Documente Academic
Documente Profesional
Documente Cultură
QUE
PARA
OBT ENER
I N G E N I E R O
E N
EL
T T ULO
DE:
I N F O R M T I C A
M E D I N A
R A M I R E Z
MXICO. D.F.
SARAI
GUZM AN
GUTIERREZ
2010
2009
NDICE
Resumen .............................................................................................. I
Introduccin ......................................................................................... II
Captulo I: Marco Metodolgico ........................................................... 1
1.1
1.2
Objetivos .............................................................................................................................. 3
1.3
Justificacin ......................................................................................................................... 4
1.4
1.5
1.6
Informacin ........................................................................................................................ 13
2.1.1
Definicin ................................................................................................................... 13
2.1.2
2.1.3
Caractersticas ........................................................................................................... 14
2.1.4
Clasificacin ............................................................................................................... 16
2.2
2.2.1
Definicin ................................................................................................................... 18
2.2.2
2.2.3
2.2.3.1
Qu debemos proteger.................................................................................. 22
2.2.3.2
2.2.3.3
2.2.4
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.4
2.4.1
Definicin ................................................................................................................... 33
2.4.2
Tipos .......................................................................................................................... 33
2.4.3
2.5
Concientizacin.................................................................................................................. 35
2.5.1
Definicin ................................................................................................................... 36
2.5.2
Objetivos .................................................................................................................... 36
2.5.3
Importancia ................................................................................................................ 37
2.5.4
Tipos .......................................................................................................................... 38
2.5.5
3.2
3.3
4.1.1
4.1.2
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.4
4.4.1
4.4.2
CObIT ........................................................................................................................ 85
4.4.3
Awareness ................................................................................................................. 86
4.4.4
Assessment ............................................................................................................... 88
4.5
4.5.1
4.5.2
4.5.3
4.5.4
5.2
5.2.1
5.2.1.1
5.2.1.2
informacin
..................................................................................................................... 100
5.2.2
5.2.2.1
5.2.2.2
5.2.3
5.2.3.1
5.2.3.2
5.2.4
5.2.4.1
5.2.4.2
5.2.5
5.2.5.1
5.2.5.2
5.3
6.1.1
6.1.2
6.1.3
6.2
6.2.1
6.2.2
6.2.3
6.3
6.3.1
6.3.2
NDICE DE FIGURAS
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008. ................ 6
Figura 2. Programas de concientizacin como porcentaje del presupuesto de seguridad. Fuente
CSI Survey 2008. ............................................................................................................................. 6
Figura 3. Mtricas de los programas de concientizacin. Fuente: CSI Survey 2008. .................... 7
Figura 4. Clasificacin de la Informacin. Fuente: SANS Institute InfoSec Reading Room. ........ 16
Figura 5. Componentes de seguridad de la informacin. Fuente: http://wikipedia.org, John M.
Kennedy T...................................................................................................................................... 22
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: Seguridad
Informtica: Sus implicancias e implementacin.......................................................................... 23
Figura 7. Elementos e Interrelaciones Vulnerabilidad Amenaza Riesgo. Fuente: Revista de
Ingeniera Informtica del CIIRM. .................................................................................................. 28
Figura 8. Conclusin 1 - Insider Threat Study. Fuente: CERT ...................................................... 43
Figura 9. Conclusin 2 - Insider Threat Study.Fuente: CERT. ...................................................... 44
Figura 10. Conclusin 3 - Insider Threat Study. Fuente: CERT. ................................................... 44
Figura 11. Conclusin 4 - Insider Threat Study. Fuente: CERT. ................................................... 45
Figura 12. Conclusin 5 - Insider Threat Study. Fuente: CERT. ................................................... 45
Figura 13. Conclusin 6 - Insider Threat Study. Fuente: CERT. ................................................... 46
Figura 14. Conclusin 7 - Insider Threat Study. Fuente: CERT. ................................................... 46
Figura 15. Importancia de la seguridad de la informacin. Fuente: ENISA. ................................. 49
Figura 16. Cmo se justifican los costos continuos de los programas de concientizacin?
