embargo, el resultado final es habitualmente el mismo: se pierde
informacin inestimable, la empresa pierde credibilidad, etc.
Por tal motivo, se considera que debe plantearse un modelo de concientizacin enfocado al factor
humano, para mitigar uno de los riesgos ms importantes en el uso, manejo, acceso, control y
resguardo de la informacin: la fuga de informacin. Visto desde este enfoque, debemos entender
que ni la ms alta tecnologa en cuestiones de seguridad de la informacin podrn detener los
ataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor
humano, dentro de las organizaciones pblicas.
INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm
1.2 Objetivos
OBJETIVO GENERAL.
Definir un modelo de concientizacin para minimizar la creciente fuga de

informacin en las organizaciones.
OBJETIVOS ESPECFICOS.
Identificar las principales vas de fuga de informacin y lo que motiva al factor

humano a explotarlas.
Identificar las acciones tomadas actualmente: tecnologa, normatividad, estndares

y mejores prcticas; que apoyan en la prevencin de fuga de informacin.
Identificar las consecuencias de la fuga de informacin a causa del factor humano.
Definir un modelo de concientizacin enfocado a la minimizacin de fuga de

informacin, basado en:
El planteamiento de un programa general de comunicacin entre los

miembros de la organizacin, para que los usuarios comprendan que la
seguridad de la informacin es responsabilidad de todos, no slo del
departamento de TI.
Proponer
mecanismos
permanentes
de
difusin,
concientizacin
educacin que fortalezcan la prevencin de fuga de informacin y evitar el

uso de acciones correctivas en la organizacin ante la fuga de informacin.
Proponer mecanismos de medicin de la efectividad de los programas y

llevar a cabo seguimiento y monitoreo de los resultados obtenidos.
1.3 Justificacin
Hoy por hoy el manejo de la informacin puede contribuir de manera decisiva en cualquier mbito
de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos
que puede correr dicha informacin y as poder definir lineamientos generales que ayuden a
resguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.
Existe una latente inquietud y preocupacin sobre el tema de la seguridad de la informacin, ya

que de acuerdo con la American Internacional Group, la criminalidad informtica ha aumentado a
un ritmo de 500% a nivel mundial.
De acuerdo a estudios de mercado, 63% de las empresas pblicas y privadas pierden anualmente
archivos de informacin valiosa, pero solo 23% es por robo. De la prdida de informacin 57% se
debe al extravo de equipos porttiles, como computadoras, celulares, agendas electrnicas, o
dispositivos como discos compactos y memorias USB.
Un error comn en el que suelen caer las empresas es pensar que ya se encuentran protegidas de
cualquier riesgo informtico por tener instalados diferentes mecanismos de seguridad entre
algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que
el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas
frente a los nuevos problemas que emergen cotidianamente. Los ataques ms comunes de
2
seguridad de la informacin se enlistan a continuacin :
Ataques deliberados de software

o
Virus (creados por humanos)
Sistemas operativos (provocados por humanos)
Fallas/Errores tcnicos de software (provocados por humanos)
Fallas/Errores humanos (provocados por humanos)
Actos deliberados de espionaje e invasin (cometidos por humanos)
Actos deliberados de sabotaje y vandalismo (cometidos por humanos)
Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor
of Information Systems. Member Human Firewall Council.
De los puntos anteriores se puede deducir que la informacin es producida y consumida por las
personas, paradjicamente, es el mismo factor humano el principal elemento que la pone en
riesgo.
Las personas en general manejan la informacin, a travs de cualquier medio fsico o lgico en
lugares pblicos sin considerar que las actividades que realizan en ellas pueden estar siendo
observadas por alguna persona que no debe tener acceso a dicha informacin. Tener mecanismos
de destruccin controlada de informacin una vez que los dispositivos van a reasignarse, tambin
es un elemento de proteccin.
El tpico acercamiento que se ha visto en el pasado fue a travs de la implementacin de

tecnologa estndar enfocada en servidores, servicios y redes: antivirus, antivirus de red, firewall,
endpoints, IDSs que monitorean el trfico, etc. Estas soluciones son efectivas y muy necesarias
para proteger ambiente de red, pero no sirven frente a la fuga de informacin.
Generalmente hablamos que los problemas que se generan en la seguridad de la informacin

pasan por el concepto de cultura de seguridad, no obstante, se hace muy poco para lograr una
autentica cultura de seguridad de la informacin, y en muchas ocasiones se ha dicho que la
creacin de un programa de concientizacin sobre la importancia de la informacin y su proteccin
en las organizaciones contribuira a la sinergia de reforzar el eslabn ms dbil de la cadena, que
es el usuario final.
Sin embargo, las estadsticas develadas en el 2008 por CSI Survey, como se muestran en la
Figura 1 Porcentaje de presupuesto para seguridad en TI, denotan que las empresas invierten
muy poco en cuestiones de seguridad de la informacin. Como se muestra en la siguiente grfica:
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.
Del mismo modo se resalta en la Figura 2 Programas de concientizacin como porcentaje del
presupuesto de seguridad, que la inversin en programas de concientizacin, educacin y
capacitacin, es muy baja. Como se ilustra a continuacin:
Figura 2. Programas de concientizacin como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.
Y an as, los resultados de la efectividad mostrados en la Figura 3 Mtricas de los programas de

concientizacin, de estos programas de concientizacin, educacin y capacitacin no son
satisfactorios, como se ilustra a continuacin:
Figura 3. Mtricas de los programas de concientizacin. Fuente: CSI Survey 2008.
La prctica nos ha demostrado que el uso de tecnologas como apoyo en la seguridad de la

informacin, es un factor dominante en las soluciones actuales, sin embargo, an existen
debilidades que son explotadas por los atacantes, y van ms all de la infraestructura tecnolgica,
estos mecanismos siguen siendo deficientes debido a que no se ataca al eslabn ms dbil: el
factor humano, y este lo seguir siendo mientras no se le dote de las herramientas necesarias
para formar parte activa en la preservacin de la seguridad de la informacin. Un factor
determinante en conseguir este objetivo, inicia en la alta direccin de las organizaciones, ya que
esta debera responsabilizarse de las acciones de sus colaboradores.
Las estadsticas mostradas con anterioridad nos demuestran que existe una deficiente inversin
econmica en seguridad de la informacin, y que dentro de esta inversin, los programas de
formacin y concientizacin en la materia, ocupan un muy bajo porcentaje, teniendo como
resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la
fuga de informacin.
Por lo anterior se hace necesario el desarrollo de un programa adecuado de concientizacin en el

tema de seguridad de la informacin, enfocado a todos los niveles de la organizacin,
debidamente apoyado en las polticas de cada una sobre el tema y con un adecuado proceso de
monitoreo y actualizacin.
1.4 Marco terico
Seguridad de la informacin
Tiene como fin la proteccin de la informacin y de los sistemas de informacin del acceso, uso,
divulgacin, interrupcin o destruccin no autorizada, la cual se sustenta en los principios de
confidencialidad,
integridad
disponibilidad
(conocidos
comnmente
como
CIA-triad:
confidenciality, integrity, availability, por sus siglas en ingls) :
Confidencialidad. La confidencialidad, o privacidad, es el proceso de asegurar que

los datos se mantienen confidenciales y no pueden ser consultados por entes no
autorizados.
Integridad. La integridad es la garanta de que los datos estn protegidos de ser

modificados de manera accidental o deliberada (maliciosa).
Disponibilidad. Desde la perspectiva de seguridad, la disponibilidad significa que

un sistema est disponible para sus usuarios autorizados.
Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros
internos o externos a la organizacin. Uno de los objetivos primordiales de la seguridad de la
informacin es la prevencin de la prdida de informacin o fuga de informacin. De este modo se
deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su Glosary
4
of Information Security Terms :
Activo: Recurso del sistema de informacin o relacionado con ste, necesario para
que la organizacin funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que puede desencadenar un incidente en la organizacin,

produciendo daos materiales o prdidas inmateriales en sus activos.
Impacto: medir la consecuencia al materializarse una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un

dominio o en toda la organizacin.
3
4
TechRepublic. Chad Perrin: The CIA Triad, 30 de Junio de 2008

Sans Institute, Glossary of Information Security Terms
Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza

sobre un activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema
de seguridad.
Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y

procesamiento de la misma a travs de computadoras necesarias para la operacin
normal de la organizacin.
Muchas organizaciones enfocan su atencin en la amenaza del robo de informacin en la

vulnerabilidad de accesos inseguros. Sin embargo, el robo de informacin y el acceso no
autorizado son dos ejemplos de las subcategoras de fuga de informacin. Para evaluar
apropiadamente y reducir el riesgo de la fuga de informacin, de acuerdo a Sophos Plc, en su
5
whitepaper Stopping data leakage, deben considerarse las siguientes cuatro categoras :
Acciones y autorizaciones a los usuarios: Eliminacin accidental o deliberada de

archivos o programas, prdida de dispositivos de almacenamiento, y otros eventos
originados por falta de conocimiento o experiencia. Modificacin de informacin, mal
uso de programas o de dispositivos de almacenamiento, compartir contraseas o
alguna otra forma de debilitar la seguridad.
Fallas: Colapso de software, fallas de corriente elctrica, perdida de conexiones a

bases de datos, corrupcin de datos o algn otro error que afecte a los dispositivos
de almacenamiento.
Crmenes/Prdida de confidencialidad: Compartir informacin no autorizada, robo

de informacin, sabotaje, virus, troyanos, etc.
Desastres: Fuego, inundaciones, terremotos, o algn evento fsico que propicie la

destruccin o deterioro de los dispositivos de almacenamiento.
El tema de la seguridad informtica ha sido de gran importancia en los ltimos aos. Como
usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin
embargo, como administradores de la informacin, es posible que no estemos haciendo suficiente
nfasis en la seguridad enfocada al factor humano.
5
Sophos Plc, Stopping data leakage: Exploiting your existing security investment whitepaper
Por lo anterior se hace necesaria la aplicacin de programas adecuados de concientizacin,

capacitacin y educacin en el tema de seguridad. De acuerdo al Lic. Cristian F. Borghello en el
6
sitio SeguInfo, define los trminos de la siguiente manera :
Concientizacin: Se entiende por concientizacin a la sensibilizacin del personal de la
organizacin, para que se den cuenta de su responsabilidad en la proteccin de la

confidencialidad, integridad y disponibilidad de los activos de informacin de la
organizacin, y que comprendan que esto no es solo competencia de los especialistas en
seguridad. No solo debe perseguir la proteccin de los activos, sino tambin el porqu es
importante su proteccin y como pueden contribuir a esta tarea.
Capacitacin: Se encarga de proveer a las personas las habilidades que le permitan
efectuar sus tareas de forma ms segura. Esto incluye el ensearles qu y cmo lo

deben hacer. Tambin puede enfocarse desde las prcticas de seguridad ms
elementales, hasta las habilidades ms avanzadas o especializadas.
Educacin: La educacin en seguridad se adentra ms que la capacitacin, debido a que
est ms enfocada a los especialistas en seguridad y a aquellos puestos que requieren

cierta experiencia en tpicos de seguridad.
Modelo
Para lograr una cultura consciente de la importancia de la seguridad de la informacin es

necesaria una educacin en seguridad. Es preciso aplicar un conjunto de mtodos y tcnicas
(Modelo de enseanza) para comunicar estos conocimientos de seguridad. De acuerdo a Joyce y
Weil en su libro Models Of Teaching, existen varios modelos de enseanza pero todos tienen las
7
siguientes caractersticas :
Qu ensear?
Cmo ensear?
Qu y cmo evaluar?
Las preguntas anteriores las podemos resumir en:
6
7
Enfoque
Metodologa
Evaluacin
Lic. Cristian F. Borghello, http://www.segu-info.com.ar

Joyce y Weil. Models Of Teaching, 2004, Pearson / Alyn and Bacon.
10
Conociendo cada uno de estos elementos, se facilitar identificar el modelo de enseanza que se
est empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo
dando uno aparentemente diferente.
1.5 Diseo de la investigacin
Recopilacin terica de conceptos de seguridad de informacin, riesgos, fuga de

informacin, concientizacin, educacin, capacitacin y modelos.
Determinar las fuentes de informacin para recabar las bases de la investigacin.
Recopilacin de estadsticas respecto a ataques a la seguridad informtica.
Investigacin e identificacin de las mejores prcticas y lineamientos referentes al

tema de seguridad de la informacin (COBIT, ISO 27002:2005, etc.) que
contribuyan a la elaboracin del modelo.
Identificacin y evaluacin de las TI que apoyan la educacin, capacitacin y

concientizacin.
Anlisis de informacin recopilada para elaboracin de conclusiones propias.
Elaboracin de conclusiones y propuestas del modelo.
1.6 Tipo y tcnicas de investigacin
TIPO DE INVESTIGACIN: Descriptiva
Parten de la descripcin de datos y caractersticas de la poblacin o fenmeno de estudio, que

resulta insuficientemente conocida y, al mismo tiempo, relevante e interesante para ciertos
desarrollos. El objetivo central de estas investigaciones est en proveer un buen registro de los
tipos de hechos que tienen lugar dentro de esa realidad y que la definen o caracterizan
sistemticamente. Se estructuran sobre la base de preguntas cuya forma lgica se orienta a
describir: Cmo es x? Qu es x? Qu ocurre en calidad de x o bajo la forma x?
Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las
clasificaciones (formulacin de sistemas de criterios que permitan agrupar los datos o unificar las
11
diferencias singulares), las definiciones, las comparaciones (determinacin de semejanzas y

diferencias en comparacin a estndares).
TCNICAS DE INVESTIGACIN: Documentales
Permite la recopilacin de informacin para enunciar las teoras que sustentan el estudio de los
fenmenos y procesos.
Su objetivo es elaborar un marco terico conceptual para formar un cuerpo de ideas sobre el tema
de investigacin. Es indispensable ya que integra la estructura de la investigacin, permite ordenar
las etapas de la investigacin y orientar la obtencin de conocimientos.
12
Captulo II: Conceptos Generales

Conceptos como seguridad son borrosos o su definicin se maneja con cierto grado de
incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa
consecuencia de que la funcin de seguridad puede ser frecuentemente etiquetada como
inadecuada o negligente, haciendo imposible a los responsables justificar sus tcnicas ante
reclamos basados en ambigedades de conceptos y definiciones. Este problema puede ser
solucionado satisfaciendo las necesidades de comprensin de conceptos como: seguridad,
informacin, amenaza, riesgo, vulnerabilidad, concientizacin, fuga de informacin, entre otros. En
definitiva los expertos en seguridad y los expertos en informtica deben interactuar
interdisciplinariamente para que exista seguridad de la informacin. Por este motivo, el presente
captulo se enfoca en la definicin de los conceptos ya mencionados.
2.1 Informacin
En la actualidad es un hecho que la informacin es el activo ms valioso e importante de toda

unidad organizacional en las actividades humanas, es por esta razn que debemos tener
conciencia de la importancia de la misma, as como las amenazas a las que la informacin est
expuesta y el impacto de que dichas amenazas se vuelvan reales.
2.1.1 Definicin
Para comenzar el anlisis de la seguridad de la informacin se deber conocer las caractersticas

de lo que se pretende proteger: la informacin.
Segn Rafael Fernndez Calvo, en su glosario bsico para usuarios de Internet, define dato como:
La unidad mnima con la que compone cierta informacin. Datum es una palabra latina, que
significa lo que se da.
Luego, de acuerdo a el Dr. Giovanni Manunta, en su libro Seguridad: Una Introduccin, la

Informacin es una agregacin de datos que tiene un significado especfico ms all de cada uno
9
de stos, y tendr un sentido particular segn cmo y quin la procese .
CALVO, Rafael Fernndez. Glosario Bsico Ingls Espaol para usuarios de Internet. 19942000.
http://www.ati.es/novatica/2000/145
Presentacin del libro Seguridad: una Introduccin. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de Cranfield
University. Revista Seguridad Corporativa. http://www.seguridadcorporativa.org
13
2.1.2 Funcin de la informacin

10
Segn encuestas de seguridad informtica publicadas en 2008 por Ernst & Young Mxico , las
funciones de la informacin que se acercan ms a la realidad y con base en puntos de vista de los
encuestados, son:
Aumentar el conocimiento del usuario.
Proporcionar a quien toma decisin probabilidades para la eleccin, reduciendo la

gama de decisiones.
Proporcionar una serie de reglas de evaluacin y reglas de decisin para fines de

control.
En relacin con el primer punto, la informacin como va para llegar al conocimiento, debe de ser
elaborada para hacerla utilizable o disponible, tambin debe conservarse integra y confiable,
puntos que debe encargarse de proteger la seguridad de la informacin, como se ver en los
tpicos siguientes.
2.1.3 Caractersticas
Establecer el valor de la informacin es algo totalmente relativo, pues constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con
los equipos, las aplicaciones y la documentacin, y esto depende de las caractersticas de cada
organizacin. De este modo, como se define en el libro Library & Information Science Research,
puede existir informacin que debe o puede ser pblica: puede ser visualizada por cualquier
persona; y aquella que debe ser privada: slo puede ser visualizada por un grupo selecto de
personas que trabaja con ella. En esta ltima debemos maximizar nuestros esfuerzos para
11
preservarla de ese modo reconociendo las siguientes caractersticas en la Informacin :
1. Es crtica: es indispensable para garantizar la continuidad operativa.
2. Es valiosa: es un activo con valor en s misma.
3. Es sensitiva: debe ser conocida por las personas que la procesan y slo por ellas.
10
11
11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com
AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008
14
Adicionalmente el Information Technology Security Evaluation Criteria define algunos aspectos

adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares,
12
dentro de los cuales se encuentran :
El control sobre la informacin permite asegurar que slo los usuarios autorizados
pueden decidir cundo y cmo permitir el acceso a la misma.
La autenticidad permite definir que la informacin requerida es vlida y utilizable en

tiempo, forma y distribucin. Esta propiedad tambin permite asegurar el origen de
la informacin, validando el emisor de la misma, para evitar suplantacin de
identidades.
Proteccin a la rplica: mediante la cual se asegura que una transaccin slo puede
realizarse una vez, a menos que se especifique lo contrario. No se deber poder
grabar una transaccin para luego reproducirla, con el propsito de copiar la
transaccin para que parezca que se recibieron mltiples peticiones del mismo
remitente original.
No repudio: mediante la cual se evita que cualquier entidad que envi o recibi
informacin alegue, ante terceros, que no la envi o recibi.
Consistencia: se debe poder asegurar que el sistema se comporte como se supone

que debe hacerlo ante los usuarios que corresponda.
Aislamiento: este aspecto, ntimamente relacionado con la confidencialidad, permite

regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso
del mismo.
Auditora: es la capacidad de determinar qu acciones o procesos se estn llevando

a cabo en el sistema, as como quin y cundo las realiza.
El valor de la informacin es una de las ideas ms difciles de conceptualizar. Los investigadores

han analizado este concepto en una gran variedad de formas, cada uno complementando al otro,
as como aumentando la complejidad del concepto. La informacin puede ser una mercanca, un
producto, un servicio o una experiencia. Adems, su valor aumenta a lo largo de este continuo. El
valor a veces es asignado en la forma que la informacin es empaquetada y distribuida; pero, en
12
Information Technology Security Evaluation Criteria (ITSEC)
15
ocasiones el valor es inherente a su contenido a pesar de la forma que es transmitida. Tambin el

valor de la informacin puede estar derivado del intercambio o su uso y pueden ser evaluados de
forma normativa, realista o subjetiva, en consecuencia los esfuerzos por protegerla deben
enfocarse en proteger sus principios fundamentales: confidencialidad, integridad y disponibilidad
(ver: 1.4 Marco terico).
2.1.4 Clasificacin
Para lograr la confidencialidad, integridad y disponibilidad de la informacin, es importante que se

maneje el concepto de clasificacin de la informacin, el cual, segn el SANS Institute
Information Seccurity Reading Room, es el conjunto de actividades que involucran el desarrollo
de polticas y procedimientos en seguridad de activos de informacin en donde debe establecerse
un esquema acorde con el impacto que representa la alteracin, prdida y divulgacin de la
informacin sensitiva para la organizacin. El mismo, propone la siguiente clasificacin:
restringida, altamente confidencial, confidencial, interna y pblica, como lo muestra la Figura 4
Clasificacin de la Informacin.
Figura 4. Clasificacin de la Informacin. Fuente: SANS Institute InfoSec Reading Room.
13
Los niveles mostrados en la figura anterior se pueden definir de la siguiente manera :
Restringida: Esta clasificacin aplica para informacin de uso exclusivo por parte
de un reducido grupo de personas dentro de la organizacin. La divulgacin no
autorizada de esta informacin conlleva severos impactos a la operacin y
reputacin de la empresa. Informacin que, de divulgarse a personas no
13
SANS Institute InfoSec Reading Room
16
autorizadas, puede afectar las obligaciones jurdicas o reguladoras de la

organizacin, o bien su estado financiero, sus clientes o franquicias.
Altamente confidencial: Esta clasificacin abarca informacin menos sensitiva,

pero de uso exclusivo en reas especficas de la organizacin. La divulgacin de
esta informacin puede afectar las ventajas competitivas o causar daos
patrimoniales a la organizacin. Informacin que, de divulgarse a personas no
autorizadas, puede afectar las obligaciones jurdicas o reguladoras de la
organizacin, o bien su estado financiero, sus clientes o franquicias.
Confidencial: Informacin sobre clientes, empleados y negocios de la organizacin

que la organizacin est obligada a proteger. Informacin que, segn la unidad
empresarial, tiene posibilidades de proporcionar una ventaja competitiva, o que
puede afectar considerablemente a la empresa, si se divulga a personas no
autorizadas.
Interna: Esta clasificacin aplica para informacin nicamente para uso interno de
la organizacin. Su divulgacin pudiese acarrear daos o ser utilizada por persona
ajenas a la organizacin, para fines particulares. Informacin que, por lo general, se
divulga dentro de la organizacin, que no est destinada a distribuirse fuera de la
organizacin, y que no est clasificada como restringida, altamente confidencial o
confidencial.
Pblica: Esta clasificacin incluye cualquier otra informacin que no se encuentre

dentro de cualquiera de las tres anteriores, que no requiera proteccin contra
accesos no autorizados. Sin embargo, su divulgacin debe ser regulada por las
reas competentes. Informacin que est libremente disponible fuera de la
organizacin, o que est destinada al uso pblico por parte del propietario de la
informacin. La informacin pblica no tiene restricciones en cuanto a seguridad.
Cada negocio debe designar a los propietarios de la informacin correspondientes a cada uno de
los dueos de esta. Es responsabilidad del propietario de la informacin determinar el nivel de la
clasificacin as como definir y aprobar a quien ms se puede divulgar la informacin de la que es
propietario.
17
2.2 Seguridad de la informacin

14
Ser lo que soy, no es nada sin la seguridad . Sin duda William Shakespeare tena un concepto
ms evolucionado de la seguridad que sus contemporneos del siglo XV y quizs tambin que
algunos de los nuestros.
La meta es ambiciosa. La seguridad como materia acadmica no existe, y es considerada por los
estudiosos como una herramienta dentro del mbito en que se la estudia: relaciones
internacionales nacionales, estudios de riesgo, prevencin de crmenes y prdidas, etc.
El amplio desarrollo de las nuevas tecnologas informticas est ofreciendo un nuevo campo de
accin a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar,
ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
2.2.1 Definicin
En las organizaciones, la Seguridad de la Informacin (SI) ha comenzado a tomar un lugar

determinante, y se ha convertido en un elemento fundamental a ser considerado en toda
estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo.
En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas

que garanticen una gestin segura de los procesos del negocio a fin de darle mayor resguardo a la
informacin, y al mismo tiempo no obstculos para adaptarse a los continuos cambios de la
organizacin como consecuencia de las exigencias del mercado, sin embargo, para lograr este
objetivo es necesario conocer la definicin de seguridad de la informacin, segn Timothy P.
Layton en su libro Information Security: Design, Implementation, Measurement, and Compliance,
define la seguridad de la informacin como: la proteccin de la informacin y los sistemas de
informacin del acceso, uso, divulgacin, alteracin, modificacin o destruccin no autorizados.
15
Los trminos de seguridad de la informacin, seguridad informtica y aseguramiento de la

informacin son frecuentemente e indistintamente usados de forma incorrecta. Estos trminos
estn relacionados entre s a menudo y comparten los objetivos comunes de proteccin de la
confidencialidad, integridad y disponibilidad de la informacin, sin embargo, hay algunas
diferencias sutiles entre ellos. Estas diferencias radican fundamentalmente en el enfoque del tema,
las metodologas utilizadas, y las zonas de concentracin.
La seguridad de la informacin se refiere a la confidencialidad, integridad y disponibilidad de los

datos independientemente de la forma de los datos: electrnicos, impresos, o de otras formas. Sin
14
15
William Shakespeare, 15641616.

Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:
Auerbach publications. ISBN 978-0-8493-7087-8.
18
embargo, la seguridad informtica puede centrarse en garantizar la disponibilidad y el correcto

funcionamiento de un sistema informtico sin preocuparse por la informacin almacenada o
procesada por el mismo. As mismo, el aseguramiento de la informacin se refiere a la gestin
de los riegos asociados a la informacin.
16
A medida que el rol de seguridad de la informacin evoluciona, los directivos y ejecutivos de

negocio reconocen que ste es sin duda el primer paso en la relacin entre la organizacin, sus
clientes, socios de negocio, proveedores y empleados. En este sentido, la seguridad de la
Informacin acarrea grandes implicaciones para las organizaciones debido a que la confianza es
la base para el intercambio, y su ausencia es una buena razn para hacer negocios con la
competencia.
2.2.2 Objetivos y propsitos de seguridad de la informacin
Chritian Byrnes y Paul E. Proctor en su libro The Secured Enterprise: Protecting Your Information
Assets definen que el objetivo de la seguridad de la informacin es el proteger el patrimonio
informtico de la organizacin, entendiendo por tal, instalaciones, equipo e informacin.
17
Los principales objetivos, propuestos por Julio Csar Ardita (fundador y director de investigacin y
desarrollo de CYBSEC Security Systems), que persigue la seguridad de la informacin son los
siguientes:
18
Asegurar la integridad y exactitud de la informacin.
Proteger la confidencialidad de la informacin.
Proteger y conservar los activos de la informacin fuera del alcance de riesgos, de

desastres naturales o de actos mal intencionados.
Asegurar la capacidad de supervivencia de la organizacin ante eventos que

pongan en peligro su existencia.
Proveer el ambiente que asegure el manejo adecuado de la informacin sustantiva.
Proteger los sistemas informticos de la empresa ante posibles amenazas.
16
Idem
F. Christian Byrnes & Paul E. Proctor, The Secured Enterprise: Protecting Your Information Assets, 2005, Prentice Hall
Professional.
18
ARDITA, Julio Csar. http://www.cybsec.com
17
19
Desarrollar, promocionar y actualizar las polticas y estndares de seguridad de la

informacin.
Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de
los usuarios de la empresa.
Desarrollar e implementar el plan de seguridad.
Asegurarse de que los aspectos relacionados con la seguridad sean considerados

cuando se seleccionen los contratistas.
Monitorear da a da la implementacin y el uso de los mecanismos de seguridad de

la informacin.
Coordinar investigaciones de incidentes de seguridad informtica.
Revisar los logs de auditora y sistemas de deteccin de intrusiones.
Participar en los proyectos informticos de la organizacin agregando todas las

consideraciones de seguridad.
En resumen, el propsito de seguridad de la informacin es el reducir el impacto de un fenmeno

que pueda causar prdidas y que deber encontrarse en posibilidades de recuperacin a un
mnimo nivel aceptable, a un costo razonable y asegurando la adecuado re estabilizacin de la
operatividad.
2.2.3 Funciones de la seguridad de la informacin
Mucho se habla de seguridad de la informacin en estos tiempos, sin embargo, cabe destacar que
las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones
de las mismas. Adems es una realidad que las funciones de la seguridad de la informacin estn
delimitadas en un mbito tecnolgico, sin embargo, se le debe dar un enfoque estratgico
optimizando as las funciones de la misma para lograr un amplio aprovechamiento de las mejores
prcticas, polticas y estrategias vinculadas a los objetivos y propsitos de la organizacin.
Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar
19
por la seguridad de la informacin :

19
Herrera Reyna, Omar Alejandro.http://www.segu-info.com.ar
20
Minimizar los riegos de quebrantos y fraudes, a travs del establecimiento de

normas, medidas y procedimientos preventivos y de seguridad en los productos,
servicios y procesos que los soportan.
Proteger la informacin de acuerdo a su importancia y valor, as como resguardar

los dems activos de informacin en donde se procesan.
Asegurar que desde su inicio incorporen en cada uno de sus proyectos y

procedimientos las normas, medidas y procedimientos de prevencin y de
seguridad.
Investigar administrativamente hechos dolosos que por su trascendencia o impacto

afecten los intereses de la empresa.
Dar seguimiento conforme a la normatividad interna y al marco jurdico, las acciones

dolosas y negligentes de su personal, que afecten el patrimonio organizacional.
Realizar diagnstico de riesgos en las diferentes reas de la empresa y proponer

acciones de solucin.
Identificar necesidades y problemtica con base en el anlisis de riesgos

previamente realizado e identificar problemas que afecten de manera general la
seguridad de la informacin.
Definir polticas y procedimientos generales de seguridad de la informacin, para

todo el mbito informtico.
Definir, orientar y dar seguimiento a estrategias y planes organizacionales de

seguridad dentro de la empresa.
Dar seguimiento al cumplimiento de estrategias, normas, requerimientos y

liberaciones.
Concienciar y difundir los conceptos de seguridad en toda la empresa.
21
Participar en la creacin de los planes organizacionales mediante la revisin,

adecuacin y evaluacin del uso de los recursos tecnolgicos requeridos por cada
rea.
Es de suma importancia tener firmemente cimentadas las funciones de seguridad de la

informacin con el fin de que el rea responsable delimite, implante y efecte las medidas
necesarias para el cumplimiento de los objetivos y propsitos de la seguridad de la informacin y
por tanto de la organizacin en general.
2.2.3.1 Qu debemos proteger
De acuerdo al libro Information Security: Design, Implementation, Measurement, and

Compliance, en cualquier sistema de informacin existen los siguientes elementos bsicos a
proteger: el hardware, el software, las comunicaciones y la informacin (ver Figura 5
Componentes de seguridad de la informacin). De estos, la informacin que maneja el sistema
debe ser lo ms importante, ya que es el resultado del trabajo realizado. Si existiera dao del
hardware, software o comunicaciones estos pueden adquirirse nuevamente desde su medio
original; pero la informacin obtenida en el transcurso del tiempo es imposible de recuperar: tal vez
se pueda recurrir a un sistema de copias de seguridad (si es que se tiene), y an as es difcil de
devolver la informacin a su forma anterior al dao.
20
Figura 5. Componentes de seguridad de la informacin. Fuente: http://wikipedia.org, John M. Kennedy T.
20
Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:
Auerbach publications. ISBN 978-0-8493-7087-8
22
2.2.3.2 De quin debemos protegernos
Gustavo Aldegani en su libro Seguridad Informtica
define que un intruso o atacante a la
persona que accede (o intenta acceder) sin autorizacin a un sistema ajeno, ya sea en forma
21
intencional o no . La Figura 6 Amenazas para la seguridad, es una clara clasificacin de quien

debemos protegernos.
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: Seguridad Informtica: Sus
implicancias e implementacin.
2.2.3.3 Cmo podemos protegernos

22
Julio C. Ardita indica que debemos protegernos en tres momentos :
La prevencin (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un

sistema durante su funcionamiento normal.
La deteccin (durante): mecanismos orientados a revelar violaciones a la seguridad.
La recuperacin (despus): mecanismos que se aplican, cuando la violacin del

sistema ya se ha detectado, para retornar ste a su funcionamiento normal.
Estos mecanismos conformarn polticas que garantizarn la seguridad de nuestro sistema de

informacin. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales,
cada riesgo debera ser atacado de las siguientes maneras:
21
22
ALDEGANI, Gustavo. Miguel. Seguridad Informtica, MP Ediciones Argentina.

ARDITA, Julio Csar. http://www.cybsec.com
23
1. Minimizando la posibilidad de su ocurrencia.
2. Reduciendo al mnimo el perjuicio producido, si no ha podido evitarse que ocurriera.
3. Diseo de mtodos para la ms rpida recuperacin de los daos experimentados.

4. Correccin de las medidas de seguridad en funcin de la experiencia recogida.
Para garantizar que un sistema sea fiable se deber garantizar las caractersticas ya mencionadas
de integridad, confidencialidad, operatividad, control y autenticidad. Se deber conocer qu es lo
que queremos proteger, de quin lo queremos proteger, cmo se puede lograr esto legislativa y
tcnicamente; para luego concluir con la formulacin de estrategias adecuadas de seguridad
tendientes a la disminucin (anulacin?) de los riesgos.
Comprender y conocer de seguridad ayudar a llevar a cabo anlisis sobre los riesgos, las
vulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las
necesidades de seguridad.
2.2.4 Importancia de la seguridad de la informacin
La era digital permiti una apertura de fronteras, una eliminacin de las barreras comerciales y un
gran intercambio de informacin. As las economas han venido creciendo, y tambin lo han hecho
las organizaciones delictivas.
No es un secreto que cuando se habla de seguridad de la informacin, lo que preocupa a las

organizaciones es el nivel de inseguridad. La inseguridad es la relacin entre la seguridad real y la
seguridad total, utopa inexistente. Las reas encargadas de la seguridad de la informacin, en
realidad, deben lograr
que el nivel de inseguridad est dentro de los parmetros
organizacionalmente aceptados como vlidos y de acuerdo a las necesidades y recursos a los que
la organizacin est limitada. Paradjicamente la seguridad entonces, se mide por el nivel de
inseguridad existente en un sistema de seguridad de la informacin.
Gracias a relevantes encuestas elaboradas por Cybsec, argumentamos que la inseguridad de la

informacin debe ser combatida a partir de un sistema de seguridad integral en donde se cumplan
23
las siguientes premisas :
23
Factor humano y factor tecnolgico deben estar involucrados.
"Tendencias en Seguridad Informtica 2006. Cybsec S.A. http://www.cybsec.com
24
Los sistemas de seguridad de la informacin deben funcionar eficientemente y

generar confianza.
Cada una de las reas de la organizacin debe concientizarse sobre la

responsabilidad que tienen sobre el manejo, uso y resguardo de la informacin que
cada ente dentro de la misma maneja.
La importancia de seguridad de la informacin reside en el hecho de lograr disminuir el ndice de

inseguridad vigente en cualquier sistema de informacin, tomando en cuenta las premisas
anteriores y poniendo en marcha medidas, tcnicas y controles, as como polticas y
procedimientos que sirvan de base para un correcto, creciente y permanente manejo y resguardo
de la informacin.
Procedimientos y tecnologas han avanzado para que la seguridad de la informacin sea cada vez
ms eficiente.
Cmo darle una solucin al tema? Por un lado deben revisarse los procesos del factor humano,
consultoras, capacitacin, educacin y concientizacin al personal, etc., por el otro debe darse un
permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan
un modelo vertical de seguridad: seguridad de almacn, seguridad de transporte, seguridad
perifrica, seguridad personal, seguridad para la tecnologa de informacin, seguridad de la carga,
seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridad
para una sola organizacin. Este modelo de seguridad, utilizado mayoritariamente, es muy
vulnerable y facilita la inseguridad pues:
1. Existen zonas grises entre las distintas reas,
2. Tiene gran dificultad de coordinar los distintos recursos,
3. Existe un riesgo elevado de fuga de informacin por parte de personal comn y
4. No est basado en la inteligencia como modus operandi.

La gestin eficiente de la seguridad de la informacin en las organizaciones, es un claro ejemplo
de cmo la seguridad debe ser planteada en forma estratgica. Fallas de seguridad impactan
negativamente en el cuadro de resultado de las mismas.
25
La seguridad como factor estratgico permitir coordinar, interactuar y lograr la interoperabilidad

necesaria entre los distintos proveedores verticales, actuando como punto de origen y control
desde el cual se imparten las directrices y el control de la seguridad total de la organizacin.
2.3 Vulnerabilidades, Amenazas y Riesgos de la Informacin
Muchos de los trminos de seguridad son frecuentemente confundidos en publicaciones

populares. Diferentes trminos de seguridad tienen distintos significados para ser usados en
formas especficas por una razn. Por ejemplo, evaluacin de riesgos y evaluacin de
amenazas son dos trminos completamente diferentes, y cada uno es valioso por sus propias
razones y aplicables para resolver diferentes problemas.
Los tres trminos de seguridad: vulnerabilidad, amenaza y riesgo, sern definidos a

24
continuacin :
2.3.1 Definicin de vulnerabilidad
El trmino vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un
ataque sea exitoso. La evaluacin de vulnerabilidades debe ejecutarse por las partes
responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para
identificas daos inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades
no son particularmente en tecnologa, estas puede aplicarse en factores sociales, tal como
autenticaciones personales y polticas de autorizacin.
Analizar las vulnerabilidades es til para mantener la seguridad continua, permitiendo a las
personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los
nuevos daos cuando sucedan. Tambin es valiosa para el desarrollo de polticas y tecnologa, y
como parte de del proceso de seleccin de tecnologa, ya que elegir la tecnologa correcta a
tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.
2.3.2 Definicin de amenaza
El trmino amenaza se refiere al origen de un ataque en particular. El anlisis de amenazas puede

ser ejecutado para determinar el mejor acercamiento al aseguramiento de un sistema contra una
amenaza en particular o una clase de amenaza mientras le anlisis de riesgos se enfoca en
analizar el potencial y la tendencia de un recurso a fallar, debido a los ataques, el anlisis de
amenazas se enfoca ms en analizar los recursos del atacante.
24
TechRepublic. Chad Perrin: Understanding risk, threat, and vulnerability, 07 de Julio de 2009
26
Analizar amenazas ayuda a desarrollar polticas de seguridad especficas en alineacin con las
prioridades y el entendimiento de las necesidades de los recursos a asegurar.
2.3.3 Definicin de riesgo
El trmino de riesgo se refiere, a la probabilidad de ser alcanzado por un ataque, ya sea exitoso o
no, as como la exposicin a una amenaza. Un anlisis de riesgo se ejecuta para determinar las
ms potenciales brechas de seguridad y cmo prevenirlas ahora, en vez de corregirlas despus.
Enumerando las ms crticas y peligrosas, y evala los niveles de riesgos relativos a otros
mediante una funcin de interaccin entre el costo y la probabilidad de ocurrencia de dicha brecha.
Analizar riesgos puede ayudar a determinar una apropiada inversin a la seguridad (tanto en
tiempo como en dinero), y priorizar la implementacin de polticas de seguridad como un reto para
resolverlos lo ms pronto posible.
Entender el uso apropiado de estos trminos es importante, no nicamente para sonar que
conocemos de lo que estamos hablando, ni para facilitar la comunicacin. Tambin ayuda para
desarrollar y aplicar buenas polticas. La especificidad de los trminos tcnicos se ve reflejada en
la forma en que los expertos han identificado claras distinciones entre prcticas reales y sus
campos de experiencia, y puede ayudar a clarificar como se deben enfrentar los retos para
alcanzar los objetivos.
Es necesario conocer los riesgos, los recursos que se deben proteger y como su dao o falta
pueden influir en la organizacin, as mismo, es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencion existe una
relacin directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco
(ver Figura 11 Elementos e Interrelaciones Amenaza Vulnerabilidad Riesgo).
27
Figura 7. Elementos e Interrelaciones Vulnerabilidad Amenaza Riesgo. Fuente: Revista de Ingeniera Informtica del
CIIRM.
2.3.4 Clasificacin de riesgos, amenazas y vulnerabilidades
Retomando los trminos anteriores, las organizaciones deben evaluar los posibles riesgos,
amenazas y vulnerabilidades a los que est expuesta su informacin. En general, esta evaluacin
es determinar qu amenazas y vulnerabilidades merecen una atencin prioritaria en relacin con
el valor de la informacin o sistemas de informacin protegida. A pesar de que las amenazas y
vulnerabilidades deben ser consideradas al mismo tiempo, es importante distinguir entre las
amenazas de las vulnerabilidades.
De este modo, las vulnerabilidades en la seguridad de la informacin pueden clasificarse de la

siguiente forma:
Vulnerabilidades en Sistemas: Surgen desde las distintas fases del desarrollo de

estos sistemas, mismas que a continuacin tratamos de definir: vulnerabilidades de
28
diseo, vulnerabilidades de implementacin y vulnerabilidades de implantacin y

configuracin.
Vulnerabilidades
en
Infraestructura
Tecnolgica:
Son
el
resultado
de
implementacin incorrecta de tecnologas, otras son consecuencias de la falta de

planeacin de las mismas pero, como ya se ha mencionado, la mayora de las
deficiencias de la seguridad son ocasionadas por los usuarios de dichos sistemas y
es responsabilidad del administrador detectarlos y encontrar la mejor manera de
corregirlas.
Vulnerabilidades de acuerdo al factor humano. Involucra debilidades por parte de

personas involucradas con los sistemas de la organizacin, ya que desconocen las
mnimas medidas de seguridad y/o polticas de la organizacin. Dichas carencia o
deficiencia de conocimiento y/o conciencia de la seguridad de la informacin puede
llevar a la manipulacin de las personas para convencerlas de que ejecuten
acciones o actos que normalmente no realizan para que revele todo lo necesario
para superar las barreras de seguridad (conocido como Ingeniera Social). Un
atacante pude utilizar medios no electrnicos (llamadas telefnicas, anuncios,
suplantacin de personal tcnico, etc.), para conseguir acceso o atacar la
infraestructura de soporte a sistemas de informacin de la organizacin. Se deben
evaluar los procedimientos y organizacin de la organizacin relacionados con
seguridad de la informacin a fin de detectar debilidades frente a tcnicas de ataque
no electrnicas, mejor conocidas como Ingeniera Social.
A pesar de que las amenazas pueden surgir de una amplia variedad de fuentes, se pueden
clasificar en tres grandes grupos:
Amenazas Humanas: Esta clasificacin trata sobre cada uno de los personajes que
pueden ser potenciales atacantes de nuestro sistema: el personal externo y el
personal perteneciente a la organizacin. Podemos clasificar las amenazas
humanas en:
Personal Interno
ExEmpleado
Curiosos
Terroristas
Intrusos remunerados
29
Hackers, crackers, phreakers, gurs, lamers scriptkidders, copyhackers,

bucaneros, newbies, wannaber, samuri, piratas informticos, creadores de
virus, etc.
A diferencia del atacante externo, los empleados de una empresa poseen

conocimiento y disponen de mayores oportunidades para explotar vulnerabilidades
existentes. Por esta razn, el fraude interno sigue siendo altamente costoso y difcil
de identificar, el ambiente de control interno, la cultura organizacional de prevencin
y la ejecucin rpida de acciones asertivas al presentarse situaciones de este tipo,
son fundamentales para su minimizacin.
Algunas causas por las que un sistema de seguridad de la informacin puede ser
ms vulnerable desde el factor humano, son:
Personal Interno.
Baja moral, motivacin y sentido de pertenencia entre los

empleados.
Alta rotacin de empleados.
Baja
disponibilidad
de
personal
en
los
departamentos
de
contabilidad y auditora interna.
Empleados con estilo de vida inconsistente con sus ingresos y

patrimonio.
Presin interna (ejemplo, presin sobre la Gerencia para alcanzar

las metas de presupuesto).
Forcejeos y luchas internas en la alta gerencia.
Empleados con motivos de queja reales o imaginarios contra la

Compaa o la Gerencia.
Nivel institucional
Ambiente de Control Interno dbil, en especial en el rea de

controles informticos.
La ausencia de un programa de cumplimiento de polticas internas y

regulaciones.
Gran nmero de quejas de clientes, proveedores o entes

reguladores.
30
Falta deficiencia de conocimiento, debido a nulos o escasos

programas de difusin, educacin, capacitacin y concientizacin
en materia de seguridad de la informacin.
Amenazas Tecnolgicas: El crecimiento de las necesidades en tecnologa de la

informacin (TI) es directamente proporcional al crecimiento de los riesgos,
amenazas y vulnerabilidades que nos rodean. Dentro de las amenazas tecnolgicas
a la seguridad de la informacin podemos considerar las siguientes: trojan horses,
data diddling, spoofing, scanning, eavesdropping packet sniffers, denial-of-service,
virus, worms, session hijacking, logic bombs & time bombs, etc.
Amenazas
Naturales: Este tipo de amenazas se refiere a condiciones de la
naturaleza y la intemperie que podrn causar daos a los activos. Las principales
amenazas que se prevn en las amenazas naturales son: incendios, inundaciones,
condiciones climatolgicas, terremotos, etc.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del
medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin
brindada por los medios de control adecuados. Estas decisiones pueden variar desde el
conocimiento de la reas que recorren ciertas personas hasta la extremo de evacuar el edificio en
caso de accidentes.
La ejecucin adecuada y oportuna de pruebas es esencial para identificar muchas de estas

amenazas y vulnerabilidades. Un punto importante para determinar los riesgos, amenazas y
vulnerabilidades consiste en la elaboracin inventario de la informacin y sistemas relacionados a
la misma (ver tema 2.1.4 Clasificacin de la informacin), de este modo mediante la apreciacin
del riesgo y la exposicin a las amenazas y vulnerabilidades observadas, se podr asignar
clasificaciones de riesgo a la informacin y sistemas de informacin.
La clave para la clasificacin de riesgos es organizar la informacin y los sistemas de informacin

dentro de un marco lgico. Dicho marco debe reconocer que no todas las amenazas y los riesgos
son iguales, as mismo se debe reconocer que la organizacin dispone de recursos finitos para la
atencin de dichos riesgos. Los riesgos razonablemente previsibles, deben ser priorizados y
clasificados de acuerdo a la sensibilidad y la importancia de la informacin.
La probabilidad o posibilidad de que se produzca un hecho, y el impacto que tendra, debe

considerarse en la determinacin de la clasificacin del riesgo, adems de la clasificacin de la
informacin. Del mismo modo la clasificacin asignada al riesgo debe estar directamente influido
31
por perfil de la organizacin y la eficacia de sus controles. Normalmente, el resultado se expresa

en diferentes niveles de riesgo, por ejemplo, "Alto", "Medio" o "Bajo". La clasificacin de riesgo es
especficamente juzgado, determinado y asignado en relacin con el nivel de exposicin y la
probabilidad de la amenaza, teniendo en cuenta la adecuacin de los controles internos. Cuando
los controles son insuficientes o no que se haya concluido la evaluacin de riesgos se debera
incluir un plan de accin para mejorar los controles.
Una vez que los riesgos asociados con amenazas y vulnerabilidades han sido evaluados, las
probabilidades asignadas, y los riesgos evaluados, los riesgos deben ser separados en los que la
organizacin est dispuesta a aceptar y aquellos que deben ser mitigados.
Un punto importante a considerar es que se debe disponer de una lista de amenazas

(actualizadas) para ayudar a los administradores de seguridad a identificar los distintos mtodos,
herramientas y tcnicas de ataque que se pueden utilizar. Es importante que los administradores
actualicen constantemente sus conocimientos en esta rea, ya que los nuevos mtodos,
herramientas y tcnicas para sortear las medidas de seguridad evolucionan de forma continua.
2.4 Fuga de informacin
Dentro de los riesgos a los que se encuentra expuesta la informacin, se puede destacar uno: la
fuga de informacin. Estadsticas recientes muestran que el nmero de eventos de esta ndole
25
est en aumento , en parte debido a la reciente legislacin, que exige la notificacin de la prdida
de datos, obligando a las organizaciones a notificar a las vctimas de que su identidad ha sido
puesta potencialmente en peligro.
La fuga de informacin es una amenaza silenciosa. El personal puede filtrar informacin sensible
de forma intencional o accidental. Esta informacin sensible puede ser electrnicamente
distribuida por email, sitios web, protocolos de transferencia de red, mensajera instantnea,
archivos, bases de datos, y alguna otra manera electrnica disponibles, todo a escondidas de la
organizacin. La propagacin maliciosa o involuntaria de informacin sensible puede tener
consecuencias devastadoras para el cliente, as como para la organizacin.
25
"Etiolated Statistics". Etiolated Consumer\Citizen. http://www.etiolated.org/statistics. Obtenido el 05/06/2007.
32
2.4.1 Definicin
En el campo de seguridad de TI, la fuga de datos, segn el artculo A Chronology of Data

26
Breaches" es: La liberacin de informacin segura fuera de su entorno de confianza . Otros

trminos para este problema incluyen la divulgacin de informacin y prdida de datos.
La fuga de datos segn la pgina de internet IDG.es, se define como: la extraccin no autorizada
de datos, ya sean pblicos, internos, confidenciales y restringidos as mismo la complementa con
una segunda definicin: la filtracin no autorizada de datos, ya sea por medio de correo
electrnico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los
dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniera social
electrnica y no electrnica, comunicaciones de fax a email, medios no autorizados (CD/DVD,
discos y memoria USB), etc.
27
Segn el cdigo nuevo cdigo penal colombiano, la fuga de datos es: la revelacin dolosa de
informaciones concernientes a la vida personal y familiar, o del patrimonio econmico individual,
28
que posean personas o entidades autorizadas en sus bases de datos .
2.4.2 Tipos
La fuga de informacin puede incluir incidentes como el robo o la prdida de los medios digitales,
tales como cintas de computadora, discos duros o computadoras porttiles que contienen estos
medios de comunicacin en los que dicha informacin se almacena sin cifrar, publicar dicha
informacin en internet o en un equipo de otro modo accesible desde internet sin precauciones de
seguridad adecuadas de informacin, la transferencia de dicha informacin a un sistema que no es
completamente abierto, pero no es adecuada o formalmente acreditados para la seguridad en el
nivel aprobado, como cifrar el correo electrnico o la transferencia de informacin a los sistemas
de informacin de una agencia posiblemente hostil, como una empresa competidora o de una
nacin extranjera, en las que puede estar expuesto a ms tcnicas de descifrado intensiva.
Estos tipos de eventos pueden ocurrir por:
26
27
28
Accin intencional: Supresin, robo o extraccin intencionada de informacin.
"A Chronology of Data Breaches", Clearinghouse. http://www.privacyrights.org.

Network World Espaa, IDG.es
Nuevo Cdigo Penal Colombiano
33
Acciones no intencionales: Eliminacin o prdida accidental de informacin. No

guardar la informacin. Mala administracin de la informacin.
Errores: Fallas de energa, de hardware, de software. Corrupcin de datos.
Desastres:
Naturales:
fuego,
terremotos,
inundaciones,
tornados,
etc.
Sociales/polticos: guerras, golpes de estado, etc.
Delitos: Robo, piratera, sabotaje, gusanos, virus, hackers.
Los estudios han demostrado fallos en el hardware y el error humano son las dos causas ms
comunes, las cuales representan aproximadamente tres cuartas partes de todos los incidentes.
Una causa comn que se pasa por alto son los desastres naturales, aunque la probabilidad es
pequea, la nica manera de recuperarse debido a un desastre natural, es almacenar una copia
de seguridad en una ubicacin diferente fsicamente separada.
2.4.3 Obstculos en la prevencin de fuga de informacin
Se han desarrollado muchas soluciones que se enfocan a la prevencin de fuga de informacin,

los cuales se enfocan en identificar y categorizar la informacin, para despus implementar
polticas para monitorear la informacin sensible y aplicar controles necesarios. Muchas de estas
soluciones tienen sentido en el concepto, pero en la prctica se enfrentan a mltiples obstculos.
29
Sophos Plc, en su whitepaper Stopping data leakage destaca los siguientes obstculos :
Mucha informacin, poco tiempo: Para muchas organizaciones la informacin esta
dispersada, desorganizada y en grandes volmenes, y clasificarla de forma comprensiva

es una tarea demasiado tediosa y consume muchos recursos, tanto materiales como en
tiempo.
Resistencia de TI: Muchos productos de prevencin de fuga de informacin son
relativamente nuevos y pueden tener algunos incidentes que frecuentemente son falsos
positivos, los departamentos de TI pueden mostrarse renuentes a invertir sus cada vez
ms reducidos recursos en desplegar otra compleja arquitectura empresarial.
Resistencia de los usuarios: Se debe ser precavido al liberar otro agente que consume
recursos de hardware en cada equipo de cmputo de la organizacin, ya que los usuarios

29
Sophos Plc, Stopping data leakage: Exploiting your existing security investment whitepaper
34
presentaran resistencia, ya que considerarn que estos agentes disminuyen la capacidad

de sus herramientas productivas.
Complejidad del alcance: Idear e implementar una poltica comprensible y viable que
soporte la prevencin de fuga de informacin puede encaminar a la organizacin a hacia
buenas prcticas, pero se necesita que se involucre todo el personal, no solo los
departamentos de TI.
Enfoque incorrecto: Muchas soluciones se enfocan ampliamente en fuga de datos

intencional, pero en realidad esta es difcil de detener. Ya que las personas pueden
deliberadamente modificar archivos y saltar la deteccin, as mismo es comn que las
personas compartan informacin por medios inapropiados.
La realidad es que la mayora de las organizaciones no tienen los fundamentos y recursos

necesarios para implementar amplios programas de prevencin de fuga de datos.
2.5 Concientizacin
La seguridad es un problema de gente. Vivimos en la cultura del producto tecnologa, pero, qu

pasa con la gente y los procesos? Todos los expertos, autores, visionarios, pensadores, polticos,
comentan que la gente es un factor crtico de xito para la seguridad, pero muy pocos son los que
atienden esta problemtica. Somos reactivos por naturaleza en lo que a seguridad refiere, con
respecto a la gente si la falla es grande/grave: cambiarlo de rea, asignarle otras tareas, lo
apoyamos de forma inadecuada, etc., pero difcilmente lo concientizamos, lo capacitamos o lo
apoyamos de forma adecuada.
Una gran cantidad de planes fracasan por la poca claridad del concepto y el propsito de los
mismos. La concientizacin no es una moda, aunque as lo parezca. La vulnerabilidad que la
gente representa nunca ser totalmente eliminada, no hay mecanismo 100% seguro. Cuando se
trata de gente, el factor es doble, desconocimiento y malas intenciones. Un programa de seguridad
pretende reducir la vulnerabilidad a un nivel aceptable.
35
2.5.1 Definicin
Segn Israel Corts R., concientizacin es el proceso a travs del cual los usuarios reconocen la
importancia de la seguridad de la informacin y los activos de informacin, se preocupan de forma
proactiva por la misma, y responden de manera adecuada ante cualquier evento o
30
circunstancia .
En el Cybersecurity Awareness Resource Library se define como tomar conciencia de una
realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuvisemos ante los
ojos. El proceso de concientizacin, es el medio o programa en el cual nos aseguramos que existe
un rea de seguridad de informacin, as como sus polticas y normatividades aplicables, son
31
parte del personal de todos los niveles de la organizacin . De la efectividad de estos programas
depende la velocidad de la organizacin para implementar adecuadamente la seguridad de
informacin. Si todo es efectivo, podemos hablar de un proceso rpido, pero si no est resultando
y ser tortuoso, entonces nada funcionara.
2.5.2 Objetivos
La seguridad de la informacin es un tema de amplio alcance y engloba diversos aspectos. Su

importancia para cada organizacin depende de la naturaleza de los riesgos que sta encara. El
artculo Raising awareness in information security, publicado por ENISA, enlista los siguientes
32
objetivos principales de un programa de concientizacin :
Lograr que los usuarios comprendan su rol y responsabilidad en la proteccin de la
integridad, confidencialidad y disponibilidad de la informacin y los activos de su

organizacin.
Que los usuarios entiendan que la seguridad de la informacin es responsabilidad de
todos, no slo del Departamento de TI.
Lograr que los usuarios comprendan que sus acciones pueden impactar de forma adversa
en la seguridad de la organizacin.
30
31
32
Israel Corts R.
Cybersecurity Awareness Resource Library
ENISA, Raising awareness in information security Insight and guidance for Member States
36
2.5.3 Importancia
Con tecnologa podemos forzar a un usuario a cambiar su contrasea, pero no podremos hacer
nada en lo que a su comportamiento refiere. De este modo, ENISA en su artculo Raising
33
awareness in information security destaca que :
La gente es con frecuencia el eslabn ms dbil en la cadena de seguridad.
Los empleados desconocen cmo sus acciones pueden impactar en la seguridad de toda
la organizacin.
La mayor cantidad de incidentes de seguridad son ocasionados por cosas que hizo o dej
de hacer el usuario.
Los colaboradores desconocen su rol y responsabilidad con respecto a la seguridad de la
informacin.
La mayor cantidad de incidentes de seguridad son generados por el desconocimiento de la
gente.
Los usuarios generalmente no saben cmo reaccionar ante un evento o incidente de
seguridad.
Aunque el marketing es una herramienta poderosa para lograr concientizacin en la gente, es

importante considerar que se requiere lograr algo ms que marketing para concientizar a las
personas.
Ya que buscamos lograr un cambio en: forma de actuar, actitudes y cultura. El resultado esperado
no ser una labor trivial. Ser necesario involucrarse con la forma y cultura de la organizacin.
Con este proceso vamos a cambiar prcticas de hace muchos aos, y cuando esto se hace con
gente de por medio, el riesgo de fracasar es alto.
33
ENISA, Raising awareness in information security Insight and guidance for Member States
37
2.5.4 Tipos
Dependiendo del tipo de industria y filosofa de la organizacin, existen diversos mtodos o

medios para enviar los contenidos de los programas de concientizacin. Estos pueden ser: correo
electrnico, psters, intranet con ligas o referencias de seguridad de informacin, conferencias,
uso del DVD, protectores de pantalla (screen savers) con informacin relevante, fondos de
pantalla informativos, etctera.
La revista B-Secure, en un artculo publicado en el 2009, recomienda que las evaluaciones son
muy importantes. Se puede utilizar el e-learning como medio de enseanza, pues brinda facilidad
para concientizar en los tiempos que el personal prefiera, y la evaluacin se facilita al ser online.
Tambin hay evaluaciones personales y globales que constituyen una buena prctica despus de
una campaa de varios meses, pues as la organizacin ubica las reas de oportunidad para
futuras campaas. Por supuesto que la capacitacin formal es de lo mejor, siempre y cuando se
evalen los resultados obtenidos.
Asimismo, se puede recurrir a incentivos como premios y reconocimientos para el personal que,
por ejemplo, haga ms reportes de incidentes, asista a cursos, cumpla con tareas relacionadas y/u
obtenga certificaciones. Otra buena idea es implementar la semana de la seguridad, que puede
constar de plticas, concursos, desplegados en el peridico mural o los televisores del comedor,
reparto de artculos de escritorio alusivos (como mouse pads, por ejemplo) y ms.
Por otra parte, es importante que al nuevo personal se la haga saber en forma adecuada de este
tema, antes de que tenga acceso a un activo de informacin. Un buen mtodo para generar
compromiso, es hacindoles firmar documentos en los que los nuevos empleados dicen haber
entendido las polticas de seguridad y cdigos de tica o confidencialidad, y se comprometen a
acatarlos.
En un programa de seguridad enfocado a las personas, se tienen tres componentes:
Concientizacin
Est enfocado a lograr conciencia de la importancia de la seguridad, los mensajes deben ser
simples, claros y presentados en un formato fcil de entender para la audiencia.
38
Entrenamiento
Est enfocado a lograr un mejor nivel de entendimiento de las prcticas de seguridad, las tcnicas
pueden incluir clases formales, entrenamiento personalizado y paquetes de educacin.
Educacin
Est enfocado a lograr competencias especficas y especialistas. Las tcnicas incluyen

capacitaciones especializadas y cursos de propsito especfico.
2.5.5 Beneficios y obstculos
Sin duda alguna la concientizacin es una herramienta muy poderosa en la proteccin de la

informacin que cualquier individuo maneje, sin embargo, lo que las organizaciones deben tener
en cuenta para su implementacin son los beneficios que esta ofrece para as convencerse que
esta puede ayudar de sobre manera. Por otra parte el camino a su implementacin presenta
obstculos que deben considerarse antes de salir en marcha.
Michael E. Whitman, destaca los siguientes beneficios y obstculos que presenta la

34
concientizacin :
Beneficios
Ayuda a reducir el costo ocasionado por los incidentes de seguridad.
Eleva la moral de los colaboradores.
Reduce la cantidad de sanciones y prdida de empleados valiosos.
Reduce los riegos de la informacin y los activos de informacin.
Protege a la organizacin.
Aumenta el valor del negocio.
Obstculos
Resistencia al cambio
Seguridad es un problema de tecnologa de informacin, no es mi problema
Demasiada informacin
Mala organizacin
34
Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor
of Information Systems. Member Human Firewall Council.
39
Fallas en el seguimiento
Llevar el mensaje adecuado al lugar no adecuado
Falta de apoyo de la direccin
Falta de recursos
No explicar por qu?
Confundir concientizacin con entrenamiento
Ingeniera social
Tomar como referencia los psteres o las mejores prcticas de Internet
Si la organizacin sufre al no contar con una adecuada concientizacin en seguridad de

informacin, los problemas ms frecuentes son:
Incapacidad para el manejo de informacin clasificada. Si el personal no clasifica y maneja

adecuadamente la informacin, no se puede ir muy lejos y se facilita la presencia de
errores y ataques de ingeniera social.
Prdida o destruccin de informacin clasificada. Relacionado al punto anterior, podra

inclusive llegar a establecerse la posibilidad de perder o daar la informacin.
Atrasos en proyectos relacionados a seguridad de informacin. En estos das, la velocidad

en los negocios es relevante. Si a causa de una falta de concientizacin el personal no
cumple con lo establecido en materia de seguridad, es probable que los proyectos se
retrasen impactando negativamente a la organizacin.
Incapacidad para responder a incidentes. No se debe improvisar ante los incidentes. Si no

hay conciencia de estos no se reportarn, lo que har que se eleven los riesgos.
Imposibilidad de aspirar a contar con acreditaciones internacionales. Los estndares ms

importantes, como el ISO27001, consideran muy relevantes los temas afines a la
concientizacin, requisito de su sistema de gestin. Fallas en este proceso impiden
certificarse en esta norma.
Desgaste del personal al no entender los beneficios. Si los empleados no entienden la

importancia de la seguridad, para el equipo de seguridad que empuja este tipo de
iniciativas ser como empujar una carreta por los lados (y no por la parte de atrs)
40
Todo tipo de impactos (financieros, legales, de imagen, etc.) a la organizacin.

Dependiendo de cada caso, podran tratarse de impactos mnimos, pero tambin podran
ser desastrosos, si se violara alguna ley o regulacin que ocasione la prdida de una
concesin o genere graves consecuencias para el futuro de la empresa.
41
Captulo III: Problemtica actual de la concientizacin en la fuga de

informacin
Las organizaciones, ya sean pblicas o privadas, estn almacenando y difundiendo un volumen
cada vez ms extenso de informacin por medios electrnicos, creando una mayor dependencia
de los sistemas de TI. Estas tareas constituyen una parte crecientemente importante de la
actividad empresarial.
Sin embargo, aunque la tecnologa y los procesos representan piezas fundamentales de los
programas de seguridad de la informacin, el componente ms importante que se necesita son las
personas.
Este captulo satisface el primer objetivo de esta investigacin identificando la necesidad para un
nuevo modelo que enfatice el factor humano, tomando como herramienta la concientizacin, y
atacando el problema: la fuga de informacin.
3.1 Comportamiento humano: un problema de seguridad de la informacin
El comportamiento humano se define como conjunto de actividades realizadas por el ser humano
y es
influenciado por cultura, actitudes, emociones, valores, tica, autoridad, relaciones,

35
persuasin y/o manipulacin . La teora detrs del comportamiento humano, es que el ser
36
humano reacciona a objetivos definidos, estmulos o situaciones y no factores subjetivos . En

otras palabras el comportamiento humano es simplemente las acciones y reacciones como
resultado de influencias y eventos.
El lado humano de la seguridad de la informacin es fcilmente explotado y constantemente

pasado por alto. Las compaas gastan millones de dlares en firewalls, mecanismos de cifrado y
dispositivos de acceso seguro, muchas veces es dinero desperdiciado, porque ninguna de estas
medidas se enfocan en el eslabn ms dbil de la cadena de seguridad: el factor humano.
En la prctica, muchas empresas e investigadores han buscado encontrar formas de proteger,
reaccionar, y mitigar ataques de fuentes externas, pero falta mucho trabajo para proteger a la
organizacin de daos causados por empleados con acceso legtimo a los recursos internos. El
personal interno es diferente de personas externas, porque a ellas les han sido concedidas ciertas
autoridades y confianza, y tienen conocimiento superior del valor del activo.
35
36
Shulyupin, C. Human behavior. 2004

Webster Comprehensive Dictionary International Edition. Vol. 1. 1995, Chicago: Ferguson Publishing Co.
42
La amenaza del personal interno es un gran problema y ocurre en muchos niveles comenzando
con accesos accidentales debido a la ignorancia de normas sobre seguridad, falta de prctica o
falta de previsin. El peor dao del personal interno, proviene de intentos maliciosos, realizados a
propsito, y a menudo con resultados que comprometen o destruyen la informacin, o negacin de
servicios.
Se han realizado varios estudios que han sealado la naturaleza del personal interno. Lo que
sigue es una sinopsis breve de un estudio realizado por CERT (Computer Emergency Response
Team). La importancia de este estudio reside en el hecho de que examina las amenazas desde
dos perspectivas: comportamiento y tecnologa, simultneamente. A continuacin se muestran las
37
siete conclusiones que el estudio produjo :
Conclusin 1: La mayora de incidentes requirieron mnimo conocimiento tcnico, en donde:
Figura 8. Conclusin 1 - Insider Threat Study. Fuente: CERT
37
CERT: Computer Emergency Response Team. Insider Threat Study 2008
43
Conclusin 2: Los atacantes planearon sus acciones. Donde:
Figura 9. Conclusin 2 - Insider Threat Study.Fuente: CERT.
Conclusin 3: Las ganancias financieras motivaron a la mayora de los atacantes. Donde:
Figura 10. Conclusin 3 - Insider Threat Study. Fuente: CERT.
44
Conclusin 4: Los atacantes no comparten un perfil comn. Donde:
Conclusin 5: Los incidentes fueron detectados por varios mtodos y personas. Donde:
45
Conclusin 6: Las vctimas sufrieron prdidas financieras. Donde:
Conclusin 7: Los atacantes actuaron en el lugar de trabajo. Donde:
Esta investigacin nos arroja resultados importantes, ya que consider ambas implicaciones:
tecnolgicas y de conducta, y produjo varias conclusiones cruciales en la naturaleza del personal
interno. Nos da una clara referencia de la importancia de la educacin y capacitacin de todo el
46
personal a todos los niveles organizacionales en cuestiones de seguridad de la informacin,

enfatizando el papel clave que cada persona desempea en la prevencin y deteccin temprana
de las actividades que atenten contra la seguridad de la informacin. La educacin puede ayudar a
reconocer e informar de comportamientos inusuales que afecten la seguridad de la informacin,
as mismo, crear una cultura de seguridad en la que los empleados comprendan que son una
importante lnea de defensa contra ataques a la informacin de la organizacin, enfatizando que
son un componente clave de cualquier estrategia para mitigar las amenazas que acechan a la
informacin.
Adems, las conclusiones de este informe resaltan el hecho de que el personal subestima
frecuentemente las posibles consecuencias de sus actos. Muchas veces el robo de informacin,
perdida de datos y fuga de informacin, se da por compartir dicha informacin sin intenciones
maliciosas, educar al personal sobre las consecuencias que podran derivarse de este tipo de
actividades, en personal sobre ellos mismos, es una herramienta que puede emplearse para
mitigar los riesgos de amenazas internas.
Otro punto importante a considerar, es la realizacin de medidas preventivas, es decir verificar las
referencias del personal antes de la contratacin, ya que las personas que han mostrado
antecedentes delictivos tienden a recurrir a esta clase de conductas.
Del mismo modo, el monitoreo continuo aumenta la probabilidad de deteccin temprana de

actividades maliciosas, y as disminuir su impacto. Est monitoreo de actividades debe efectuarse
tanto en el lugar de trabajo como en conexiones remotas, ya que ambas son igualmente
importantes ya que las actividades maliciosas son cometidas desde el lugar de trabajo y de forma
remota en nmeros casi iguales.
Los controles de acceso deben ser cuidadosamente diseados, controlados y vigilados de forma
continua, debido a que el estudio revela que la mayora de los ataques se efectan usando las
credenciales propias del personal, as mismo se pueden evitar las consecuencias sobre personal
inocente debido a ataques de suplantacin de identidad.
Las personas, quienes son todas susceptibles de fallar, y son usualmente reconocidos como el
eslabn ms dbil en la seguridad informacin. El problema es: por mucho que sea el esfuerzo
que sea enfocado a la proteccin de informacin, en todas sus formas, slo se requiere una
persona malintencionada o mal guiada para derrumbar todos los esfuerzos.
47
3.2 Problemtica actual por falta de concientizacin, educacin y capacitacin
El aumento en el uso de sistemas de TI para almacenar y procesar la informacin, torna ms

importante el hecho de conservarla en condiciones seguras. Una de las principales obligaciones
para toda organizacin es garantizar que su personal acte correctamente. Mantener segura la
informacin de carcter sensible no es un hecho a tales obligaciones.
Varios de los principales factores que promueven la importancia de la concientizacin sobre la

seguridad de la informacin podran enumerarse en estos trminos:
Las necesidades empresariales cambian a medida que evoluciona el uso de la

tecnologa
Los reguladores extranjeros (p. ej., Estados Unidos y Singapur) cuentan con que el
personal reciba formacin orientada a la concientizacin
La delincuencia organizada constituye una amenaza cada vez ms latente. En un

informe sobre la seguridad en Internet publicado recientemente, se hace hincapi
en los elevados ndices de actividad delictiva en la red, registrndose un incremento
de las estafas basadas en la usurpacin de identidad, el correo basura, las redes
robot, los ataques de troyanos y las amenazas de da cero. En el pasado, estas
amenazas solan estar claramente definidas y podan ser atajadas por separado. No
obstante, los agresores perfeccionan sus mtodos, y en la actualidad sus
actuaciones tienden a implicar mltiples vectores de ataque. Adems, estn
consolidando posiciones con el fin de crear redes mundiales que facilitan la
coordinacin de la actividad delictiva
Los clientes se han vuelto actualmente ms receptivos a la problemtica de la

seguridad. Un tratamiento despectivo en la prensa puede suponer un grave perjuicio
para la reputacin de una organizacin
La usurpacin de la identidad constituye un riesgo cada vez ms generalizado para

la seguridad. Las organizaciones que almacenan y gestionan datos de identificacin
personal deben tomar precauciones para garantizar su confidencialidad e
integridad. Cualquier transaccin que implique la filtracin de datos de identidad
personales puede llevar aparejada la prdida de la confianza por parte del pblico,
as como responsabilidades penales y costosos litigios.
48
Figura 15. Importancia de la seguridad de la informacin. Fuente: ENISA.
Teniendo en cuenta estos parmetros, nada tiene de sorprendente que un 80% de los consultados
califique la seguridad de la informacin como una prioridad elevada o muy elevada a nivel
ejecutivo. Se trata de una proporcin similar a la observada en otras encuestas recientes sobre
seguridad. La seguridad de la informacin es un tema de amplio alcance y engloba diversos
aspectos. Su importancia para cada organizacin depende de la naturaleza de los riesgos que
sta encara. La prioridad dada a la seguridad de la informacin parece estar ms relacionada con
la actitud de la alta direccin que con el sector en el que opera la organizacin y, por tanto, con los
riesgos a los que se expone.
Retomando la grfica mostrada en la Figura 15 Importancia de la seguridad de la informacin, la

mayora de las empresas confirman que la seguridad sigue ocupando un lugar importante en la
lista de prioridades para la mayora de sus consejos de direccin; no obstante, en algunas, la
seguridad an parece obedecer a un modelo ascendente, en lugar de lo contrario. El hecho de que
una empresa asigne a la seguridad una prioridad baja, refleja en sus ejecutivos una actitud basada
en la nocin de que si no ha ocurrido nada malo hasta el momento, para qu invertir dinero?.
En la contraparte, la principal motivacin de aquellos situados al otro lado de la balanza es la
percepcin del cliente, y el dao que una infraccin podra implicar en su reputacin.
Ms de la mitad de los encuestados califica cada uno de estos elementos como muy importantes,
y el 80% aproximadamente los consideran importantes o muy importantes. Varios de estos puntos
(responsabilidades en materia de seguridad de la informacin dentro de la organizacin y
49
comunicacin de incidencias que afecten a la seguridad), tienen la consideracin de informacin

bsica que el personal debe conocer.
Toda actividad orientada a concientizar sobre la seguridad de la informacin debe inscribirse en el

marco de una norma de seguridad formal. Sin una "norma" general sobre el uso de los sistemas y
de la informacin, resulta muy difcil imponer una conducta adecuada.
En las normas de buenas prcticas se hace mucho hincapi en la necesidad de implantar una
poltica de seguridad que abarque toda la organizacin. As, la ISO 27001 recomienda que las
organizaciones adopten programas de formacin y de concientizacin. El personal directivo ha de
cumplir el requisito de velar por que el personal a sus rdenes aplica la seguridad con arreglo a
unas directrices preexistentes. Para cumplir este objetivo, deben impartir una formacin adecuada
en materia de concientizacin, y actualizar peridicamente las polticas y los procedimientos de la
organizacin, de acuerdo con la actividad laboral que desarrollen sus empleados y, en su caso, los
contratistas y usuarios terceros.
Adems, en muchas normas se recomienda o se exige que la poltica de seguridad de una

empresa contemple la formacin orientada a la concientizacin de los usuarios.
Estudios recientes avalan que nunca haba sido mayor el nmero de empresas que haban
implantado una poltica de seguridad formal. El 88% de los encuestados contaban con una poltica
de seguridad especfica, y un 76% hace alusin a los requisitos de seguridad en el manual dirigido
a sus empleados.
38
Un componente fundamental de toda poltica de seguridad de la informacin y de toda formacin

orientada a la concientizacin, consiste en el anlisis de las amenazas y los riesgos con los que se
enfrenta la empresa. Tal anlisis deber ser el vector de aquellas reas que deban cubrirse
mediante la poltica y la formacin. Todas las organizaciones se enfrentan a entornos, amenazas y
riesgos cambiantes. Para ser eficaces, las iniciativas orientadas a la concientizacin deben contar
con el respaldo de la alta direccin. En el supuesto ideal, deberan contar con el refrendo del
consejo de administracin o del consejero delegado, como elemento que acente la importancia
de la cuestin entre los miembros del personal. Si la alta direccin no concede a la concientizacin
la importancia que merece, es improbable que la formacin pueda culminarse con xito.
Sin embargo, retomando los valores ilustrados en la Figura 2 Programas de concientizacin como
porcentaje del presupuesto de seguridad. En los dos aos registrados (2007 y 2008), es
sorprendente (y preocupante) observar que el presupuesto destinado a programas de formacin
38
European Network and Information Security Agency. Initiatives to raise awareness on information security 2008.
50
y concientizacin tienen porcentajes tan bajos. Alrededor del 42% gastan menos del 1% de su
presupuesto de seguridad en los programas de concientizacin. El grfico muestra una variacin
en general entre el 2007 y 2008, pero en general se puede notar que el presupuesto est
dbilmente enfocado a los esfuerzos de concientizacin en seguridad de la informacin.
Es difcil decir por qu estos nmeros son inferiores a lo que algunos de los debates en torno a la
importancia de la formacin y concientizacin en seguridad podran sugerir. Por un lado, muchos
medios de formacin y concientizacin en seguridad pueden ser implantados a un costo
relativamente bajo. Adems, uno de los principales costos de cualquier tipo de formacin (el
tiempo que los empleados dedican a programas de concientizacin, y que afectan su
productividad) no se contempla en el presupuesto de seguridad. Sin embargo, los bajos gastos en
capacitacin tambin pueden reflejar un cinismo general sobre la necesidad o la eficacia de la
capacitacin de los programas de concientizacin.
Desde hace algn tiempo, se ha credo que los proyectos diseados para aumentar la seguridad
de la informacin de una organizacin no sern aprobados automticamente por la alta direccin,
sino que tienen que estar justificados en trminos econmicos. Por lo tanto, estos programas
deben ser justificados en funcin al Retorno de la Inversin (ROI), Valor Presente Neto (VPN) y la
Tasa Interna de Retorno (TIR) como indicadores financieros para la cuantificacin de los costes y
beneficios de los gastos en seguridad de la informacin.
Pese a la elevada prioridad que se asigna a la seguridad, a muchos consultados les resulta difcil
justificar un gasto significativo en medidas de concientizacin. Slo un tercio de los mismos ha
justificado dichos gastos desde un razonamiento empresarial formal; de ellos, slo la mitad ha
intentado cuantificar los beneficios que se derivaran de sus programas de concientizacin, y muy
*
pocos evalan el ROI. En un estudio efectuado por PricewaterhouseCoopers LLP (PwC) en el

2008, los resultados arrojaron que el 15% de los consultados ha cuantificado los beneficios que
aportara su programa, aun sin haber razonado formalmente la pertinencia de su ejecucin.
* En 2008, la Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA) encarg a

PricewaterhouseCoopers LLP (PwC) la elaboracin de un informe sobre Iniciativas de de concientizacin en
seguridad de la informacin
51
Figura 16. Cmo se justifican los costos continuos de los programas de concientizacin? Fuente: ENISA.
Analizando los valores de la grfica ilustrada en la Figura 16 Cmo se justifican los costos
continuos de los programas de concientizacin?, para la mayora de los consultados, la formacin
orientada a la concientizacin en materia de seguridad, no es sino una obligacin ms que deben
atender, es decir, un requisito obligatorio. Consecuentemente, el presupuesto asignado a esta
tarea se inscribe dentro del gasto general, no en las inversiones. Es una consideracin
interesante, porque en la mayora de los pases no existe una norma que obligue a impartir una
formacin especfica sobre seguridad de la informacin. Sin embargo, la normativa sobre
proteccin de datos parece haber impulsado la formacin orientada a la concientizacin. Alrededor
del 40% de los encuestados justifican su programa apelando a una comparacin entre los niveles
de concientizacin en materia de seguridad de la informacin antes y despus de haberlo puesto
en prctica.
La conclusin que extrae la mayora es que los beneficios aportados por una mayor
concientizacin en materia de seguridad, no son ni tangibles ni cuantificables. Es difcil concretar
unos parmetros que permitan evaluar adecuadamente las conductas. Sin unos parmetros
fiables, el trabajo que supone calcular el rendimiento de la inversin es mayor que los beneficios
obtenidos. A la inversa, una mejora de dichos parmetros llevara aparejado un incremento del
nmero de organizaciones dispuestas a efectuar el razonamiento desde un planteamiento
empresarial.
Existe un abanico muy amplio de tcnicas de concientizacin. Sin embargo, las empresas que
asignan menor prioridad a la seguridad de la informacin son tambin las que menos se esfuerzan
en concientizar a sus empleados. Nuevamente, prevalece el deseo de minimizar costos.
52
Toda organizacin debera adoptar ciertas disciplinas bsicas. Si bien es cierto que gran parte de
las organizaciones ya han definido sus polticas de seguridad, ya sea en el manual del personal, o
en un documento especfico al respecto. El 85% de los consultados han creado un sitio en su
Intranet donde el personal puede informarse sobre todo aquello relativo a la seguridad de la
informacin. Estas tcnicas son baratas, y no hay motivo para no utilizarlas. Sin embargo, muchos
encuestados consideran que polticas, manuales y directrices no bastan por s solos para hacer
ms eficiente la concientizacin. Simplemente, es ilusorio pensar que la mayora del personal
leer y asimilar toda la informacin con la que se le bombardee. Estas tcnicas juegan un papel
til como sostn y refuerzo de otras actividades de concientizacin. Sin embargo, no son eficaces
para modificar por s solas los comportamientos. En lo concerniente a este tema, la Figura 17
Tcnicas empleadas para que el personal tome conciencia en seguridad de la informacin, ilustra
las tcnicas comnmente usadas para que el personal tome conciencia de las cuestiones relativas
a la seguridad de la informacin y de sus obligaciones.
Figura 17. Tcnicas empleadas para que el personal tome conciencia en seguridad de la informacin Fuente: ENISA.
Ante todo nos encontramos frente a un desafo cultural. Es necesario reconocer a la seguridad
como un proceso continuo que debe estar presente en todas las personas involucradas con el
funcionamiento de la organizacin y en todos los aspectos del negocio.
53
Cada persona debe comprometerse con la seguridad, empezando por aspectos tan simples como
no revelar sus contraseas. Y debido a la creciente amenaza contra la seguridad la informacin
en las organizaciones, sabemos que no es suficiente confiar en la tecnologa. La seguridad de la
informacin parte de un problema social, que requiere una comprensin individual completa y
suficiente para cumplir con las polticas, del eslabn ms dbil: el comportamiento humano. En
donde, la misin es educar, bajo una cultura consciente, al personal, acerca de los diferentes
riesgos, responsabilidades que se tiene en el mbito de la seguridad.
La concientizacin ser el punto crucial y significativo de la inversin de un modelo de seguridad

de la informacin, y es tan importante, as como debe de ser la seguridad a nivel tcnico y los
procedimientos, pues los procesos pueden ser mal utilizados, mal interpretados o no utilizados por
las personas perdiendo de esa manera su eficacia real; y no solo es estar enterados de los
problemas que acatan a la informacin, en realidad es responder y reaccionar ante ellos, por lo
tanto esto se considera un factor de comportamiento.
Ahora bien, la ausencia o deficiencia de un plan de concientizacin repercute en varios factores

que afectan de sobre manera aspectos importantes de la organizacin, como lo son exposicin
innecesaria y prdida de datos de clientes y/o confidenciales, graves daos reputacionales, entre
otros, y cada organizacin deber de tomar conciencia de que lo ms importante para ella, son
sus clientes, y que sobre todo, proteger todo lo que a ellos englobe.
En resumen, la seguridad de la informacin es responsabilidad de todos los que trabajan en una

organizacin, y no slo de unos cuantos.
3.3 Fuga de informacin
Despus de aos combatiendo intrusiones, virus y spam, las organizaciones se encuentran a s

mismas luchando con otro creciente incidente de seguridad: la fuga de informacin. Hoy en da, la
brechas de seguridad de la informacin no vienen de ataques de hackeo desde internet, pero
engloban el amplio ambiente de IT, involucrando perdida o robo de laptops, memorias USB y otros
dispositivos, correos electrnicos, aplicaciones, mensajera instantnea entre otros.
En reciente estudio elaborado por IDC, la exposicin inadvertida de informacin confidencial es

citada como el nmero uno de amenazas, por encima de virus, troyanos y gusanos. El tipo de fuga
de informacin ms comn, fue la propiedad intelectual y el 81% de los encuestados define la
proteccin y control de informacin como parte integral de toda su estrategia de proteccin de
datos, esto denota que las organizaciones son cada vez ms conscientes de la urgente necesidad
de controlar la informacin que fluye a travs y fuera de sus instalaciones.
54
La fuga de informacin se ha convertido en una de los ms importantes incidentes de seguridad a

los que se enfrentan las organizaciones hoy en da. Sin embargo, implementar una nueva y
completa estructura para detener la fuga de informacin es generalmente una estrategia poco
viable o poco apropiada. Es preferible, implementar una poltica de uso aceptable que refuerce la
aplicacin de controles apropiados que existan actualmente.
Para entender el reto, es necesario comprender porque a pesar de las polticas de seguridad,
procedimientos y herramientas actualmente en vigor, las personas estn involucrados en
comportamientos de riesgo que ponen las empresas y los datos personales en riesgo.
Empleados en todo el mundo estn utilizando las redes de negocios para comunicarse, colaborar
y acceder a informacin. Las empresas que desean aumentar la productividad han abrazado la
creciente integracin de la red de comunicaciones y operaciones de negocio, y han alentado a los
empleados a tomar ventaja de la tecnologa, tales como los dispositivos inalmbricos y puntos de
acceso pblico. La productividad est en auge, pero las redes colaborativas exponen la
informacin organizacional en un entorno ms amplio que es ms vulnerable y difcil de proteger.
Adems de poner con ms informacin en riesgo, las organizaciones sufren mayores
consecuencias en caso de que se materialice la fuga de informacin. La prdida de la propiedad
intelectual, tales como planos de productos de propiedad, datos financieros, y los planes de fusin
y adquisicin, puede daar la reputacin de una empresa, debilitan su marca, o ponen en peligro
su ventaja competitiva. La omisin de los requisitos reglamentarios para el manejo de informacin
confidenciales de clientes puede reducir la confianza de los clientes y dar lugar a multas.
No debe ser un secreto que para reducir la fuga de informacin, las empresas deben integrar la
seguridad en la cultura corporativa y evaluar constantemente los riesgos de cada interaccin con
las redes, dispositivos, aplicaciones, datos y, por supuesto, los dems usuarios.
Elaborar polticas de seguridad de la informacin y capacitar a los empleados sobre el riesgo de la

fuga de informacin, es una accin muy utilizada para hacer frente a esta problemtica, pero la
eficacia de estas medidas es cuestionable. En los ltimos dos aos, ms de 250 millones de
39
registros confidenciales se reportaron prdidas o robos . Y esas prdidas no siempre se originan

de las amenazas externas. Con conocimiento o sin l, de forma inocente o malintencionada, los
empleados participan en comportamientos que aumentan el riesgo de fuga de informacin.
Para reducir la fuga de informacin y proteger la informacin organizacional, las organizaciones de

TI necesitan entender cmo el comportamiento de los empleados aumenta el riesgo y tomar
39
Privacy Rights Clearinghouse, http://www.privacyrights.org, 2008
55
medidas para fomentar una cultura de seguridad de la informacin en las organizaciones

(concientizacin) en el cual los empleados se apeguen a las polticas y procedimientos.
Para comprender mejor los comportamientos de los empleados que ponen en riesgo los activos de
las empresas, Cisco encarg a la consultara InsightExpress una investigacin para llevar a cabo
un estudio que resalte los errores ms comnmente competidos por los empleados en todo el
mundo en lo que respecta a fuga de informacin. Este estudio revel un conjunto impresionante de
comportamientos que ponen la informacin y los activos organizacionales en riesgo, a pesar de las
polticas corporativas que definen los procedimientos correctos. Los ejemplos siguientes muestran
cmo los empleados con conocimiento sin l, caen en prdida y fuga de informacin:
El uso de aplicaciones no autorizadas dentro de las organizaciones puede poner en riesgo

los datos organizacionales. El uso de correo electrnico personal, es la aplicacin ms
empleada, seguido por la banca en lnea, pago de facturas en lnea, compras en lnea y
mensajera instantnea. Estas aplicaciones suponen un alto riesgo de fuga de informacin
por un empleado o de robo de informacin por un hacker, ya no se encuentran bajo
monitoreo y no se apegan a las normas de seguridad organizacional. Los empleados que
utilizan estas aplicaciones tambin ponen a la organizacin en riesgo de infeccin
provenientes de sitios maliciosos.
El 78% de los empleados accede a su correo electrnico personal desde la

organizacin. Este nmero es aproximadamente el doble del nivel de uso
autorizado.
El 63% de los empleados admiti que utilizaba los equipos informticos de la

organizacin para su uso personal todos los das, y 83% admiti que utilizaba los
recursos organizacionales para su uso personal, al menos unas veces.
El 70% de los profesionales de TI creen que el uso de programas no autorizados

en la organizacin resultan en hasta la mitad de "incidentes de fuga prdida de
informacin.
Muchos empleados mal emplean los equipos de sus organizaciones, aun conociendo que
quebrantan las polticas de seguridad de TI. Algunos ejemplos incluyen la alteracin de la
configuracin de seguridad y dispositivos de trabajo, compartir informacin sensible con
otros empleados, descargar msica, comprar en lnea, pagar facturas, y en algunos casos,
participar en juegos de azar en lnea y la pornografa. Aproximadamente una cuarta parte
de los empleados encuestados reconocieron compartir informacin sensible con amigos,
56
familiares, o incluso desconocidos, y casi la mitad de los empleados encuestados

comparten dispositivos de sus organizaciones con personas ajenas a la organizacin sin
supervisin. Estos comportamientos pueden dar lugar al robo de propiedad intelectual que
puede llegar a audiencias que deriven en graves amenazas para la seguridad y la
rentabilidad de la organizacin.
Muchos empleados dejan que desconocidos ingresen en las instalaciones de sus

organizaciones, dando tambin la libertad de moverse alrededor de las instalaciones de la
organizacin sin supervisin. Estas acciones dan la oportunidad de robar fsicamente los
recursos organizacionales o bien acceder a informacin sensible a personas no
autorizadas. Los empleados tambin acceden a sitios no autorizados de la red
organizacional as como a lugares fsicos.
39% de los profesionales de TI, han lidiado con accesos no autorizados fsicos y
de red por parte de empleados.
Las empresas medianas y grandes tienen en promedio un 46% de accesos no

autorizados, mientras que las empresas medianas se enfrentan a esta
problemtica en un 32%.
El 22% de los empleados permiten a personal ajeno a la organizacin moverse en

las instalaciones de la organizacin sin supervisin.
Las operaciones de las empresas son cada vez ms distribuidas, los empleados mviles
amplan el riesgo potencial de prdida o fuga de informacin.
46% de los empleados de admiten haber transferido informacin entre los equipos
de la organizacin y casa.
Ms del 75% de los empleados no utilizan un proteccin de privacidad cuando

trabajan de forma remota en un lugar pblico.
El 68% de las personas no consideran hablar en voz baja en el telfono cuando

estn en lugares pblicos fuera de la organizacin.
13% de las personas que trabajan desde casa, admiten que al no poder
conectarse a las redes de la organizacin, envan datos desde sus cuentas
personales.
57
Cerrar sesin, bloquear los equipos y emplear contraseas son algunos de las ms
comunes y simples formas de seguridad informtica. Hoy en da sera difcil imaginar a los
usuarios de TI sin esos principios bsicos, sin embargo, sigue sucediendo y en nmeros
alarmantes. Al menos uno de cada tres empleados admiti haber dejado abierta su sesin
o el equipo desbloqueado cuando se mueven de sus lugares. Y uno de cada cinco
empleados almacenan sus informacin de inicio de sesin en escrito y o dejan sobre sus
escritorios, en cajones abiertos o pegados en sus equipos. Cada una de estas fallas en los
protocolos de seguridad proveen de oportunidades de riesgo para los atacantes. Tomadas
en conjunto, no solo dejan abierta la puerta a amenazas potenciales, tambin invitan a los
atacantes a entrar.
28% de los empleados guardan su usuario y contrasea para efectuar operaciones

financieras personales en sus equipos de trabajo.
18% de los empleados comparten sus contraseas con compaeros.
10% de los empleados guardan la informacin de sus inicios de sesin en notas

escritas en sus escritorios.
El desarrollo de estas estadsticas que revelan cuantos empleados presentan comportamientos

que reducen la seguridad de la informacin es un ejercicio importante, pero el valor real que
proporciona es la comprensin de los comportamientos, ayudando a generar guas que apunten
como esos comportamientos e incrementar la seguridad de la informacin, para hacer esto, las
organizaciones necesitan entender como los empleados ven la seguridad y porque ignoran o
violan las polticas y procedimientos de seguridad de la informacin.
Por qu los empleados no siguen los procedimientos de seguridad que admiten les han sido
comunicados? Las polticas son comunicadas sin educacin explicacin? Los empleados son
apticos? O peor an, son ellos amenazas internas que a propsito violan las polticas de
seguridad por obtener beneficios personales? La Figura 18 Motivos por los cuales los empleados
violan la seguridad de la informacin, ilustra los motivos por los cuales los empleados alrededor
del mundo no siguen los procedimientos de seguridad.
58
Figura 18. Motivos por los cuales los empleados violan la seguridad de la informacin. Fuente: InsightExpress.
La figura 18, nos revela datos importantes, ya que de los encuestados el 22% de los profesionales
de TI creen que la educacin en seguridad debe ser mejorada. Un gran nmero de profesionales
de TI creen que los empleados son obstinados porque no entienden el riesgo de sus
comportamientos, porque la seguridad no es una de sus prioridades o simplemente no les importa.
La informacin mostrada en la figura 18 confirma estas creencias.
En muchos casos, los empleados evaden abiertamente las polticas de seguridad por beneficios
personales. Si los empleados son infelices con sus trabajos, estn enojados con sus jefes, o se
quieren vengar por alguna razn, ellos se convierten en amenazas internas que provocan daos
deliberadamente o provocan fuga de informacin.
Si se toman en cuenta estos resultados, se puede determinar que la fuga de informacin surge
debido a dos grandes problemas:
Deficiente concientizacin: La fuga de informacin es frecuentemente el resultado de

comportamientos riesgosos de los empleados, ya que no son conscientes de que sus
acciones son inseguras. Parte de este problema puede atribuirse a la deficiencia de la
poltica de seguridad o a la inadecuada comunicacin de dicha poltica a los empleados.
En otros casos, los profesionales de TI esperan algn grado de profesionalismo,
conciencia de seguridad, y sentido comn para que los empleados tomen precauciones,
sin embargo, no lo obtienen.
59
43% de los profesionistas de TI, consideran que los empleados no estn bien
educados, capacitados y/o concientizados.
19% de los profesionistas de TI, consideran que las polticas de seguridad no han
sido comunicadas a los empleados eficientemente.
Deficiencia de atencin: Ejemplos comunes de comportamientos de los empleados

demuestran una deficiente atencin con respecto a resguardar informacin sensible,
incluido el hablar en voz baja en lugares pblicos sobre informacin confidencial, dejar
sesiones abiertas, dejar contraseas a la vista, acceder a sitios web no autorizados. Una
gran amenaza en esta rea proviene de empleados que pierden sus dispositivos de
trabajo tales como laptops, telfonos mviles, memorias USB, etc.
9% de los empleados han reportado que han perdido o robado dispositivos con
informacin confidencial de la organizacin.
De los empleados que reportaron prdida o robo de dispositivos, el 26% sufrieron

este incidente durante el ltimo ao.
El 33% de fuga de informacin se da porque los empleados comparten esta

informacin a travs de memorias USB, el 25% se da a travs de correo
electrnico
Cuando se les cuestiona a los empleados porque son menos cuidadosos en el

manejo de informacin confidencial, el 48% indica que en la actualidad manejan
un mayor volumen de informacin. 43% han demostrado una creciente apata
hacia los temas de seguridad de la informacin.
La explosin al desarrollo tecnolgico ha derivado en el incremento de dispositivos que se pueden

utilizar para enviar y recibir informacin, lo cual supone al mismo tiempo un beneficio y una
amenaza para las empresas que hacen uso de ellos.
Un estudio de la firma de seguridad Symantec arroj que alrededor de 60% de los empleados
utilizan estos medios para sustraer informacin al momento de dejar la empresa.
"Esto representa un delito intangible, el empleado que se lleva los contactos que crearon en
nombre de la empresa causa prdidas a nivel mundial, aunque poco se habla de ello", afirm Juan
60
Carlos Guell, director de delitos cibernticos de la PFP en el marco del Foro de Liderazgo 2009
organizado por Symantec.
Actualmente el precio que se paga por conseguir informacin sobre contactos en el mundo del
cibercrimen es mayor que aquel que se paga por tarjetas bancarias, de acuerdo con Rafel Garca,
gerente regional de Mercadotecnia para Amrica Latina, de la firma de seguridad.
Al 2009 una persona que quisiera comprar un "lote" de tarjetas de crdito deba pagar entre 0.06 y
30 dlares, mientras que quien busca adquirir contactos de correo electrnico deben dar entre
0.20 y 60 dlares.
El aumento en los costos se debe a que actualmente las organizaciones que cometen crmenes a
travs de Internet operan a travs de redes de contacto, ya que esto les da la oportunidad de
expandir su base de datos y su lmite de accin, dijo Garca.
Otra de las amenazas internas que supone la fuga de datos es la prdida de informacin por
causa del extravo de los dispositivos y la falta de respaldos de la misma, as como el envo de
informacin de propiedad intelectual a direcciones de correo electrnico errneas, afirma la
empresa.
El 55% las empresas encuestadas por Symantec en su Estudio Preparacin ante Desastres para
las Pymes indicaron que si perdieran su informacin no tendran un respaldo que les permitiera
recuperarla.
Las consecuencias de violar las polticas de seguridad de la informacin son amplias y costosas.
Si se consideran los costos por prdida de informacin, el aspecto ms fcil de medir son los
costos de capital para reemplazar los activos robados y/o perdidos otro costo significativo es el
gasto operacional asociado al reemplazo de activos.
61
Captulo IV: Normatividad, mejores prcticas y tecnologa aplicada a la

concientizacin y fuga de informacin
Como se ha explicado en el captulo anterior, el factor humano es el principal eslabn en la fuga
de informacin.
Las empresas gastan grandes cantidades para defenderse de ataques externos, pero como se ha
mencionado, la mayor parte de los ataques provienen desde casa, es fuego amigo, ya sean
cometidos algunos por ignorancia, error, por no estar satisfechos con su ambiente laboral, con
fines de lucro, etc.
Leyes internacionales protegen a las empresas contra ataques cibernticos, robo de informacin,
etc., pero en Mxico an no se ha avanzado de tal modo.
A lo largo de este captulo podr observarse que leyes protegen a las empresas contra ataques
informticos, tanto en Mxico como en otros pases.
4.1 Legislacin Internacional
Mxico va dando sus primeros pasos en la creacin de leyes en materia de delitos informticos,
pero Qu tan rezagado se encuentra en comparacin de otros pases?
4.1.1 Del acceso ilcito a los sistemas de informacin
En el ao 2007, Alemania aprob una ley que castiga los ataques cometidos por Crackers
informticos. Alemania ya contaba con una ley parecida, pero ahora es una ley ms clara y se
dise para que difcilmente sea evadida. Dicha ley menciona que se considera como Crackeo a
aquella actividad que penetre los sistemas de seguridad de cmputo logrando tener acceso a los
datos seguros sin que estos necesariamente sean robados; castigando dicha accin hasta con 10
aos de crcel.
Austria tambin ha reformado su cdigo penal, permitiendo que a aquellas personas que con dolo
causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de
datos automtica a travs de la confeccin del programa, por la introduccin, cancelacin o
alteracin de datos o por actuar sobre el curso del procesamiento de datos. Adems contempla
sanciones para quienes comenten este hecho utilizando su profesin de especialistas en sistemas.
62
Gran Bretaa cre su Ley de Abusos Informticos, la cual establece que son el simple intento (ya
sea exitoso o no) de alterar datos informticos sin autorizacin, se penar dicha accin hasta con
5 aos de prisin.
Francia cuenta con una Ley relativa al fraude informtico, la cual llega a castigar con hasta 2 aos
de prisin a quienes elimine o modifique datos informticos con fines fraudulentos.
Espaa en su nuevo Cdigo Penal Federal sanciona con hasta 3 aos de prisin a quien dae,
modifique y elimine datos, programas o documentos electrnicos ajenos. A su vez, en caso de
divulgacin, espionaje y violacin de secretos, se penaliza con prisin, agravando el castigo
cuando fue la accin fue realizada con dolo.
4.1.2 Proteccin de los datos
En Alemania
El 7 de abril de 1970, el Parlamento del estado alemn de Hesse, promulga su normativa de

proteccin de datos Datenshutz convirtindose en el primer territorio con una norma dirigida a la
proteccin de datos.
Despus, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la Datenshutz

Federal. En estos casos, se crea un Comisario Federal para la Proteccin de Datos
(Bundesbeauftragter fur den Datenshutz).
En Francia
En 1978 se establece la Comisin Nacional de la Informtica y de las Libertades, un organismo

colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.
En Espaa
Desde 1978, la Constitucin, en su artculo 18, apartado 4, dice: "La ley limitar el uso de la
informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos... "
Relacionada con esta disposicin constitucional, en Espaa se ha publicado la Ley Orgnica
5/1992, de 29 de octubre, de regulacin de tratamiento automatizado de los datos de carcter
personal que tiene como objeto bsico la proteccin de la intimidad y el honor de las personas.
En los Estados Unidos de Amrica
63
El 31 de diciembre de 1974, el Congreso expide el "Privacy Act (literalmente acto de retiro)", con el
objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la
recoleccin y tratamiento automatizado de datos personales por parte de las agencias federales.
En Brasil
En 1988 la Constitucin brasilea, en su artculo 5, numeral LXXII, se refiere al "conocimiento de

informaciones relativas a la persona de la impetrante..." y a la rectificacin de datos.
Aproximadamente 10 aos ms tarde, en Brasil se expide la Ley nmero 9.507, de 12 de

noviembre de 1997 que reglamenta la disposicin constitucional, con base en 23 artculos.
En Colombia
*
A partir de 1991, el artculo 15 de la Constitucin de este pas reconoce al habeas data como un
derecho fundamental an no reglamentado.
En Paraguay
Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Polica
Nacional, que la Constitucin, en su artculo 135 reconoce el derecho de las personas para
acceder a la informacin que le corresponda en archivos pblicos y privados, para conocer la
finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.
En Per
Desde 1993, el artculo 200, inciso 3, de la Constitucin establece de manera expresa el habeas
data con los objetivos de que el interesado pueda acceder a la informacin pblica, con ciertas
limitantes, y evitar la difamacin de la persona por la difusin o suministro a terceros de
informaciones que afecten la intimidad personal y familiar.
En Ecuador
El artculo 30 de la Constitucin vigente establece el habeas data con los objetos de acceder a los
registros, bancos o bases de datos, conocer su uso y finalidad, as como para solicitar la
* Habeas data significa, en trminos generales, un recurso pronto y expedito para lograr que un dato que se
encuentra en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido,
suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros,
archivos, bancos o bases de datos, adems de que se pueda acceder a registros o bancos de datos.
64
rectificacin, actualizacin, eliminacin o anulacin de los datos, en caso de que stos sean
errneos o afecten ilegtimamente los derechos de las personas.
En Argentina
La nueva Constitucin de 1994, en su artculo 43, en su prrafo tercero, establece el habeas data
como un amparo especial.
Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es
hasta el ao 2000 que se expide la Ley 25326 de Proteccin de los Datos Personales, publicada
en el Boletn Oficial correspondiente al 2 de noviembre del ao mencionado.
Como se ha podido observar, Mxico va dando sus primeros pasos en la creacin de leyes en
materia de delitos informticos, pero Qu tan rezagado se encuentra en comparacin de otros
pases?
4.2 Legislacin Nacional
Como se ha citado a lo largo del desarrollo de esta tesina, gran porcentaje de la fuga de
informacin en una empresa es debido a personal interno. La gran mayora de las empresas, si
no es que en su totalidad, al realizar una contratacin extienden un contrato de confidencialidad de
secretos industriales. Dichos contratos se celebran cuando las personas fsicas o morales
manejaran informacin de carcter confidencial.
Cuando existe un contrato de confidencialidad de secretos industriales y de la informacin que se

maneja, las empresas tienen una base jurdica para obligar legalmente a que sus empleados o
colaboradores no divulguen la informacin que se les proporcione o tengan acceso.
Hemos mencionado que gran porcentaje de la fuga de informacin se da por personal interno,
pero tambin se puede dar por medio de empresas subcontratadas conocidas como outsourcing.
Cabe destacar que an cuando no nos estamos refiriendo a personal contratado directamente por
la empresa, son recursos humanos que tambin tienen acceso a informacin confidencial, por lo
que es necesario celebrar con las empresas subcontratadas un Contrato de Presentacin de
Servicios que incluya una clusula de Confidencialidad de la Informacin manejada.
65
4.2.1 Ley de la Propiedad Industrial
Segn el Artculo 82 de la Ley de la Propiedad Industrial se considera secreto industrial a toda

informacin de aplicacin industrial o comercial que guarde una persona fsica o moral con
carcter confidencial, que le signifique obtener o mantener una ventaja competitiva o econmica
frente a terceros en la realizacin de actividades econmicas y respecto de la cual haya adoptado
los medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la
misma.
Cabe mencionar que un contrato de Confidencialidad de la Informacin queda limitado a aquellos

casos en que por orden judicial se obligue al personal a dar a conocer determinada informacin de
la empresa, en cuyo caso no deber ser considerado como fuga de informacin.
4.2.2 Cdigo Penal federal
El Cdigo Penal Federal refuerza a la Ley de Propiedad Industrial, ya que se encarga tambin de
castigar delitos informticos. El Cdigo Penal Federal en su Ttulo Noveno habla acerca de la
Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica.
El Artculo 210 del Cdigo Penal Federal menciona que se impondrn de treinta a doscientas
jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin
consentimiento del que pueda resultar perjudicado, revele algn secreto o comunicacin reservada
que conoce o ha recibido con motivo de su empleo, cargo o puesto.
El Artculo 211 Bis se enfoca a la legislacin sobre el Acceso ilcito a sistemas y equipos de
informtica; menciona que a quien revele, divulgue o utilice indebidamente o en perjuicio de otro,
informacin o imgenes obtenidas en una intervencin de comunicacin privada, se le aplicarn
sanciones de seis a doce aos de prisin y de trescientos a seiscientos das multa.
A continuacin se detalla el Artculo 211:
Artculo 211 bis 1
Al que sin autorizacin modifique, destruya o provoque prdida de informacin contenida en

sistemas o equipos de informtica protegidos por algn mecanismo de seguridad, se le impondrn
de seis meses a dos aos de prisin y de cien a trescientos das multa.
66
Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos de

informtica protegidos por algn mecanismo de seguridad, se le impondrn de tres meses a un
ao de prisin y de cincuenta a ciento cincuenta das multa.
Artculo 211 bis 2

sistemas o equipos de informtica del Estado, protegidos por algn mecanismo de seguridad, se le
impondrn de uno a cuatro aos de prisin y de doscientos a seiscientos das multa.

informtica del Estado, protegidos por algn mecanismo de seguridad, se le impondrn de seis
meses a dos aos de prisin y de cien a trescientos das multa.
Artculo 211 bis 3
Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,
indebidamente modifique, destruya o provoque prdida de informacin que contengan, se le
impondrn de dos a ocho aos de prisin y de trescientos a novecientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,
indebidamente copie informacin que contengan, se le impondrn de uno a cuatro aos de prisin
y de ciento cincuenta a cuatrocientos cincuenta das multa.
Artculo 211 bis 4

sistemas o equipos de informtica de las instituciones que integran el sistema financiero,
protegidos por algn mecanismo de seguridad, se le impondrn de seis meses a cuatro aos de
prisin y de cien a seiscientos das multa.

informtica de las instituciones que integran el sistema financiero, protegidos por algn mecanismo
de seguridad, se le impondrn de tres meses a dos aos de prisin y de cincuenta a trescientos
das multa.
67
Artculo 211 bis 5
Al que estando autorizado para acceder a sistemas y equipos de informtica de las instituciones
que integran el sistema financiero, indebidamente modifique, destruya o provoque prdida de
informacin que contengan, se le impondrn de seis meses a cuatro aos de prisin y de cien a
seiscientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica de las instituciones
que integran el sistema financiero, indebidamente copie informacin que contengan, se le
impondrn de tres meses a dos aos de prisin y de cincuenta a trescientos das multa.
Las penas previstas en este artculo se incrementarn en una mitad cuando las conductas sean
cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
Artculo 211 bis 6
Para los efectos de los artculos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que
integran el sistema financiero, las sealadas en el artculo 400 Bis de este Cdigo.
Artculo 211 bis 7
Las penas previstas en este captulo se aumentarn hasta en una mitad cuando la informacin
obtenida se utilice en provecho propio o ajeno.
4.2.3 Reforma al cdigo penal federal para castigar a los crackers
Como puede observarse, el Cdigo Penal Federal y la Ley de Propiedad Industrial se ajustan para
castigar aquellos delitos informticos cometidos por personal interno de la empresa, pero Qu
pasa con aquellos delitos cometidos por personal ajeno a la empresa, mejor conocidos como
crackers?
En Noviembre del ao 2005, la cmara de Diputados aprob una reforma al mismo Cdigo Penal
Federal que sancione actos ilcitos cometidos por Crackers.
Dicha reforma menciona que: al que sin autorizacin, disee, elabore, transmita programas
conocidos como virus con la finalidad de bloquear o interferir en sistemas o programas, o en su
caso, sustraer datos o informacin, se le aplicar una sancin penal.
68
4.2.4 Proteccin de datos personales
A nivel Federal no se cuenta con una ley de proteccin de datos personales. El 14 de Febrero del
2001, el diputado Antonio Garca Torres present ante la Cmara de Diputados la Iniciativa de Ley
Federal de Proteccin de Datos Personales.
Entre las caractersticas de inters para el tema que se trata en esta tesis, se encuentran las
siguientes:
Captulo I
Disposiciones generales
Artculo 1.
1. Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las
garantas de las personas fsicas.
2. Las disposiciones de esta ley tambin son aplicables, en lo conducente, a los datos de las
personas jurdicas.
3. En ningn caso se podrn afectar los registros y fuentes periodsticas.
Artculo 2.
1. Esta ley es aplicable a los datos de carcter personal que figuren en archivos, registros, bancos
o bases de datos de personas fsicas o jurdicas, pblicas o privadas, y a todo uso posterior,
incluso no automatizado, de datos de carcter personal registrados en soporte fsico susceptible
de tratamiento automatizado.
2. Esta ley no es aplicable a los archivos, registros, bases o bancos de datos:

I. De titularidad pblica cuyo objeto por ley sea almacenar datos para su publicidad con carcter
general;
II. Cuyo titular sea una persona fsica y tengan un fin exclusivamente personal;
III. De informacin cientfica, tecnolgica o comercial que reproduzcan datos ya publicados en

medios de comunicacin oficial;
69
IV. De resoluciones judiciales publicadas en medios de comunicacin oficial; y,
V. Administrados por los partidos polticos, sindicatos, iglesias y asociaciones religiosas, sola y
exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex
miembros y que se relacionen con su objeto, sin perjuicio de que la cesin de datos quede
sometida a lo dispuesto en esta ley.
3. Se regulan por sus disposiciones especficas los archivos, registros, bases o bancos de datos:
I. Electorales, conforme a los ordenamientos aplicables;
II. Referentes al registro civil, a la prevencin, persecucin y sancin de los delitos, as como a la
ejecucin de las sanciones penales;
III. Con fines exclusivamente estadsticos, regulados por la Ley del Instituto Nacional de Geografa,
Estadstica e Informtica; y,
IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad
pblica o a datos relativos a esos cuerpos.
4. los archivos, registros, bancos o bases de datos relativos a la prevencin, persecucin, sancin
de los delitos, ejecucin de sanciones penales, o a los datos correspondientes a los cuerpos de las
fuerzas armadas y de seguridad pblica o a sus integrantes, sern reservados, y se actualizarn,
complementarn, corregirn, suspendern, o cancelarn en los trminos de sus propias
disposiciones, sin que les resulte aplicable el rgimen general de esta ley.
Artculo 4.
1. Para los efectos de esta ley se entiende por:
I. Datos personales: La informacin de persona fsica o jurdica determinada o determinable;
II. Datos sensibles: Aquellos que revelan el origen racial, tnico, opiniones polticas, convicciones
religiosas, filosficas o morales, afiliacin sindical, salud o vida sexual;
Artculo 5.
3. Los datos slo pueden ser utilizados para los fines que motivaron su obtencin, o para fines
compatibles con estos.
70
Captulo IV
De las sanciones
Artculo 39.
1. Son infracciones leves a esta Ley:
I. Omitir la inclusin, complementacin, rectificacin, actualizacin, reserva, suspensin o

cancelacin, de oficio o a peticin del interesado, de los datos personales que obren en archivos,
registros, bases o bancos de datos;
II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,
III. Cualquiera otra de carcter puramente formal o documental que no pueda ser catalogada como
grave.
Artculo 40.
1. Son infracciones graves a esta Ley:
I. Colectar o tratar datos de carcter personal para constituir, o implementar archivos, registros,
bases o bancos de datos de titularidad pblica, sin la previa autorizacin de la normativa aplicable;
II. Colectar o tratar automatizadamente datos de carcter personal para constituir, o implementar
archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del
interesado o de quien legtimamente puede otorgarlo;
III. Colectar, tratar automatizadamente o administrar datos de carcter personal con violacin de
los principios que rigen esta ley o de las disposiciones que sobre proteccin y seguridad de datos
sean vigentes;
VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin
las condiciones mnimas de seguridad requeridas por las disposiciones aplicables.
71
4.3 Legislacin Sectorial
Recomendaciones del Instituto Federal de Acceso a la Informacin Pblica (IFAI)
El Instituto Federal de Acceso a la Informacin Pblica (IFAI) ha establecido una serie de

recomendaciones sobre el manejo, mantenimiento, seguridad y proteccin de datos personales,
que estn en posesin de las dependencias y entidades de la Administracin Pblica Federal.
Debido al carcter e importancia de los datos que el IFAI maneja, estas recomendaciones son de
ndole tcnicas y organizativas para as garantizar la seguridad de los datos personales, evitar su
alteracin, prdida, tratamiento o acceso no autorizado, basndose en estndares internacionales
de seguridad.
Debido a tal importancia,
para su proteccin es necesario tomar en cuenta los avances
tecnolgicos, la naturaleza de los datos almacenados y los riesgos a los que stos son expuestos,
ya sean por la accin humana por la naturaleza (en esta tesis la atencin se ver enfocada en
los riesgos que son debido a la accin humana), por lo que se han establecido distintos niveles de
seguridad dependiendo la categora tipo de datos.
Dichos niveles se mencionan a continuacin:
A. Nivel bsico
Las medidas de seguridad marcadas con el nivel bsico sern aplicables a todos los sistemas
de datos personales.
A los sistemas de datos personales que contienen alguno de los datos que se enlistan a
continuacin, les resultan aplicables nicamente, las medidas de seguridad de nivel bsico:
De Identificacin: Nombre, domicilio, telfono particular, telfono celular, correo

electrnico, estado civil, firma, firma electrnica, RFC, CURP, cartilla militar, lugar de
nacimiento, fecha de nacimiento, nacionalidad, edad, nombres de familiares dependientes
y beneficiarios, fotografa, costumbres, idioma o lengua, entre otros.
Laborales: Documentos de reclutamiento y seleccin, de nombramiento, de incidencia, de

capacitacin, puesto, domicilio de trabajo, correo electrnico institucional, telfono
institucional, actividades extracurriculares, referencias laborales, referencias personales,
entre otros.
72
B. Nivel medio
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuacin, adems de cumplir con las medidas de seguridad de nivel bsico, debern
observar las marcadas con nivel medio.
Datos Patrimoniales: Bienes muebles e inmuebles, informacin fiscal, historial crediticio,

ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados,
referencias personales, entre otros.
Datos
sobre
procedimientos
administrativos
seguidos
en
forma
de
juicio
y/o
jurisdiccionales: Informacin relativa a una persona que se encuentre sujeta a un

procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral,
civil, penal o administrativa.
Datos Acadmicos: Trayectoria educativa, ttulos, cdula profesional, certificados y

reconocimientos, entre otros.
Trnsito y movimientos migratorios: Informacin relativa al trnsito de las personas dentro

y fuera del pas e informacin migratoria de las personas, entre otros.
C. Nivel alto
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuacin, adems de cumplir con las medidas de seguridad de nivel bsico y medio,
debern observar las marcadas con nivel alto.
Datos Ideolgicos: Creencia religiosa, ideologa, afiliacin poltica y/o sindical, pertenencia
a organizaciones de la sociedad civil y/o asociaciones religiosas, entre otros.
Datos de Salud: Estado de salud, historial clnico, alergias, enfermedades, informacin

relacionada con cuestiones de carcter psicolgico y/o psiquitrico, incapacidades
mdicas, intervenciones quirrgicas, vacunas, consumo de sustancias txicas, uso de
aparatos oftalmolgicos, ortopdicos, auditivos, prtesis, entre otros.
Caractersticas personales: Tipo de sangre, ADN, huella digital, u otros anlogos.
73
Caractersticas fsicas: Color de piel, color de iris, color de cabello, seas particulares,
estatura, peso, complexin, discapacidades, entre otros.
Vida sexual: Preferencia sexual, hbitos sexuales, entre otros.
Origen: tnico y racial.
Dentro de las medidas de seguridad que establece el IFAI para los datos personales en soportes
fsicos son:
Para el rea de Consulta de Datos Personales:
1. Existe la infraestructura apropiada y se siguen los procesos y procedimientos necesarios y

suficientes, de tal manera que es posible supervisar y vigilar los datos personales en
soportes fsicos que consultan los Usuarios de los datos dentro del rea de consulta.
[Nivel bsico]
2. De existir ventanas o muros divisorios transparentes en el rea de consulta, la visin est

obstruida mediante una pelcula translcida. [Nivel medio]
3. La puerta de acceso del rea de consulta cuenta con cerradura, dispositivo electrnico o
cualquier otra tecnologa que impida su libre apertura. Este mecanismo queda cerrado en
horas no hbiles o cuando el personal autorizado que ah labora abandona el rea. [Nivel
medio]
4. El personal autorizado que labora en el rea de consulta ostenta una identificacin con
fotografa (credencial o gafete) emitida por la dependencia o entidad. [Nivel bsico]
5. Cualquier persona puede identificar con facilidad al personal autorizado que labora en el
rea de consulta gracias a que los nombres completos y fotografas de dicho personal se
exhiben en un lugar visible dentro y fuera de dicha rea. [Nivel medio]
6. El Encargado de los Sistemas de Datos Personales actualiza los nombres completos y
fotografas que se exhiben en el rea de consulta conforme se presentan cambios de
personal. [Nivel medio]
7. No est permitido el libre acceso y el uso de aquellos aparatos referidos en la seccin
Equipo no autorizado dentro del rea de consulta. [Nivel medio]
74
8. Existe sealizacin visible sobre: horarios de atencin, restricciones de acceso,

prohibiciones que aplican y el procedimiento para dar aviso al personal de vigilancia en
caso de sospecharse la presencia de personas no autorizadas en el rea de consulta.
[Nivel bsico]
Dentro de las recomendaciones para la Baja de Datos Personales se observan las siguientes:
1. El Encargado de los Sistemas de Datos Personales:
a) Sigue procedimientos y utiliza mecanismos para asegurar la valoracin y en su caso,

destruccin de soportes fsicos que contienen datos personales. [Nivel medio]
b) Destruye por completo dichos soportes fsicos antes de desecharlos [Nivel bsico]
c) Lleva una bitcora de las veces que se efecta la accin de baja de datos personales.
[Nivel bsico]
2. Los mtodos de destruccin de datos personales en soportes fsicos estn definidos en el

Manual de operaciones de la dependencia o entidad; o, si no lo estn, son aprobados por el
Responsable de los Sistemas De Datos Personales antes de ejecutarlos. [Nivel bsico]
3. Si en esa dependencia o entidad realizan la separacin de materiales para su reciclaje

(como podra suceder con el papel, el cartn, el metal y el plstico), los datos personales
contenidos en materiales reciclables son triturados y la viruta resultante se entrega
directamente a una empresa que los recibe para procesarlos de inmediato, garantizando por
escrito que no sern examinados para su eventual reconstruccin. [Nivel medio]
Dentro de las medidas de seguridad para datos en soportes electrnicos se establece lo siguiente:
Para las reas de Recepcin, Resguardo y Consulta de datos personales, se destaca:
1. Existe la infraestructura apropiada y se siguen los procesos y procedimientos necesarios y

suficientes de tal manera que es posible mantener en forma organizada y segura los datos
personales recibidos en el rea de recepcin, en tanto siguen la dems fases de su
tratamiento. [Nivel bsico]
2. El equipo de cmputo instalado en el rea de recepcin cumple con las Recomendaciones
presentadas en la seccin 4. Medidas de Seguridad para equipo de cmputo en zonas de
acceso restringido. [Nivel bsico]
75
3. Dicho equipo de cmputo est provisto de la tecnologa necesaria y suficiente para

verificar la identidad del personal autorizado que labora en el rea de recepcin. Ello
implica que, mediante la verificacin de claves de acceso, dicho personal accede al equipo
a fin de realizar el tratamiento que corresponda a la recepcin de datos personales. [Nivel
medio]
4. El personal autorizado que labora en el rea de recepcin ostenta una identificacin con
fotografa (credencial o gafete) emitida por la dependencia o entidad. [Nivel bsico]
Para la Baja de Datos Personales se menciona lo siguiente:
1. Todo soporte electrnico que ser dado de baja (ya sea por obsolescencia, sustitucin o
alguna otra causa) pasa por un proceso de preparacin final antes de ser desechado. Dicho
proceso incluye: la transferencia del contenido que sea preciso conservar hacia otro soporte
electrnico y la destruccin, inhabilitacin o dao que deje inservible dicho soporte. [Nivel
bsico]
2. Las nicas personas autorizadas para realizar proceso de preparacin final son el rea de
sistemas y el personal de vigilancia. [Nivel bsico]
3. Los mtodos de destruccin de datos personales en soportes electrnicos estn definidos

en el Manual de operaciones de los Sistemas de Datos Personales; o, si no lo estn, son
aprobados por el Responsable de los Sistemas de Datos Personales antes de ejecutarlos.
[Nivel bsico]
4. El Encargado de Sistemas de Datos Personales:
a) Vigila que se sigan los procedimientos y se utilicen los mecanismos para asegurar la
destruccin de soportes electrnicos que contienen datos personales. [Nivel bsico]
b) Lleva una bitcora donde registra la baja de soportes electrnicos que contienen datos
personales anotando
Nombre y firma de la persona que realiza esta accin

Fecha y hora en la que se realiza
El destino que se le dar al soporte electrnico desechado
76
Nombre y firma (visto bueno) del Responsable de los Sistemas de Datos

Personales [Nivel bsico]
De las medidas de seguridad para equipo de cmputo en zonas de acceso restringido:
1. De las Computadoras de escritorio:
a) Resguardo: La computadora de escritorio est asegurada fsicamente para evitar el

robo del gabinete o la sustraccin de piezas o partes. Para tal propsito, est
resguardada con cajones de proteccin, candados o cualquier otro dispositivo que
impida la manipulacin del gabinete y el acceso fsico al interior del equipo. [Nivel
bsico]
b) Operacin:
1. Estn deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
puertos de comunicacin (USB, paralelo, serial, etc.) que no se utilizan. Los cables
o dispositivos conectados a los puertos que s se utilizan estn asegurados para
evitar su desconexin. Las cancelaciones pueden ser abiertas por personal
autorizado del rea de sistemas. [Nivel medio]
2. Estn deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
dispositivos
de
almacenamiento
removible
(unidades
de
disco
flexible,
quemadores de CD/DVD, etc.). Las cancelaciones pueden ser abiertas por

personal de sistemas. [Nivel medio]
3. No existen dispositivos de conexin inalmbrica (Wi-Fi, Bluetooth, infrarrojo,

etc,) en las computadoras de escritorio asignadas dentro de las zonas de acceso
restringido de los Sistemas de Datos Personales. [Nivel medio]
4. El acceso a una computadora de escritorio dentro de una zona de acceso

restringido, con el propsito de realizar labores de mantenimiento preventivo y
correctivo o para soporte tcnico, es exclusivo para el personal de sistemas o,
para un proveedor externo subcontratado. En cualquier caso, el Responsable de
los Sistemas de Datos Personales es quien autoriza, supervisa y registra el acceso
archivando la autorizacin que emite. [Nivel bsico]
77
2. Del equipo no autorizado:
a) Computadoras Porttiles:
1. No est permitido el libre acceso de computadoras porttiles a las zonas

de acceso restringido de los Sistemas De Datos Personales. [Nivel bsico]
2. En caso de que se autorice el acceso temporal de una computadora

porttil, el rea de sistemas o el personal de vigilancia lleva a acabo una
revisin inicial del equipo. Dicha revisin incluye:
La revisin y el registro de la estructura de los medios de

almacenamiento no voltil, especficamente el nmero de
particiones y el espacio libre
La deteccin de cualquier software que suponga un riesgo, ya sea

por la prdida de datos personales o por la sustraccin, como
malware y herramientas de intrusin
La inhabilitacin de dispositivos de conexin inalmbrica que

pudieran suponer un riesgo de extraccin de datos personales por
una persona que se encuentre fuera de las zonas de acceso
restringido [Nivel medio]
4. En caso de ser necesario el traslado de datos personales al equipo no

autorizado, ste sera con las siguientes restricciones: slo lectura, no
para modificacin, no para sustraccin, no para impresin, no para
quemado. [Nivel medio]
5. Al finalizar la visita, se llevar a cabo una revisin final de la

computadora porttil por parte del rea de sistemas o del personal de
vigilancia. Dicha revisin incluye:

almacenamiento no voltil a fin de comprobar que el nmero de
particiones y el espacio libre sigue siendo el mismo que en la
78
revisin
inicial,
lo
que
permite
detectar
si
hay archivos
almacenados en el equipo porttil que no estaban al inicio
Las reas no utilizadas (vacas) en los medios de almacenamiento

no voltil se sobrescriben con un solo valor (unos o ceros)
utilizando una herramienta especializada para ello [Nivel bsico]
6. Por el riesgo que implica, est prohibido el uso de computadoras

porttiles
para
la transmisin de datos
personales
en soportes
electrnicos, mediante traslado fsico, sin antes haber sometido dichos

datos personales a un proceso de preparacin previa.
b) De los dispositivos de almacenamiento externo:
1. Sin excepcin alguna, no se permite el acceso de ningn tipo de

dispositivo de almacenamiento externo ajeno a la institucin o sin
autorizacin. [Nivel bsico]
2. En caso de que se autorice el acceso temporal de dispositivos de

almacenamiento externo, el rea de sistemas o el personal de vigilancia
lleva a cabo una revisin inicial del equipo. Dicha revisin incluye:

almacenamiento no voltil, especficamente el nmero de
particiones y el espacio libre
La deteccin de cualquier software que suponga un riesgo, ya sea

por la prdida de datos personales o por la sustraccin, como
malware y herramientas de intrusin
La inhabilitacin de dispositivos de conexin inalmbrica que

pudieran suponer un riesgo de extraccin de datos personales por
una persona que se encuentre fuera de las zonas de acceso
restringido [Nivel medio]
4. En caso de ser necesario el traslado de datos personales al equipo no

autorizado, ste sera con las siguientes restricciones: slo lectura, no
79
para modificacin, no para sustraccin, no para impresin, no para

quemado. [Nivel medio]
5. Al finalizar la visita, se llevar a cabo una revisin final de los

dispositivos de almacenamiento externo por parte del rea de sistemas o
del personal de vigilancia. Dicha revisin incluye:

almacenamiento no voltil a fin de comprobar que el nmero de
particiones y el espacio libre sigue siendo el mismo que en la
revisin inicial, lo que permitira detectar si hay archivos
almacenados en el equipo porttil que no estaba al inicio
Las reas no utilizadas (vacas) en los medios de almacenamiento

no voltil se sobrescriben con un solo valor (unos o ceros)
utilizando una herramienta especializada para ello [Nivel medio]
6. Por el riesgo que implica, est terminantemente prohibido el uso de

dispositivos de almacenamiento externo para la transmisin de datos
personales en soportes electrnicos, mediante traslado fsico, sin antes
haber sometido dichos datos personales a un proceso de preparacin.
Finalmente, el IFAI tambin proporciona una serie de documentacin de las Medidas de Seguridad
en procesos y polticas del Sistema de Datos Personales:
a) De la Sensibilizacin y capacitacin
1. Se ha desarrollado un curso de sensibilizacin sobre proteccin de datos personales en

soportes fsicos y soportes electrnicos. El personal a quien va dirigido este curso son
servidores pblicos que tienen funciones asignadas para interactuar con Sistemas de
Datos Personales al interior de la dependencia o entidad. [Nivel bsico]
2. Este curso se imparte al menos una vez cada ao al personal, llevando un registro de
asistencia. [Nivel bsico]
3. Al finalizar el curso, el participante manifiesta conocer la relevancia de la seguridad de

datos personales y sus responsabilidades mediante firma autgrafa que se recaba en una
80
lista que archiva el Responsable de los Sistemas de Datos Personales en la dependencia

o entidad. [Nivel bsico]
4. Existen un curso de sensibilizacin y un documento de firmas, similares a los anteriores,

que persiguen el mismo fin pero que estn orientados a proveedores externos que
interactan con uno o ms Sistemas de Datos Personales y a quienes tambin se exige
aseguren la proteccin de datos personales. [Nivel bsico]
b) De las Cartas compromiso, clusulas y contratos de confidencialidad
1. Al menos cada dos aos, el Responsable de los Sistemas de Datos Personales recibe
(y archiva) una carta compromiso de parte de cada uno de los miembros del personal
autorizado que interacta con uno o ms Sistemas de Datos Personales. [Nivel medio]
2. En dicha carta, el servidor pblico manifiesta, con su firma autgrafa, su compromiso

para realizar su trabajo apegndose a los MS que apliquen a los Sistemas de Datos
Personales en esa dependencia o entidad.
Adems, el servidor pblico manifiesta conocer los Lineamientos, el Reglamento y la Ley

que integran el marco jurdico de las presentes Recomendaciones a fin de garantizar al
ciudadano la custodia de sus datos personales. [Nivel medio]
3. La dependencia o entidad cuenta con un contrato de confidencialidad que ha firmado

con cada proveedor o prestador de servicios que llama para la realizacin de servicios que
impliquen interactuar con los Sistemas de Datos Personales. [Nivel bsico]
4.4 Mejores prcticas
Hoy en da cada vez existen ms requisitos de carcter legal que tienen que ver con la seguridad
de la informacin (Ley Orgnica de Proteccin de Datos, por ejemplo). La confidencialidad,
integridad y disponibilidad de la informacin es determinante para mantener la imagen empresarial
y ciertos niveles de competitividad de las organizaciones, lo cual genera en rentabilidad.
Con todos estos condicionantes, se ha demostrado que el nivel de seguridad alcanzado

exclusivamente por medios tcnicos est muy limitado y en la mayora de las ocasiones es
claramente insuficiente. La gestin de la seguridad debe contemplar numerosos factores y se debe
hacer de forma planificada y en base a criterios objetivos.
81
Como es habitual, existen normas que recogen las mejores prcticas para la gestin de la
seguridad. En la actualidad los estndares de reconocimiento ms amplios son los de la serie ISO
27000 de la ISO/IEC, aunque tambin existen otros como COBIT e ISO 9001:2000.
4.4.1 Series ISO 27000
La familia de normas ISO/IEC 27000 es un conjunto de estndares desarrollados por ISO

(International Standar Organization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestin de la seguridad de la informacin vlido para cualquier tipo de
organizacin.
ISO 27000: en este documento se define el vocabulario y definiciones aplicables en la

serie 27000. Es el anlogo a la ISO 9000 en la familia de gestin de la calidad. Es de
especial inters habida cuenta de la terminologa tcnica especfica del rea que trata.
ISO 27001: Es el estndar de la familia que permite certificar (especifica requisitos), por
entidad acreditada para ello, el Sistema de Gestin de Seguridad de la Informacin.
Basado como otros en el ciclo PDCA (Planificar, Hacer, Verificar y Actuar ). Especifica
requisitos para el diseo, implantacin, mantenimiento y mejora del SGSI, sus procesos y
los controles de aplicacin.
ISO 27002: Es el relevo natural de ISO 17799 como cdigo de prcticas para la Gestin
de Seguridad de la Informacin. Contiene un listado de controles y objetivos para proteger
la informacin.
ISO 27003: Gua para la implantacin del Sistema de Gestin de Seguridad de la

Informacin. Su finalidad es la de ayudar y facilitar la implantacin del SGSI.
ISO 27004: Estndar relacionado con las mtricas y medidas en materia de seguridad
para evaluar la efectividad del sistema de gestin de la seguridad de la informacin.
ISO 27005: Trata el anlisis y gestin de riesgos.
ISO 27006: Relacionada con los temas de continuidad de negocio y recuperacin ante
desastres.
82
ISO 27002
La ISO 27002 viene a ser un cdigo de buenas prcticas en el que se recoge un catlogo de los
controles de seguridad y una gua para la implantacin de un SGSI (Sistema de Gestin de
Seguridad de la Informacin).
Se compone de 13 dominios, 39 objetivos de seguridad y 133 controles de seguridad.

Cada uno de los dominios conforma un captulo de la norma y se centra en un determinado
aspecto de la seguridad de la informacin. En el siguiente dibujo se muestra la distribucin de
dichos dominios y el aspecto de seguridad que cubren:
Figura 19. Distribucin de los dominios de la Norma ISO 27002
En el dominio 06 (Organizacin de la Seguridad de Informacin) sugiere establecer una gestin

con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la
organizacin.
El dominio 06 tambin nos sugiere lo siguiente: los miembros de la Direccin deberan respaldar
activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y
aprobando explcitamente las responsabilidades en seguridad de la informacin dentro de la
83
Organizacin. Quienes deberan identificar y revisar regularmente en los acuerdos aquellos

requisitos de confidencialidad o no divulgacin que contemplan las necesidades de proteccin de
la informacin de la Organizacin.
Este dominio tambin habla de mantener un control del acceso de terceros a los dispositivos de
tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de
terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la
seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y
aceptarse en un contrato con la tercera parte. Se deberan identificar, documentar e implantar
regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de
tratamiento de la informacin.
El dominio 08 (Seguridad ligada a los Recursos Humanos) tiene como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean
aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios. Las responsabilidades de la seguridad se deberan definir antes de la
contratacin laboral mediante la descripcin adecuada del trabajo y los trminos y condiciones del
empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberan seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados,
contratistas y usuarios de terceras partes de los servicios de procesamiento de la informacin
deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad.
La organizacin debe asegurarse de que los empleados, contratistas y terceras partes son
conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que estn
equipados para cumplir con la poltica de seguridad de la organizacin en el desempeo de sus
labores diarias, para reducir el riesgo asociado a los errores humanos.
A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un
adecuado nivel de concientizacin, educacin y capacitacin en procedimientos de seguridad y en
el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de
minimizar los posibles riesgos de seguridad.
En caso de que los empleados, contratistas y terceras personas abandonan la organizacin o

cambian de empleo garantizar que lo harn de forma organizada, que los empleados devuelven
todo el equipamiento y se eliminan completamente todos los derechos de acceso.
La estructura del dominio 11 (Control de accesos) consiste en controlar los accesos a la
informacin, los recursos de tratamiento de la informacin y los procesos de negocio en base a las
necesidades de seguridad y de negocio de la Organizacin.
84
Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de
la informacin y de autorizaciones. Con procedimientos formales para controlar la asignacin de
los permisos de acceso a los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de informacin.
Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin

de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del
sistema.
La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Se debera
asignar responsabilidades de usuario, impidiendo el acceso de usuarios no autorizados y el
compromiso o robo de informacin y recursos para el tratamiento de la informacin.
Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles

de acceso eficaces, en particular respecto al uso de contraseas y seguridad en los equipos
puestos a su disposicin.
Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de
cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de
documentos, medios y recursos para el tratamiento de la informacin.
4.4.2 CObIT
Es el modelo de objetivos de control para tecnologas de informacin (TI) desarrollado por la

Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de
mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias
para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y
medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la
organizacin.
Sin embargo solo el PO 7 (planeacin y organizacin) enfocado a la administracin de los

recursos humanos, as como el rea de servicio y soporte (DS7 educar y entrenar a los usuarios),
nos hacen referencia a la importancia de la concientizacin respecto a la seguridad de la
informacin.
85
El dominio de planear y organizar (PO) cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada. Todas las personas dentro de la
organizacin deben entender los objetivos de TI.
El dominio de entregar y dar soporte (DS) cubre la entrega en s de los servicios requeridos, lo que
incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos. La
fuerza de trabajo debe ser capaz de utilizar los sistemas de TI de manera productiva y segura.
4.4.3 Awareness
Un awareness (programa de concientizacin) consiste en implementar un programa dentro de la

organizacin una accin cultural en donde el personal y todas aquellas personas que formen la
organizacin sean capaces de identificar el bien y el mal de sus acciones, respecto a un problema
importante para el mantenimiento de la seguridad de la informacin.
El 1 de Septiembre de 2005 el Dr. Gary Hinson publico una gua de siete pasos para implementar
un Awareness en las organizaciones (NoticeBored). Los pasos son los siguientes:
1. Especificacin de necesidades. Tiene que evaluar cul es el objetivo de

implementar un programa de concientizacin en seguridad. Se tiene que
considerar si la organizacin ya cuenta con plan de awarreness es un tema
completamente nuevo, que aspectos de la seguridad de la informacin son
importantes para la organizacin, el programa debe incluir educacin y formacin
o solo uno de estos puntos, con qu frecuencia se debe aplicar el programa,
debera aplicar el programa al personal desde su primer hasta el ltimo da de
trabajo, ser una campaa permanente.
2. Preparar un plan y una lista de verificacin. Usted necesita el diseo del

programa, desarrollar un plan para establecer el programa y luego administrarlo
de manera eficaz a fin de entregar los beneficios previstos. Una manera de
concretar sus ideas desde el paso 1 en paralelo al desarrollo de su plan es
preparar una lista de evaluacin de productos que contenga:
Filas para cada uno de sus criterios.

86
Las columnas de los criterios y su ponderacin (por ejemplo 3 = esencial, 2 =

importante,
1 = agradable de tener) y, a continuacin las columnas
adicionales para comentarios y resultados respecto a cada uno de los

productos que est evaluando.
3. Asegurar el financiamiento y apoyo a la gestin.
El tiempo empleado en
privado y explicando pacientemente sus planes en funciones tales como la

Auditora Interna, Cumplimiento, Servicios, Gestin de Riesgos, Recursos
Humanos y Finanzas, ayudar (a) perfeccionar su plan, (b) identificar cualquier
problema; (c) desviar las crticas y (d) a la lnea para apoyar su programa, y
hacerlo abiertamente en las primeras fases de la entrega.
4. Identificar y listar las posibles soluciones. Comience por buscar dentro de su

propia organizacin los recursos adecuados, por ejemplo, en TI, recursos
humanos, internos / Comunicaciones Corporativas y funciones de capacitacin y
desarrollo. Tome el consejo de sus compaeros acerca del funcionamiento de
otros programas de formacin y enseanza (tales como salud y seguridad o
formacin en TI).
5. Evaluar las soluciones. Consiste en lanzar una licitacin convencional apoyada

por el rea de adquisicin, sobre todo si hay trascendentales sumas de dinero en
juego. Debe asegurarse de que el proceso sea justo, objetivo y completo por
encima de todo.
6. Seleccionar y adquirir las soluciones. Generalmente el resultado de la etapa 5

no siempre proyecta a un solo ganador. Este paso implica un poco de negociacin
con los proveedores, por lo regular algunas aclaraciones sobre precios, los
trminos de la oferta y otra mirada a lo que ofrecen. Por ltimo al tomar la decisin
final, se prepara la orden de compra y se prosigue a firmar el contrato.
7. Implementar y poner en marcha el awareness. Ahora es el momento de solicitar

el apoyo de sus colegas internos y proveedores elegidos para construir y entregar
el programa de concientizacin que cubra el objetivo planteado.
40
40
Fuente: IsecT Ltd.
87
4.4.4 Assessment
Assessment es un instrumento de alta especificidad tcnica para la evaluacin de potencial de

las personas. Permite obtener informacin objetiva acerca de cmo actuaran las personas en
diferentes circunstancias y tareas. Esta herramienta adquiere especial importancia en procesos
masivos de seleccin de personal y en evaluaciones de potencial para determinar los planes de
carrera
la
inversin
en
desarrollo
humano
que
la
organizacin
quiere
hacer.
Un proceso de Assessment brinda beneficios tales como:
Evaluacin en forma precisa y completa del potencial.
Brinda informacin sobre el comportamiento de las personas en situaciones concretas de

trabajo.
Ayuda a la identificacin de habilidades y aptitudes especficamente requeridas para cada

puesto.
Optimiza los esfuerzos orientados al desarrollo.
4.5 Tecnologa existente
Como se ha venido mencionando, el factor humano es el principal medio de fuga de informacin

en las organizaciones, por tal motivo se han desarrollado una serie de tecnologas para hacer
frente a dicha problemtica. Sin embargo estas tecnologas no logran satisfacer por si solas las
necesidades empresariales ante la fuga de informacin ocasionada por el personal interno.
A continuacin se citan algunas de las principales tecnologas para prevenir la fuga de

informacin.
4.5.1 Data Leakage Prevention (DPL)
Las soluciones Data Leakage Prevention (DLP) monitorizan el contenido en las redes y puntos
extremo siguiendo criterios definidos como etiquetas en los documentos o bsquedas de palabras
clave, entre otros. A medida que se escanea el contenido y se aplican los criterios de parmetros
de bsqueda, se activan las reglas. En las soluciones menos sofisticadas, estas reglas generan
alertas frecuentemente va mensajes de email al administrador responsable de hacer el
88
seguimiento de estas transacciones. En las soluciones ms evolucionadas, el contenido puede ser

bloqueado o sometido a cuarentena.
41
4.5.2 Sistema de deteccin de intrusos (IDS)
Un sistema de deteccin de intrusos (IDS) es un programa usado para detectar accesos no

autorizados a una computadora o a una red. Estos accesos pueden ser ataques de crakers, o de
Script Kiddies que usan herramientas automticas.
El IDS suele tener sensores virtuales con los que el ncleo del IDS puede obtener datos externos
(generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que
pueden ser indicio de la presencia de ataques o falsas alarmas.
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red,

el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo
analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de

detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de
puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa
ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde
forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
Existen tres tipos de sistemas de deteccin de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los
intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado,

cuando intentan aduearse del mismo, con propsito de llevar a cabo otras actividades. El
HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de
sus conclusiones.
41
Network World Espaa, IDG.es. Data Leak Protection, 2008
89
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la
red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la

red.
DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por
una serie de NIDS (IDS de redes) que actan como sensores centralizando la informacin
de posibles ataques en una unidad central que puede almacenar o recuperar los datos de
una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas regla
de control especializndose para cada segmento de red. Es la estructura habitual en redes
privadas virtuales (VPN).
Sistemas pasivos y sistemas reactivos
En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda
una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS
responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee el trfico que
proviene de la red del atacante.
42
4.5.3 Sistema de Prevencin de Intrusos
Un Sistema de Prevencin de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en

una red informtica para proteger a los sistemas computacionales de ataques y abusos. La
tecnologa de Prevencin de Intrusos es considerada por algunos como una extensin de los
Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms
cercano a las tecnologas cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de
detecciones en la va del trfico. Los IPS presentan una mejora importante sobre las tecnologas
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del trfico, en lugar de direcciones IP o puertos. Tiempo despus, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continan en relacin.
42
Diego Gonzlez Gmez. Sistemas de Deteccin de Intrusiones, CriptoRed, Universidad Politcnica de Madrid
90
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
Funcionamiento
Un Sistema de Prevencin de Intrusos, al igual que un Sistema de Deteccin de Intrusos, funciona

por medio de mdulos, pero la diferencia es que este ltimo alerta al administrador ante la
deteccin de un posible intruso (usuario que activ algn Sensor), mientras que un Sistema de
Prevencin de Intrusos establece polticas de seguridad para proteger el equipo o la red de un
ataque; se podra decir que un IPS protege al equipo proactivamente y un IDS lo protege
reactivamente.
43
4.5.4 Assessment Center (AC)
Un Assessment Center
44
es un proceso estandarizado de evaluacin, diseado para minimizar
todas las distintas formas de sesgo que pueden ocurrir en una evaluacin, asegurando a cada
participante el respeto al principio de igualdad de oportunidades, ya que stos pueden demostrar
sus capacidades a travs de un amplio abanico de situaciones.
As, los Assessment Centers o Centros de Evaluacin, estn dirigidos a valorar y examinar el
potencial, las experiencias y capacidades actuales de una persona, as como su posible desarrollo
profesional.
Sea cual sea su empleo, su cualificacin inicial, su puesto en la empresa o su responsabilidad,

todo profesional est obligado a aprender constantemente cosas nuevas. Y a su vez, la empresa a
conocer el desarrollo y competencias de su personal, en busca de su multi operatividad.
Los Assessment aportan, por tanto, una informacin de doble direccin. La empresa obtiene un
conocimiento ms profundo de sus profesionales y stos, a su vez, pueden participar de forma
ms directa y consciente en su propio desarrollo profesional, toda vez que se produce una toma
de conciencia ms objetiva de sus propias aptitudes, competencias y limitaciones.
Los usos y aplicaciones de los Assessment Centres son variados, ya que como tcnica aporta una
informacin muy objetiva, fiable y actualizada, muy difcil de conseguir a travs de otros sistemas
de recursos humanos, dentro de una compaa.
Sus aplicaciones ms importantes son:

43
44
Jed Haile y Vern Paxon. One Secure

Bill Byham, Dr. Douglas Bray. Development Dimensions International
91
Seleccin y reclutamiento externo.
Promocin interna a puestos con responsabilidades de gestin.
Evaluacin del potencial de gestin.
Planificacin de carreras.
Reclutamiento interno de candidatosprofesionales, para programas de management.
Deteccin de necesidades de formacin.
Podemos identificar cinco caractersticas bsicas que definen el diseo y la realizacin de los
Assessment Centres, stas son:
Evalan varias competencias.
Integran diversas tcnicas.
Participan varios candidatos simultneamente.
Integran datos de varios evaluadores.
Cumplen varios objetivos: seleccin; evaluacin del potencial; planificacin de

carreras, deteccin de necesidades de formacin.
Tipos de ejercicios de evaluacin
Una vez obtenida la lista de competencias que se desea examinar, se inicia el diseo de los
ejercicios de simulacin. stos deben ser lo ms parecidos a la realidad profesional, para que
permitan una evaluacin objetiva de las competencias puestas en prctica.
Todos los ejercicios que se realizan en un Assessment pueden clasificarse en dos grupos,
teniendo en cuenta su dinmica de desarrollo:
1. Ejercicios individuales: son todos los Cuestionarios de Personalidad y Motivacin; los Test
de Aptitudes y los Scheduling Exercises.
92
Cuestionarios de personalidad y motivacin: permiten una descripcin completa de

la personalidad y los principales motivadores de la conducta del participante, dentro
de su entorno laboral.
Test de aptitudes: miden la capacidad o aptitud para manejar distintos conceptos;

todos ellos deben estar estrechamente relacionados con el tipo de trabajo o de
actividad a desarrollar dentro de un puesto de trabajo.
Scheduling Exercises: se facilita al participante una serie de complejos documentos

relacionados con su trabajo, con el fin de medir su capacidad para planificar,
ordenar y secuenciar en el tiempo un determinado proyecto.
2. Ejercicios interactivos: aunque todos los ejercicios son necesarios para el perfecto
desarrollo de un Assessment, son los que implican cierto grado de interactividad, los que
aportan al proceso una evidencia ms fuerte y una mecnica ms elaborada.
Ejercicios de grupo: gran parte de nuestra vida se desarrolla en grupo: familia,

amigos, trabajo, etc. De esta forma, es importante poder evaluar la capacidad de un
individuo para desenvolverse en tareas sociales. La prueba tiene normalmente entre
cinco y seis participantes, ya que menos de cinco restara competitividad mientras
que un grupo mayor de siete, inducira a alguno de los candidatos a una actitud
pasiva. Con una duracin de cuarenta y cinco minutos a una hora, los ejercicios
pueden disearse de dos formas, dependiendo de las competencias que se quieran
analizar:
Con Rol asignado: en el que tienen objetivos conflictivos entre s.
Sin Rol asignado: en el que trabajan para solucionar un problema comn.
Ejercicios Fact-Finding: en el caso de los Fact-Finding, las capacidades que se

pretende evaluar son el anlisis y la solucin de problemas. En estos ejercicios, se
facilita al participante una breve informacin sobre un caso que debe ser
solucionado en poco tiempo. El consultor es, en este caso, la nica fuente de
informacin disponible, de la que el participante tiene que obtener, mediante
precisas preguntas, los datos que necesite. Al trmino del ejercicio tiene que tomar
una decisin lo ms completa y razonada que pueda. Una vez expresada sta, se le
93
da al participante toda la informacin disponible del caso, ofrecindole la posibilidad

de modificar sus conclusiones.
Ejercicios In-Tray: al igual que en el ejercicio anterior, en los In-Tray se debe llegar
a la resolucin de un problema de gestin empresarial. Sin embargo, en ste se
pide a los participantes que completen una serie de tareas, con tiempo
independiente para cada una de ellas. Para su resolucin se proporciona una
carpeta que contiene una enorme cantidad de documentos: cartas, memorndums,
organigramas, cifras, grficas La intencin de los ejercicios es poner a la persona
en una situacin de mxima presin, para ver su rendimiento intelectual y su
capacidad de reaccin en estas circunstancias. Esta tcnica se complementa con la
Entrevista In-Tray, cuyo objetivo es conocer, en mayor profundidad, el sentido de
las decisiones aportadas por los participantes durante la realizacin del ejercicio.
Ejercicios Role-Play: es una de las pruebas ms complejas de todo el desarrollo de

un Assessment Centre. El Role-Play es puramente interactivo y analiza las
habilidades de relacin interpersonal, poniendo al candidato en una situacin a
menudo conflictiva con otra persona. En el proceso se encuentran implicadas tres
personas:
a) El evaluado.
b) El evaluador.
c) El actor o ficticio.
En estos casos el papel del actor es de una importancia extrema, dado que no slo tiene que
estar perfectamente preparado, sino que debe provocar en el evaluado la situacin conflictiva que
se busca, lo ms rpidamente posible.
Ejercicios de Anlisis y Presentacin: en este tipo de ejercicios se le entrega al

participante una documentacin que debe analizar y sobre la cual deber basar su
posterior presentacin. Esta tcnica permite evaluar tanto el proceso mental de
anlisis y toma de decisin, como las habilidades de los participantes a la hora de
presentar y vender sus ideas a los dems.
Todas estas pruebas permiten obtener una fotografa muy aproximada sobre los conocimientos,
aptitudes y habilidades de los profesionales. Hay que considerar que los Assessment Centres son,
sin lugar a dudas, uno de los procesos de mayor rigor analtico, ms exhaustivos y completos con
los que puede contar una empresa a la hora de evaluar las competencias.
94
Fases de un AC
Para que un proceso de evaluacin sea considerado un Assessment Center, ha de reflejar los
45
siguientes pasos :
Anlisis del puesto: comprende el mtodo empleado por la empresa para

determinar las competencias vinculadas con el desempeo exitoso en el puesto en
cuestin.
Clasificacin de los comportamientos: las respuestas manifestadas por los

candidatos se han de clasificar en categoras relevantes y significativas, como por
ejemplo: competencias, aptitudes, habilidades, conocimientos...
Utilizacin de tcnicas especficas: todas las herramientas han de ser diseadas

especialmente para obtener informacin acerca de las competencias, previamente
determinadas en la primera fase.
Uso de mltiples tcnicas de evaluacin: stas pueden ser tests, entrevistas,

cuestionarios... que han de permitir amplia informacin sobre comportamientos
relevantes en relacin a las competencias seleccionadas.
Simulaciones: comprende ejercicios vinculados con el puesto a desempear. As,

los evaluadores podrn registrar cada comportamiento en relacin a cada
competencia.
Evaluadores, observadores, tcnicos: se han de usar varios consultores para

evaluar a cada participante. stos han de poseer las competencias necesarias
(capacidad de observacin, de registro, de clasificacin...).
Recoleccin y registro de datos: los observadores han de registrar los

comportamientos mientras observan, y redactar informes durante cada ejercicio.
Integracin de los datos: tras el anlisis y discusin de la informacin suministrada,

pasa a integrarse en determinados documentos tras haber llegado a un consenso.
45
NBS Norman Broadbent, S.A
95
Captulo V: Modelo
En los captulos anteriores se ha tratado la problemtica generada en la seguridad de la
informacin, y se ha hecho nfasis especialmente en uno: la fuga de informacin. Cuando se
habla de fuga de informacin, la solucin ms natural para contrarrestarla es empleando el
concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas
ocasiones se ha dicho que la creacin de un programa de concientizacin sobre la importancia de
la informacin y su proteccin en las organizaciones contribuira a la sinergia de reforzar el
eslabn ms dbil de la cadena, que es el usuario final.
As, un plan de cultura organizacional dirigido a la seguridad de la informacin debe ser completo,
esto es, que incluya polticas sobre aspectos de seguridad, reuniones con grupos objetivo, una
metodologa adecuada, y sobre todo, estar apoyada por la alta direccin.
5.1 Objetivos del Modelo
El objetivo principal del modelo es apoyar en la minimizacin de la creciente fuga de informacin

en las organizaciones:
Apoyando a identificar las principales vas de fuga de informacin en la organizacin que

se implante, as como la identificacin de las motivaciones del factor humano a explotar
dichas vas.
Planteando un programa general de comunicacin entre los miembros de la organizacin,

para que el personal en general comprenda que la seguridad de la informacin es
responsabilidad de todos, no slo del departamento de TI.
Proponiendo mecanismos permanentes de difusin, concientizacin y educacin que

fortalezcan la prevencin de fuga de informacin y evitar el uso de acciones correctivas en
la organizacin ante la fuga de informacin.
Proponiendo mecanismos de medicin de la efectividad de los programas y llevar a cabo

seguimiento y monitoreo de los resultados obtenidos.
96
5.2 Descripcin del Modelo
Cuando se da vida al programa de concientizacin, se tiene que entender que este escenario es
dinmico y por lo tanto est en construccin permanente, lo que significa que sus definiciones y
documentos debemos usarlas todos los das, pues no se trata de elaborar un texto para archivarlo
y dejarlo llenar de polvo en un escritorio de la organizacin. Adicionalmente, se hace necesaria la
creacin de indicadores que nos permitan medir (lo que no se mide, no se puede mejorar) la
eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y
mejoras necesarios que lleven al funcionamiento ptimo del programa.
Muy seguramente en el camino nos encontraremos con algunos obstculos que hay que sortear y
que son de carcter general en cualquier organizacin que quiera implementar este (y cualquier
otro) modelo de concientizacin para la seguridad. Algunos de los obstculos pueden ser:
No reconocer que la seguridad es tarea de todos
La llegada de una nueva tecnologa
La falta de seguimiento adecuado al programa
No recibir apoyo de la alta direccin
Empleados reacios a cambiar paradigmas
Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qu
clase de metodologa se necesita en la organizacin que se quiera implantar el modelo.
Generalmente las metodologas utilizadas constan de cinco grandes pasos: anlisis, diseo,
desarrollo, implementacin y una evaluacin y mantenimiento. Tambin por supuesto, se hace
necesario que las campaas de culturizacin sean de forma completa y no simplemente con
carteles que vemos pegados en paredes de la organizacin, pues por s solos no consiguen nada.
Es interesante comprender que por muy robustos sistemas de seguridad que se posean, es intil
si el usuario no forma parte del programa de cultura de seguridad y si no se desarrolla una mtrica
para evaluar el avance del mismo, que permita precisar si realmente se est cumpliendo o no con
los objetivos del programa. Visto desde este enfoque el modelo propuesto en este trabajo puede
verse reflejado en la Figura 20 Modelo de concientizacin para la prevencin de fuga de
informacin:
97
Figura 20. Modelo de concientizacin para la prevencin de fuga de informacin. Fuente: Personal.
Como se observa en la figura el modelo consta de 5 sencillos pasos, que se sustentan en una
metodologa general para efectuar casi cualquier proceso, sin embargo, las particularidades sern
expuestas a continuacin.
5.2.1 Conoce al enemigo y concete a ti mismo
De todas las piezas que componen el rompecabezas de la seguridad, destacaramos una como el
pilar central de todo el conjunto: el anlisis de riesgos, en este caso ya tenemos definido el riesgo
que analizaremos: la fuga de informacin. Basndose en el Captulo II (2.3 Vulnerabilidades,
Amenazas y Riesgos de la Informacin), es importante conocer los puntos dbiles o vulnerables
que pueden ser explotados para materializar la fuga de informacin, proporcionar a todo el
98
programa de concientizacin la fortaleza necesaria para que el impacto en la organizacin sea

notorio.
5.2.1.1 Conocer el estado actual de la organizacin en fuga de informacin
Para poder aplicar cualquier programa de concientizacin, es necesario conocer el estado actual
de la organizacin para as poder hacer un diagnstico inicial y por supuesto correcto.
Para ello, es necesario tomar en cuenta por qu se est implementando, Estamos previniendo la
fuga de informacin o ya nos enfrentamos a un problema de fuga de informacin?
En ambos casos, es conveniente que el programa de concientizacin sea dirigido a aquellas

reas que manejan y hacen uso de la informacin que no queremos que salga de la organizacin,
para esto es importante conocer la clasificacin y determinar en qu rubro se encuentra la
informacin que maneja la organizacin, en el tema 2.1.4, se definen los tipos de clasificacin de
informacin recomendados para su identificacin. Esta informacin, puede ser de clientes,
empleados, estados financieros, informacin que si es exhibida a personas que no deben, puede
causar un dao a la reputacin organizacional o prdidas financieras. Un vez que se ha ubicado a
quines se dirigir el programa de concientizacin, hay que determinar Cmo? y si se puede
Por qu? hubo la fuga de informacin, para as detectar que sistemas de seguridad de
informacin se requieren o no han funcionado correctamente para as en un futuro atacar esos
puntos dbiles.
El cmo hacer esta valoracin del estado de la organizacin, puede llevarse a cabo
respondiendo a las siguientes preguntas:
Qu informacin se quiere proteger?
Cul es el valor de dicha informacin para la organizacin?
Cmo se pueden producir incidentes de fuga de dicha informacin?
Cul es el alcance de la exposicin potencial para dicha informacin?
Qu se est haciendo actualmente para reducir la probabilidad o el alcance del dao en

la dicha informacin?
Cules son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
Para un profesional de seguridad de informacin o de TI, las respuestas anteriores se traducen en

terminologa y categoras especficas que pueden emplearse para asignar prioridades. No
obstante, es posible que para el personal en general dichos trminos y categoras, no le resulten
99
familiares, y por tanto se muestre incapaz de asignar prioridades, por este motivo, es
recomendable evitar terminologa de seguridad de informacin, como amenazas, vulnerabilidades
y contramedidas, para mejorar la calidad de la valoracin, permitiendo as que los participantes sin
conocimientos tcnicos no se sientan intimidados, y por tanto se muestren ms abiertos y
participativos. En caso de que sea inevitable el uso de terminologa, se debe continuar con la
valoracin, y esperar al final de la misma para resolver dudas acerca de las definiciones y
terminologa.
Un punto importante a considerar, es que esta valoracin debe efectuarse de manera continua y
peridica, adems puede llevarse a cabo independientemente del proceso que se encuentre en
ejecucin del presente modelo, ya que puede proporcionar informacin de base para acciones
ms ambiciosas en el mbito de la seguridad organizacional.
Debemos hacer conciencia sobre lo que pueda pasar antes de que llegue a ocurrir porque
entonces, probablemente, ya sea demasiado tarde.
5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de

informacin
Con base en las definiciones los tpicos 2.4 y 2.5 del presente trabajo, es necesario evaluar que
conocimientos tiene el personal sobre la fuga de informacin, para as poder localizar quienes son
ms susceptibles a extraer informacin intencionalmente o quienes son lo suficientemente
ingenuos para permitir que se extraiga informacin sin que se den cuenta de ello. Tambin nos
podemos basar en las estadsticas recolectadas en el Captulo III, donde se resalta que el
comportamiento humano es un problema de seguridad de la informacin, en donde una grave
consecuencia es: la fuga de informacin.
En este punto cabe destacar la importancia de verificar si el personal conoce las medidas de
seguridad y/o polticas de la organizacin.
Esta valoracin puede enfocarse a la fuga de informacin en general, pero sobre todo, debe
enfocarse en aquellos puntos dbiles encontrados con anterioridad, debido a que estos son reas
de oportunidad que podemos corregir y mejorar.
Ests evaluaciones deben manejarse con mucho tacto, ya que el personal puede sentirse
intimidado al ser evaluado sobre estos temas, en todo momento se debe hacer partcipe al
personal en las actividades de concientizacin, ya que al final del da: la seguridad es una tarea de
todos.
100
Un punto importante, es la honestidad y la apertura auto - crtica, ya que los resultados de la

evaluacin del estado de la organizacin, as como la del personal, pueden ser poco alentadores,
sin embargo, arrojan luz donde exista obscuridad y la organizacin se negaba a ver, es un buen
momento de efectuar un cambio en la cultura organizacional, ya que los resultados de estas
valoraciones son los insumos para los futuros pasos de este modelo, y sin bases firmes, corremos
el riesgo de que todo se venga abajo.
5.2.2 Comerse el pastel por rebanadas / divide y vencers
Sin duda alguna, las valoraciones anteriores nos arrojaron interesantes reas de oportunidad, pero
ests pueden ser demasiado vastas como para atacarlas todas en una sola oportunidad, por esto
es necesario delimitar el campo de accin que se ejercer en cada punto dbil encontrado.
5.2.2.1 Visualizando el camino
Antes de iniciar el desarrollo de cualquier programa de concientizacin, es importante que la

organizacin est consciente de la problemtica actual por falta de la misma, como se menciona
en el Captulo III, para as establecer un objetivo, el cual puede ser tan simple como todos los
empleados deben entender sus responsabilidades en la seguridad de la informacin, o algo tan
robusto como desarrollar en todos los empleados conciencia sobre las amenazas que enfrenta la
organizacin en fuga de informacin y motivarlos a desarrollar los hbitos necesarios para
contrarrestar dichas amenazas y proteger la informacin.
Cuando se establezca este objetivo se debe tener muy claro que el alcance del mismo sea realista
y ambicioso a la vez, porque pudiera resultar muy frustrante no alcanzarlo, pero podra ser muy
conformista no arriesgar.
Las valoraciones efectuadas con anterioridad pueden resultar un faro en la oscuridad, mostrando
los problemas ms importantes que hay que atacar, e incluso descartando aquellos que no
requieren de un plan de concientizacin para ser resueltos. As, se puede tomar de la lista de
reas de oportunidad los puntos que conformaran el programa de concientizacin, y se puede
definir un objetivo que resulte satisfactorio, tanto para la alta direccin como para los empleados,
debido a que ser ms tangible el logro del mismo, y se ver reflejado en la motivacin del
personal para continuar con ms programas de concientizacin. Se deben tomar las cosas con
calma, puesto que todos los puntos dbiles sern atacados, ya que el modelo propuesto est
considerado para ser cclico, y ser llevado mediante mejora continua.
101
5.2.2.2 Definicin de grupos de audiencias
Las personas son punto clave en cualquier proceso del negocio, y la seguridad de la informacin
es parte del mismo proceso. Por tal motivo, los programas concientizacin deben ser
implementados para que todo aquel ente que est relacionado con la informacin entienda qu es
la seguridad de la informacin: porqu es importante cumplir con todos los procesos, asegurarse
de que la tecnologa es aplicada de acuerdo a estndares, y que todos los procesos y
procedimientos deben ser seguidos al pie de la letra.
Como parte del modelo de concientizacin, la organizacin debe asegurarse que el personal
interno, clientes, proveedores y todo aquel ente que est relacionado con la organizacin reciban
los lineamientos correspondientes a la seguridad de la informacin de la organizacin, as como la
capacitacin necesaria en seguridad de la informacin para su puesto y funciones. As mismo, se
debe asegurar que las personas involucradas puedan reconocer incidentes de seguridad, como
debe reportarlos y responder ante estos.
Sin embargo, hacer llegar el mensaje a tantas personas puede resultar una labor titnica, es por
eso que es importante dividir el problema, e informar mediante grupos de audiencia, debido a que
no todos necesitan saber lo mismo ni tampoco todos estn expuestos a las mismas amenazas.
El nivel y tipo de contenido dependen de las necesidades de la organizacin. Esencialmente, a los
empleados, se les debe informar sobre lo que necesitan proteger, cmo lo deberan proteger, y
qu tan importante es. As el mensaje se distribuir de manera personalizada, y se podr obtener
un mejor resultado. Una forma sencilla de determinar los grupos de audiencias puede ser
respondiendo las siguientes preguntas:
A quin pretende alcanzar el programa de concientizacin?
Las necesidades de son iguales para todos, o cada uno necesita saber cosas diferentes?
, en caso de necesitar saber cosas diferentes, necesitan saber cosas radicalmente
diferentes?
El conocimiento de todos es igual, o estn a distintos niveles?
Qu formas de comunicacin se pueden usar para entregar el mensaje de

concientizacin a todos los involucrados?
Cmo es percibida la cultura de seguridad de la informacin por los involucrados?
Tienen conocimientos de polticas, procedimientos, mejores prcticas de seguridad de la

informacin?, de ser as, Qu tan actualizados estn?
102
Adems de indicarles su roles, responsabilidades y funciones, es necesario hacerles saber las

diferentes formas en que se puede dar la fuga de informacin, los cuales se mencionan en el
punto 2.4.2 del presente trabajo.
Un punto importante a destacar, tambin son las consecuencias a las que exponen a la
organizacin, como a ellos mismos, ests consecuencias pueden delimitarse de la siguiente
forma:
Legales: Pueden ser aquellas en las que se incumple directamente alguna de las
clusulas establecidas en algn contrato, entre la empresa y el personal, o bien con los
clientes. Del mismo modo se tienen las consecuencias legales establecidas por la
legislacin de cada pas y/o sector, en el caso de Mxico se establecen en el Cdigo
Penal, las cuales se pueden observar en el punto 4.2.2.
Administrativas: Se tienen aquellas por las que se ve afectada directamente la empresa,

por ejemplo: falta de credibilidad y bajo prestigio.
Operacionales: Son aquellas en las cuales la empresa tiene que reestructurarse en caso
de tener que hacer algn cambio de personal que ha incurrido en una falta.
5.2.3 De la vista nace el amor / manos a la obra
Hay que tener en cuenta que el xito de un programa de concientizacin depende de la capacidad
para alcanzar una gran audiencia a travs de varios materiales y tcnicas de difusin atractivos y
llamativos.
El programa de concientizacin debe sensibilizar al personal sobre las amenazas y

vulnerabilidades a las cuales se expone la informacin, as mismo debe recordarles la necesidad
de proteger la informacin que ellos mismos crean, procesan, transmiten y almacenan. Ya que
bsicamente el objetivo del programa es la conciencia de seguridad en todo el personal.
5.2.3.1 Elaboracin de materiales de apoyo
Los mtodos y opciones disponibles para hacer llegar a los empleados la informacin sobre
concientizacin en seguridad de la informacin son muy similares a aquellos que se usan para
hacer llegar otro tipo de informacin organizacional. Sin embargo, tambin es necesario tomarse
tiempo para romper tradicionalismos y salirse del cuadro, es decir, ser tiempo de innovar.
103
Hay que pensar mtodos y materiales positivos, divertidos, interesantes y motivantes que le den al
personal el mensaje y los entusiasme a llevar a cabo buenas prcticas de seguridad de la
informacin. Algunos ejemplos de estos materiales pueden ser:
Posters
Carteles con slogans motivantes y contagiosos
Videos
Capacitacin
Medios electrnicos, como CD-ROM, correo electrnico o intranet
Trpticos
Plumas, lpices, llaveros con slogans motivantes
Etiquetas adhesivas para puertas y tableros de anuncios
Dibujos animados, publicados mensualmente o trimestralmente en el boletn interno de la

organizacin o del rea
Boletines especiales de estos tpicos (las alertas de seguridad)
Correo electrnico mensual con los avisos relacionados a la seguridad
Anuncios o mensajes de entrada en los sistemas
5.2.3.2 Imparticin de concientizacin en fuga de informacin
Despus de haber evaluado a situacin de la organizacin, establecido una estrategia y preparado

los materiales de apoyo, es momento de llevar a cabo la imparticin de la concientizacin.
En primera instancia el plan de concientizacin debe ser comunicado y completamente explicado a

las entidades a las que va dirigido, para asegurar su apoyo. Esta comunicacin debe incluir las
expectativas de dicho programa, as como los beneficios que traera el logro del objetivo del
104
mismo. Es importante que todos entiendan sus roles y responsabilidades dentro del programa de
concientizacin.
Algunas claves para lograr una comunicacin efectiva del mensaje de seguridad son las
siguientes:
Abarcar las ms amplia audiencia posible
No hay que ser alarmistas o sobre exagerar los puntos negativos
Emplear situaciones y experiencias de la audiencia a las cuales se dirige el mensaje
El mensaje, los canales y el emisor del mensaje deben tener autoridad y credibilidad
Debe de emplearse ms de un canal de comunicacin para atrapar la mayor atencin

posible
Los medios deben ser flexibles y adaptables, debido a que factores externos pueden
alterar el escenario
Asegurar los elementos de una comunicacin bsica
Qu expectativas se tienen de la audiencia
Porqu la audiencia debe participar en el programa de concientizacin y cules

son los beneficios
Cuando es que los receptores deben tomar acciones
Cmo es que las acciones indicadas afectan sus responsabilidades y desempeo
Quienes son los responsables de dicho programa
A quin contactar para ms informacin
Para llevar a cabo una comunicacin efectiva del mensaje es recomendable llevar a cabo un plan
de comunicacin en el cual se incluya:
105
Grupo audiencia: Quin recibir el mensaje
Necesidades de la audiencia: Las necesidades de comunicacin de la audiencia
Mensaje: El contenido de la comunicacin
Canal: El medio por el cual el mensaje ser transmitido
Responsable: Quin efectuar el comunicado
Objetivos: Que se espera lograr a travs del comunicado
Tiempo/Frecuencia: Cuando ser efectuado el comunicado
Retroalimentacin: Que medios se utilizarn para recibir respuesta, retroalimentacin
El programa de difusin y concientizacin debe permanecer actualizado. Si las polticas cambian,

las personas deben ser notificadas. Ser necesario y de gran ayuda configurar medidas tcnicas
para la entrega inmediata de informacin.
Finalmente, el programa de difusin y concientizacin debe ser simple. Para la mayora de las
organizaciones, este programa no debe ser necesariamente caro, complicado o excesivamente
tcnico en su entrega. Se debe hacer sencillo para que el personal que reciba la informacin lo
entienda rpidamente. Este programa debe:
Ser soportado y liderado por el ejemplo de los jefes
Simple y sencillo
Positivo y motivante
Un esfuerzo contino
Repetir los mensajes ms importantes
Entretenido
106
Hacer slogans fciles de recordar
Decir al personal que son las amenazas y sus responsabilidades en la proteccin de la

informacin
Tal como en un programa dirigido a todo el personal, el programa de concientizacin debe ser
soportado por los altos mandos, esto debe incluir costos, materiales, horarios, etc.
Se debe tener en cuenta que algunos empleados mostrarn resistencia pacfica, creando una
atmsfera negativa, ignorando los procedimientos y violando las polticas de seguridad. Tambin
habr resistencia activa, en la cual los empleados a propsito se negarn a seguir las protecciones
de seguridad y discutirn sobre las polticas. Aunque habr resistencia, la mayora del personal
quiere hacer bien su trabajo, hacer lo correcto y seguir las reglas. No se debe permitir que los que
van en contra afecten los esfuerzos de seguridad.
Otro factor crucial de xito en un programa de concientizacin, es recordar que nunca termina, el
programa de concientizacin debe repetir este mensaje. Si el mensaje tiene mucha importancia,
entonces, debera ser repetido ms a menudo, y de una forma diferente cada vez. Debido a que la
concientizacin de la seguridad debe ser una actividad continua, requiere creatividad y entusiasmo
para mantener el inters de todos los miembros de la audiencia. Los materiales de concientizacin
deben ser creados en una atmsfera en la que la seguridad de la informacin no solo es
importante para la organizacin, sino para cada empleado. Debe encender el inters en el
seguimiento de las polticas, procedimientos, reglas y buenas prcticas de seguridad de la
informacin.
Como apoyo a la concientizacin en la prevencin de fuga de informacin, es importante

considerar tambin la tecnologa existente aplicada en la concientizacin y fuga de informacin. En
el tema 4.5, se citan algunas de las principales tecnologas para prevenir la fuga de informacin.
5.2.4 Encontrando el eslabn ms dbil
Todos los programas organizacionales, incluido el de concientizacin debe ser revisado y

evaluado peridicamente. No siempre es necesario aplicar exmenes o evaluaciones en forma,
debe ser suficiente con revisar y monitorear informalmente cuales actitudes o comportamientos
han cambiado. La evaluacin y retroalimentacin son mecanismos crticos del programa de
concientizacin, ya que la mejora continua no puede darse sin una autentica valoracin de cmo
ha funcionado dicho programa.
107
5.2.4.1 Evaluacin de resultados de concientizacin en fuga de informacin
Algunas veces las evaluaciones pueden enfocarse en puntos errneos, por ello es importante
medir la efectividad de la implementacin del programa de concientizacin. A continuacin se
enlistan algunas opciones a considerar:
Distribuir encuestas o cuestionarios buscando la contribucin de los empleados.
Preguntar en momentos laborales comunes acerca del programa de difusin y

concientizacin.
Llevar registro de los nmeros y tipos de incidentes de seguridad ocurridos antes y

despus del programa.
Revisar los lugares de trabajo.
Monitorear quien ha recibido el mensaje, de lo contrario reenviarlo.
Realizar hackeo tico peridicamente.
Se debe tener en cuenta que el proceso de evaluacin debe reflejar y responder si los objetivos y
metas planteados inicialmente, fueron alcanzados.
5.2.4.2 Autoevaluacin de resultados de concientizacin en fuga de informacin
Una estrategia de retroalimentacin puede ser un componente muy til en un programa de

concientizacin, ya que ayudara a redisear y actualizar dicho programa. Entre los mtodos de
retroalimentacin que se podran emplear destacaramos:
Cuestionarios
Grupos foco
Entrevistas selectivas
Observacin y anlisis
108
Reportes de estatus
Benchmarking externo de seguridad de la informacin
5.2.5 Redefiniendo el curso
La efectividad de los programas de concientizacin, as como la capacidad de mejorar la

seguridad de la informacin, puede medirse. La necesidad de concientizar es ampliamente
reconocida, pero no muchas organizaciones se atreven a cuantificar el valor de los programas de
concientizacin. La evaluacin es esencial para entender su efectividad, as como para obtener
informacin que gue las iniciativas de mejora, sin embargo, las mtricas de valoracin no pueden
aplicarse igual para todas las organizaciones, debido a que las situaciones y necesidades difieren
enormemente.
5.2.5.1 Anlisis de resultados de evaluacin
Ya que se ha implementado, evaluado y puesto en prctica el modelo de concientizacin, es

necesario llevar a cabo el anlisis de la informacin obtenida, para determinar s se cumpli con
los objetivos establecidos. Esta evaluacin puede darse en los siguientes niveles, y con algunos
indicadores propuestos:
De negocio. Midiendo el impacto de las funciones de manera completa en los objetivos de

negocio. Por ejemplo: satisfaccin del cliente, satisfaccin de los colaboradores, medidas
financieras.
De servicio. Midiendo las actividades y resultados del servicio. Por ejemplo: cumplimiento
de los acuerdos de niveles de servicio y operacin.
De operacin. Midiendo los procesos y tcnicas necesarias para el funcionamiento de la

organizacin. Por ejemplo: mediciones de errores reportados y tiempo de respuesta a
procedimientos.
Cada factor, lo deber determinar cada organizacin dependiendo su alcance, necesidades y

recursos con los que cuenten.
109
5.2.5.2 Reestructuracin / mejora continua
Es necesario que el modelo sea cclico y no de una sola vez. Para esto, se debe evaluar y ajustar
eventualmente cualquier actividad relacionada al modelo, teniendo como meta incrementar la
calidad del modelo, y en consecuencia, los beneficios que este pueda traer a la organizacin.
Siendo necesario demostrar la efectividad medida del modelo, la cual se debe enfocar en la
medida del progreso sobre los resultados deseados y en caso de que este no est funcionando,
enfocar los esfuerzos en la mejora y reestructura de las reas de oportunidad.
Ser necesario asegurar que el programa, est estructurado, y se actualice de acuerdo a los
cambios emergentes en el ambiente de seguridad de la informacin. La concientizacin necesita
nuevas habilidades y capacidades para responder a las ms recientes amenazas. Un cambio en la
misin y/u objetivos de la organizacin puede proporcionar ideas relacionado con mejores formas
de disear la estrategia del programa de concientizacin. El surgimiento de nuevos incidentes de
seguridad, tambin debe impactar la naturaleza y extender las actividades de concientizacin
necesarias y mantener a los colaboradores informados acerca de los ltimos puntos dbiles as
como de sus contramedidas. Las nuevas leyes, estatutos reglamentacin tambin deben
impactar el desarrollo implementacin de este programa de concientizacin, as como cualquier
cambio organizacional.
El modelo enfoca su atencin en crear un nivel de excelencia y concientizacin plena que penetre
al 100% en la organizacin. Los procedimientos de concientizacin deben estar integrados con la
estrategia del negocio, siempre teniendo en cuenta que el xito de la organizacin debe enfocarse
en la proteccin de la informacin. Un programa maduro de concientizacin debe garantizar esta
excelencia, proporcionado una ventaja competitiva y denotando beneficios tanto en el clima laboral
como en el mbito del negocio.
El objetivo de la concientizacin es asegurar que los colaboradores reconozcan los problemas de

seguridad que se presentan da a da, y como proteger la informacin y a ellos mismos en sus
funciones diarias. Sin embargo, el objetivo primordial de la concientizacin involucra un esfuerzo
conjunto para asegurar que cada colaborador tiene un entendimiento de sus roles y
responsabilidades en la proteccin de los recursos de informacin de la organizacin. Tales
esfuerzos de concientizacin tienen un alcance ms amplio que slo los recursos de TI, ya que
debe involucrar proteger otro tipo de informacin sensible: la que poseen las personas, as como
las instalaciones. Debido a que el enfoque de la concientizacin debe girar alrededor de las
personas, un cambio de cultura organizacional es necesario para asegurar verdaderamente que
los colaboradores entienden sus responsabilidades y las toman con seriedad.
110
5.3 Conclusiones del modelo
Este modelo nos ayuda a proponer pautas para llevar a cabo un programa de concientizacin que
apoye en la minimizacin de la fuga de informacin, identificando las principales causas de fuga
de informacin y lo que motiva factor humano en hacerlo y consecuencias del mismo.
Este modelo es cclico, por lo que su rumbo debe ser encaminado a la mejora continua, lo que da
como resultado, un modelo y un programa de calidad, el cual se acople a las necesidades de la
organizacin y a la rotacin y cambio de las polticas y procedimientos que afecten a los
colaboradores.
Es importante considerar que el programa de concientizacin debe de ser divertido y sencillo para
el entendimiento de los usuarios, a ciencia cierta ellos sern los usuarios finales del mismo,
quienes ayudarn a validar la efectividad del mismo. Independiente de las reglas o pautas
especficas del modelo, ellos son quienes le dan peso al modelo. Y es necesario hacerles, las
consecuencias del mal uso de la informacin, desde recesin de contrato, hasta prdidas
financieras y daos de reputacin
irreparables, o que da como consecuencia final, la
desconfianza de los clientes, quienes son los principales proveedores de las organizaciones.
El ver las grficas anteriores, se demuestra la importancia de la existencia de un modelo que nos
d la pauta para salvaguardar el activo ms importante para las organizaciones: la informacin. Y
no solo tener el enfoque de que la seguridad es cuestin del rea de tecnologa, si no enfocar un
mayor peso al factor humano, ya que ellos son quienes controlan, manejan, distribuyen, procesan
y resguardan la informacin.
A pesar de lo anterior, se deja abierto, el profundizar en un programa general de comunicacin

entre los miembros de la organizacin, as como la elaboracin de mecanismos de medicin de la
efectividad de los programas, as como el llevar a cabo un seguimiento y monitoreo de los
resultados obtenidos.
111
Captulo VI: Caso Prctico

En el captulo V hemos visto en qu consiste el modelo de concientizacin en la prevencin de la
fuga de informacin y la descripcin de cada una de sus fases, sin embargo no basta una
investigacin terica. Es necesario llevar el modelo a la prctica para demostrar su funcionamiento
y relevancia.
Para esto se consider una organizacin pblica debido a que son ms vulnerables a ataques con
motivo al tipo de informacin que manejan y a que no se le da el resguardo ideal. Adems de que
en la actualidad estn instituciones desean innovarse, obtener certificaciones y aumentar su
prestigio.
A lo largo de este captulo se describir el desarrollo de cada fase que compone al modelo de
concientizacin en la prevencin de la fuga de informacin pero aplicado a una organizacin
pblica.
6.1 Conocimiento de la Empresa
La propuesta ser aplicada en el Centro de Estudios Tecnolgicos Industrial y de Servicios

(CETIS) No. 54 ubicado en Avenida 412 esquina con avenida 608 colonia San Juan de Aragn,
delegacin Gustavo A. Madero, Mxico, Distrito Federal. El rea especfica ser la de control
escolar.
Control escolar es un departamento en donde se encuentra contenida toda la informacin de la
poblacin estudiantil como son los historiales, documentos personales Como organizacin pblica
es necesario hacerlos conscientes de que para mantener la seguridad de su informacin no basta
con la seguridad clsica, es necesario un programa de concientizacin del personal para que los
datos almacenados no se divulguen fuera del plantel.
6.1.1 Misin
Formar personas con conocimientos tecnolgicos en las reas industrial, comercial y de servicios,
a travs de la preparacin de bachilleres y profesionales tcnicos, con el fin de contribuir al
desarrollo sustentable del pas.
6.1.2 Visin
Ser una institucin de educacin media superior certificada, orientada al aprendizaje y desarrollo
de conocimientos tecnolgicos y humansticos.
112
6.1.3 Organigrama
6.2 Aplicacin del Modelo
Se implementar el modelo de concientizacin dentro de las oficinas de Control Escolar del turno
vespertino, realizando un anlisis de dicha rea que consiste en verificar la existencia de medidas
y polticas de seguridad de la informacin. Con el objetivo de prevenir una fuga de informacin por
parte del personal que ah labora o en casos extremos, personas maliciosas que busquen un
beneficio de la divulgacin de informacin procedente de la poblacin estudiantil.
Como organizacin pblica es necesario hacerlos conscientes de que para mantener la seguridad
de su informacin no basta con la seguridad clsica, es necesario un programa de concientizacin
del personal para prevenir que los datos almacenados no se divulguen fuera del plantel y evitar
poner en riesgo la reputacin de la Institucin Educativa (CETiS No. 54).
113
6.2.1 Anlisis Conoce al enemigo y concete a ti mismo
Tenemos bien definido que debemos prevenir que la informacin de los alumnos salga del plantel,
por lo que la concientizacin debe ser dirigida a las secretarias y jefes de control escolar. Para
llegar a esta conclusin fue necesario realizar una valoracin de la seguridad con que se
resguardan los datos y con qu grado de conciencia cuenta el personal respecto al tema de
seguridad de informacin, tanto en lo que se refiere a la tica de no divulgacin como a la
legislacin existente, mejores prcticas aplicables y que medidas de seguridad emplean. Lo
anterior se obtuvo por medio de entrevistas con el personal y encargados, la observacin de
procesos como: entrega de calificaciones e inscripciones, as como la verificacin de la seguridad
de los equipos. Con el objetivo de conocer el rea, la existencia de restricciones de acceso al
sistema y por supuesto abrir un canal de comunicacin con el personal, ganarse su confianza,
para obtener respuestas honestas que hagan que el modelo arroje los resultados esperados.
Como parte de las entrevistas con las secretarias de control escolar se aplic un breve
cuestionario que se presenta a continuacin:
CUESTIONARIO
Fecha:
Entrevistado por:
Nombre y Cargo:
El siguiente cuestionario tiene un objetivo informativo, los datos proporcionados son

confidenciales, por lo que no hay lugar a represalias por los mismos.
1.- Existe algn cdigo polticas de no divulgacin de la informacin que maneja?
SI
NO
En caso de ser la respuesta afirmativa pase a la pregunta 2, de lo contrario pase a la pregunta 4
2.- Conoce usted a detalle el cdigo o polticas de no divulgacin de la informacin que maneja?
SI
NO
3.- Se le recuerda constantemente este cdigo o polticas de no divulgacin?
SI
Cada cunto tiempo?________________________________________
NO
114
Fecha:
Entrevistado por:
Nombre y Cargo:
4.- Considera usted que la fuga de informacin podra conllevar consecuencias graves?
SI
NO
En caso de ser la respuesta afirmativa pase a la pregunta 5, de lo contrario pase a la pregunta 6
5.- Qu consecuencias considera usted que conlleva la fuga de informacin?
a) Legales
b) Administrativas
c) Operacionales (al perder la informacin o al caer en manos de terceros, la operacin se
vera afectada)
d) Todas las anteriores
e) Otras____________________________________________________________________
________________________________________________________________________
6.- Qu tipo de informacin considera usted que es manejada?
a) Restringida (Que solo un grupo reducido de personas tiene acceso a ella)

b) Altamente confidencial (Informacin de uso exclusivo de solo un rea)
c) Confidencial (Informacin personal, ya sea del personal docente o alumnado)
d) Interna (Informacin que no debe salir de la escuela)
e) Pblica (Informacin que puede verse tanto dentro y fuera de la escuela)
f)
Otra________________________________________________________________________
___________________________________________________________________________
_
7.- Qu efecto tendra a su criterio el que la informacin que maneja caiga en manos ajenas?
_______________________________________________________________________________
_______________________________________________________________________________
115
Fecha:
Entrevistado por:
Nombre y Cargo:
8.- Qu mecanismos conoce usted que estn implementados para el resguardo y seguridad de la
informacin?
_______________________________________________________________________________
_______________________________________________________________________________
9.- Qu otros mecanismos propondra para el resguardo de la informacin?

_______________________________________________________________________________
_______________________________________________________________________________
10.- En caso de que la informacin que usted maneja caiga en otras manos, En manos de
quienes considera usted que correra ms riesgo?
a) Personas externas a control escolar

b) Personas internas a control escolar
11.- Alguna vez ha logrado acceder a alguna aplicacin o mdulo de la misma de tal modo que
no supo cmo lo hizo pero logro entrar?
Si
No
12.- En caso de ser afirmativa la pregunta anterior, Pudo haber sustrado algn tipo de
informacin?
Si
No
13.- En caso de ser afirmativa la pregunta anterior, Qu medidas de seguridad sugerira para que
no se presentara dicha situacin nuevamente?
_______________________________________________________________________________
_______________________________________________________________________________
116
6.2.2
Diseo Comerse el pastel por rebanadas/ divide y vencers
El objetivo particular de este modelo es motivar a todos los empleados para que refuercen los
hbitos y valores necesarios para proteger la informacin en beneficio de la institucin.
Debido al poco personal que integra las oficinas de control escolar se trabajar con dos grupos de
audiencia. El primero integrado por las secretarias y el segundo por los jefes de control escolar.
El plantel cuenta con un cdigo de tica proveniente de la DGTI, el cual est integrado por 10
lineamientos, de los cules slo los siguientes hacen referencia a la concientizacin:
Con acciones y palabras honestas y dignas de credibilidad propiciar, el beneficio de la

institucin.
No usar el cargo en la institucin para ganancia personal.
Actuar siempre en forma imparcial y en estricta observancia de la norma
El cdigo y las polticas de no divulgacin se le da a conocer al personal cuando ingresan a

laborar en dicho plantel; la falta de recordatorios o la exposicin visual de este cdigo hace que los
empleados tengan el conocimiento de que existe el cdigo pero no de su contenido. A excepcin
de la jefa de control escolar Lic. Patricia E. Mrquez. En lo que se refiere a legislacin y mejores
prcticas, es necesario plantearles todo lo que existe actualmente y en lo referente a mejores
prcticas mostrarles cules existen y que puntos deben cubrir para que sean certificados.
Darles una gua de las contingencias que pueden surgir y cmo reaccionar en caso del
surgimiento de una, a quin dirigirse. Es importante que el personal del rea en estudio este
consciente de las responsabilidades y funciones respecto a seguridad de la informacin que debe
seguir de acuerdo al puesto que desempea y que los estndares aplicados se sigan al pie de la
letra para lograr la mejora continua de la calidad de los servicios que proporcionan.
6.2.3
Desarrollo/ Implementacin De la vista nace el amor/ manos a la obra
Dar una pltica a las secretarias sobre las leyes y penas que existen actualmente y hacerles
sugerencias respecto a cmo evitar que la informacin salga del plantel. A continuacin la
presentacin sobre la legislacin existente:
117
118
119
120
121
Publicar en la oficina el cdigo de tica, agregando ms puntos, para que el personal no lo olvide.
122
Colocar posters con slogans que inviten a las personas a mantener la informacin segura.
A todos los usuarios

No
copies
unidades
la
informacin
como usbs, cds
diskettes. Si te descuidas estos

podran
caer
en
manos
de
terceros.
No
abras
correos
de
remitentes desconocidos o
con
asuntos
poco
confiables podra ser un

VIRUS!
123
Hora de ir a casa? Un momento! Ya apagaste tu equipo?
Cuidado cuando te alejes de tu equipo, bloqualo para que nadie ms tenga acceso mientras
no estas
124
6.3 Resultados del Modelo
Como se describa en el captulo anterior el modelo consta de cinco fases ( anlisis, diseo,
desarrollo, evaluacin y mantenimiento). A continuacin se presentarn los resultados de los
cuestionarios aplicados en la fase de anlisis, que nos permitieron armar la base de la informacin
que era necesaria dar a conocer y en qu tipo de material de apoyo enfocarnos. Tambin
presentaremos las ltimas fases del modelo.
6.3.1
Evaluacin Encontrando el eslabn ms dbil
De acuerdo con los resultados de los cuestionarios se constat que la jefa de control escolar es
quin mayor conciencia situacional tiene sobre la importancia de la informacin que maneja, esto
va desde su conocimiento del cdigo de tica y polticas de no divulgacin, teniendo en cuenta
que la informacin manejada es confidencial, hasta un poco de las leyes que sancionan los delitos
informticos. Por otro lado, las secretarias no conocen a detalle el cdigo y polticas de no
divulgacin, a tal grado de considerar que la informacin manejada es nicamente de carcter
interno, adems de no estar conscientes de todas las consecuencias que conllevara la fuga de
informacin, provocando la incapacidad de poder proponer otros mecanismos para el resguardo
de la informacin.
6.3.2
Mantenimiento Redefiniendo el curso
Como se ha venido mencionando la efectividad de un modelo de concientizacin consiste en la

perseverancia, esto es el seguimiento que se le asigna al modelo .Los modelos de concientizacin
deben ser cclicos.
En este caso se le sugiere a la jefa de control escolar que se aplique cada mes una evaluacin de
los procesos que efectan las secretarias para observar como realizan sus actividades y
percatarse de que puntos an continan afectando la seguridad de la informacin. Se sugiere
tambin hacer consultas peridicas a la poblacin estudiantil para verificar si el servicio en control
escolar realmente presenta mejoras. No basta con hacer la inversin en posters o en la
disposicin del personal al cambio de hbitos, si no se realiza una evaluacin de que el personal
est realmente captando el mensaje.
Haciendo el anlisis de los resultados de dicha evaluacin se puede llegar a la reestructuracin y

mejora del modelo para que este se siga actualizando y aplicando de acuerdo a las necesidades
que se tengan que cubrir para evitar la fuga de informacin en esta organizacin.
125
Conclusiones
La Seguridad de la Informacin es uno de las tareas ms cruciales a la que nos enfrentamos
actualmente. Estamos en un ambiente dnde los recursos de informacin se ven amenazados por
una variedad de factores que simplemente no existan hace unos aos y uno de ellos es la fuga de
informacin, que va en continuo aumento. Generalmente las organizaciones toman precauciones
tcnicas para prevenir estas amenazas, de esta manera la organizacin debe enfatizar ms el
trabajo diario, que las personas relacionadas con la organizacin efectan en pro de la Seguridad
de la Informacin.
Enfatizando el objetivo de nuestro Modelo de concientizacin en la prevencin de la fuga de

informacin, en el cual se proponen pautas necesarias para llevar a cabo un programa que se
acople a cualquier organizacin y con el objetivo de minimizar la creciente fuga de informacin en
las organizaciones, y consideramos que este ha sido cubierto a lo largo del presente trabajo. Ya
que mediante un anlisis sustentado por estudios elaborados por especialistas en el campo de la
seguridad de la informacin, se identificaron las principales vas de fuga de informacin y lo que
motiva al factor humano a explotarlas, as como las consecuencias de la fuga de informacin a
causa del factor humano.
De la misma manera mediante un estudio de las herramientas existentes, se dan a conocer:

tecnologa, normatividad, estndares y mejores prcticas; que apoyan en la prevencin de fuga de
informacin.
Se deja en pro de la mejora del presente modelo, profundizar en un programa general de

comunicacin entre los miembros de la organizacin, para que los usuarios comprendan que la
seguridad de la informacin es responsabilidad de todos, no slo del departamento de TI, y
proponer mecanismos de medicin de la efectividad de los programas y llevar a cabo seguimiento
y monitoreo de los resultados obtenidos.
Un punto importante a enfatizar es que durante el desarrollo del presente trabajo, no se encontr
normatividad, ni legislacin clara que promoviera esquemas de concientizacin para las
organizaciones, dejando una brecha significativa en la seguridad de la informacin. Es
preocupante debido a que viviendo en la era de la informacin, cualquier violacin al derecho
primordial de la privacidad, debera ser penada, y sin embargo, no est gestionado ni sancionado
explcitamente el no tener mecanismos de prevencin.
126
Bibliografa
Presentacin del libro Seguridad: una Introduccin. Dr MANUNTA, Giovanni. Consultor y
Profesor de Seguridad de Cranfield University. Revista Seguridad Corporativa.
TOFFLER, Alvin. La Tercera Ola. Editorial Sudamericana. Espaa. 1998.
ALDEGANI, Gustavo. Miguel. Seguridad Informtica. MP Ediciones. Argentina. 1997. Pgina 22.
CALVO, Rafael Fernndez. Glosario Bsico InglsEspaol para usuarios de Internet. 19942000.
ARDITA, Julio Csar. Director de Cybsec S.A. Security System y exHacker. Entrevista personal
realizada el da 15 de enero de 2001 en instalaciones de Cybsec S.A.
HOWARD, John D. Thesis: An Analysis of security on the Internet 19891995. Carnegie Institute of
Technology. Carnegie Mellon University. 1995. EE.UU. Captulo 6Pgina 59.
Revista de Ingeniera Informtica del CIIRM
Revista The EDP audit control and security newsletter
MAGERIT. Consejo Superior de Informtica, Ministerio de Administraciones Pblicas

ITGovernance Institute, CObIT 3rd. Edition, Framework.
Del instituto nacional de estndares y tecnologa (NIST)
SP 800-12 Computer Security Handbook
SP 800-14 Generally Accepted [Security] Principles & Pratices
SP 800-18 Guide for Developing Security Plans
SP 800-26 Security Self-Assessment Guide for Information Technologies Systems
SP 800-30 Risk Management Guide for Information Technologies Systems
SP 800-34 Contingency Plan Guide for Information Technologies Systems
127
RFC 1244 Site Security Handbook
Gua de implantacin BS 7799-2:2002
http://www.aig.com
http://seguridad.internet2.ulsa.mx
http://www.seguridadcorporativa.org
http://www.ati.es/novatica/2000/145
http://www.cybsec.com
http://www.cert.org
http://www.wikipedia.org
http://www.pc-news.com
http://www.csi.map.es/csi/pg5m20.htm
http://csrc.nist.gov/publications/nistpubs/index.html
http://www.shellsec.net/articulo/iso-27001/
http://www.27001-online.com/
http://www.eeye.com/html/resources/whitepapers/index.html
http:// www.nexusasesores.com
http://www.microsoft.com/technet/security
128
Glosario
Ataque: Intento de traspasar un control de seguridad de un sistema.
Cifrar: Ver Criptografa.
Clave, Contrasea (Password): palabra o frase que permite acceder a un sistema, encriptar un
dato, determinar privilegios de usuarios, etc.
Clave Pblica: En un Sistema Asimtrico de Cifrado es la clave que todos conocen para Cifrar o
descifrar un mensaje.
Clave Privada: En un Sistema Asimtrico de Cifrado es la clave que solo el emisor del mensaje
conocen para cifrar o descifrar un mensaje.
Cracker: Persona que quita la proteccin a programas con sistemas anti copia. Hacker maligno,
que se dedica a destruir informacin.
Criptografa: Ciencia que consiste en transformar un mensaje inteligible en otro que no lo es,
mediante la utilizacin de claves, que solo el emisor y receptor conocen.
Deteccin de Intrusos: Sistemas que agrupa un conjunto de tcnicas cuyo propsito es detectar
las intrusiones en una computadora o un sistema.
ID: Identificacin.
Ingeniera Social: Arte de convencer a la gente para que realice actos que pueden comprometer
un sistema. Obtencin de informacin por medios ajenos a la informtica.
Internet: Sistema de redes de computacin ligadas entre si, con alcance mundial, que facilita
servicios de comunicacin de datos como registro remoto, transferencia de archivos, correo
electrnico y grupos de noticias.
Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso de
hardware o software.
ISMS: Information Security Management System.

129
ISO (International Organization for Standarization): Organizacin voluntaria, no gubernamental,

cuyos miembros han desarrollado estndares para las naciones participantes. Uno de sus comits
se ocupa de los sistemas de informacin. Han desarrollado el modelo de referencia OSI y
protocolos estndares para varios niveles de este modelo.
Pirata Informtico: Persona que copia software, con derecho de autor, ilegalmente sin que medie
el permiso expreso del desarrollador. No confundir con el trmino Hacker o Cracker.
Red: Conjunto de computadoras, impresoras, Routers, Switches, y otros dispositivos, que pueden
comunicarse entre s por algn medio de transmisin.
Sistema Asimtrico de Cifrado: Sistema mediante el cual se emplea una doble Clave kp (privada) y
KP (Pblica). Una de ellas es utilizada para Cifrar y la otra para descifrar. El emisor conoce una y
el receptor la otra. Cada clave no puede obtenerse a partir de la otra.
Sistema Simtrico de Cifrado: Sistema mediante el cual se emplea la misma Clave para Cifrar y
descifrar. El emisor y receptor deben conocerlas.
Software: Programas de sistema, utileras o aplicaciones expresadas en un lenguaje de mquina.

Username (Usuario): Nombre nico que identifica a un usuario, y es utilizado como medio de
identificacin ante un sistema.
Virus: Programa de actuar subrepticio para el usuario; cuyo cdigo incluye informacin suficiente y
necesaria para que, utilizando los mecanismos de ejecucin que le ofrecen otros programas,
puedan reproducirse y ser susceptibles de mutar; resultando de dicho proceso la modificacin,
alteracin y/o dao de los programas, informacin y/o hardware afectados.
Vulnerabilidad: Debilidades del sistema que pueden ser explotadas y empleadas, por alguna
amenaza, para comprometerlo. Hardware, firmware o Software que contiene Bugs que permiten
su explotacin potencial.
130

Tesis de Fuga de Informacion

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tesis de Fuga de Informacion

Încărcat de

Drepturi de autor:

Formate disponibile

INSTITUTO POLITCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

MODELO DE CONCIENTIZACIN EN LA PREVENCIN

BEATRIZ ADRIANA DOROTEO VALDEZ

JORGE ALBERTO HERNANDEZ QUIRINO

Planteamiento del problema ................................................................................................ 1

Marco terico ....................................................................................................................... 8

Diseo de la investigacin ................................................................................................. 11

Tipo y tcnicas de investigacin ........................................................................................ 11

Captulo II: Conceptos Generales ...................................................... 13

Funcin de la informacin .......................................................................................... 14

Seguridad de la informacin .............................................................................................. 18

Objetivos y propsitos de seguridad de la informacin ............................................. 19

Funciones de la seguridad de la informacin ............................................................ 20

De quin debemos protegernos .................................................................... 23

Cmo podemos protegernos ......................................................................... 23

Importancia de la seguridad de la informacin .......................................................... 24

Vulnerabilidades, Amenazas y Riesgos de la Informacin ............................................... 26

Definicin de vulnerabilidad ....................................................................................... 26

Definicin de amenaza .............................................................................................. 26

Definicin de riesgo ................................................................................................... 27

Clasificacin de riesgos, amenazas y vulnerabilidades ............................................ 28

Fuga de informacin .......................................................................................................... 32

Obstculos en la prevencin de fuga de informacin................................................ 34

Beneficios y obstculos ............................................................................................. 39

Captulo III: Problemtica actual de la concientizacin en la fuga de

Comportamiento humano: un problema de seguridad de la informacin ......................... 42

Problemtica actual por falta de concientizacin, educacin y capacitacin .................... 48

Fuga de informacin .......................................................................................................... 54

Captulo IV: Normatividad, mejores prcticas y tecnologa aplicada a la

Legislacin Internacional ................................................................................................... 62

Del acceso ilcito a los sistemas de informacin ....................................................... 62

Proteccin de los datos ............................................................................................. 63

Legislacin Nacional .......................................................................................................... 65

Ley de la Propiedad Industrial ................................................................................... 66

Cdigo Penal federal ................................................................................................. 66

Reforma al cdigo penal federal para castigar a los crackers .................................. 68

Proteccin de datos personales ................................................................................ 69

Legislacin Sectorial .......................................................................................................... 72

Mejores prcticas ............................................................................................................... 81

Series ISO 27000....................................................................................................... 82

Tecnologa existente .......................................................................................................... 88

Data Leakage Prevention (DPL) ................................................................................ 88

Sistema de deteccin de intrusos (IDS) .................................................................... 89

Sistema de Prevencin de Intrusos ........................................................................... 90

Assessment Center (AC) ........................................................................................... 91

Captulo V: Modelo ............................................................................ 96

Objetivos del Modelo ......................................................................................................... 96

Descripcin del Modelo ..................................................................................................... 97

Conoce al enemigo y concete a ti mismo ................................................................ 98

Conocer el estado actual de la organizacin en fuga de informacin .......... 99

Conocer el nivel de conocimientos del personal en temas de fuga de

Comerse el pastel por rebanadas / divide y vencers............................................. 101

Visualizando el camino ................................................................................ 101

Definicin de grupos de audiencias ............................................................ 102

De la vista nace el amor / manos a la obra ............................................................. 103

Elaboracin de materiales de apoyo ........................................................... 103

Imparticin de concientizacin en fuga de informacin .............................. 104

Encontrando el eslabn ms dbil........................................................................... 107

Evaluacin de resultados de concientizacin en fuga de informacin ........ 108

Autoevaluacin de resultados de concientizacin en fuga de informacin . 108

Redefiniendo el curso .............................................................................................. 109

Anlisis de resultados de evaluacin .......................................................... 109

Reestructuracin / mejora continua ............................................................. 110