Fuente: ENISA. .............................................................................................................................. 52
Figura 17. Tcnicas empleadas para que el personal tome conciencia en seguridad de la
informacin Fuente: ENISA. .......................................................................................................... 53
Figura 18. Motivos por los cuales los empleados violan la seguridad de la informacin. Fuente:
InsightExpress. .............................................................................................................................. 59
Figura 19. Distribucin de los dominios de la Norma ISO 27002.................................................. 83
Figura 20. Modelo de concientizacin para la prevencin de fuga de informacin. Fuente:
Personal. ........................................................................................................................................ 98
Resumen
Fuga de Informacin se ha convertido en la frase de moda para describir los incidentes de
seguridad de informacin ocurridos durante los ltimos aos. Aunque el trmino puede ser
interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causa
una reaccin universal: miedo. Aun cuando es difcil dimensionar el dao de las fugas de
informacin, no hay duda que la exposicin de las bases de datos, o robos de informacin en
sistemas de informacin, entre otros, afectan y/o disminuyen la confianza de los clientes, con las
respectivas consecuencias negativas para la organizacin. El aumento de la recoleccin y
almacenamiento de datos por organizaciones de todas las industrias y sectores, acompaado del
incremento de sofisticadas tcticas de hackeo informtico para robar informacin sensitiva, y de la
poca, y a veces nula, conciencia dentro de la propia organizacin, las ha forzado a reconocer y
enfrentar directamente esta amenaza que dej de ser fantasma.
El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cclico e iterativo de
anlisis, diseo, desarrollo, implementacin, evaluacin y mantenimiento. Un resumen de las
particularidades de esta propuesta se describe a continuacin:
El anlisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las
necesidades, debilidades y estatus de la organizacin. Los resultados de esta etapa nos
servirn de gua para definir la lnea de accin a seguir.
El diseo: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las
posibles acciones a seguir, y as definir una estrategia mediante la cual se resuelvan las
reas de oportunidad encontradas.
Introduccin
La informacin y el conocimiento han sido los elementos centrales de todas las sociedades
histricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas
tecnolgicas que revolucionan las formas de procesamiento de informacin y comunicacin,
transformando la forma en que las personas viven y se comunican entre s. Hoy por hoy el manejo
de la informacin puede contribuir de manera decisiva en cualquier mbito de la actividad humana,
por esta razn, es importante definir lineamientos generales que ayuden a resguardarla sin que
esta pierda su integridad, confidencialidad y disponibilidad.
Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 captulos que se distribuyen de
la siguiente forma.
En el primer captulo, se aborda la problemtica objeto de anlisis y estudio de esta tesina, los
objetivos de dicha tesina, la justificacin de porqu es factible llevar a cabo la investigacin y de
cmo se llevar a cabo sta, as como el marco terico relacionado al tema de estudio: la
concientizacin en la prevencin de la fuga de informacin.
A lo largo del segundo captulo se trata uno de los temas principales de esta tesina: la Informacin.
Se hace un estudio de qu es la informacin?, su importancia, su funcin y sus caractersticas.
As mismo, se hace nfasis en la concientizacin, fuga de informacin, seguridad de la
informacin, sus definiciones, objetivos, funciones, importancia, as como los riesgos de la
informacin.
II
Debido a que el usuario final es quien hace uso de los sistemas de informacin, el tercer captulo
est dedicado al estudio del comportamiento humano y seguridad de la informacin.
II
En este primer captulo se abordar la problemtica objeto de anlisis y estudio del presente
trabajo, as como los objetivos y la justificacin para llevar a cabo la investigacin y de cmo se
llevar a cabo sta, as como el marco terico relacionado al tema de estudio: la concientizacin
en la prevencin de la fuga de informacin.
En el mundo actual, donde las tecnologas de informacin son cada vez ms un medio comn
para almacenar y procesar la informacin, las brechas de seguridad en lo que respecta a prdidas
o fuga de informacin nunca han sido tan altas. No slo se ha multiplicado el volumen de
informacin en circulacin, sino tambin las formas en que puede ser almacenada y transferida sin
consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de
los negocios y la privacidad de sus clientes.
Otro punto importante a considerar, es que hoy en da las empresas estn cada vez ms
*
globalizadas y esto las hace vulnerables; de acuerdo a estadsticas obtenidas por InsightExpress ,
se descubri que a pesar de las polticas, procedimientos y herramientas de seguridad
actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen
en peligro los datos personales y empresariales. Tales conductas incluyeron:
* En el ao 2008, Cisco encarg a InsightExpress, una compaa independiente de investigacin de mercado, que
realizara un estudio que abarcara a empleados y profesionales de TI en diversos pases, con el objeto de
comprender la fuga de datos a nivel mundial.
De acuerdo con las estadsticas elaboradas en Estados Unidos y parte de Europa sobre delitos
informticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de
las mismas empresas vctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo a
1
de los ataques
Las empresas de cada sector (tanto privado, como pblico) continan informando de
vulnerabilidades de seguridad y aun as, todava permiten la exposicin de su informacin ms
sensible y confidencial.
Por tal motivo, se considera que debe plantearse un modelo de concientizacin enfocado al factor
humano, para mitigar uno de los riesgos ms importantes en el uso, manejo, acceso, control y
resguardo de la informacin: la fuga de informacin. Visto desde este enfoque, debemos entender
que ni la ms alta tecnologa en cuestiones de seguridad de la informacin podrn detener los
ataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor
humano, dentro de las organizaciones pblicas.
INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm
1.2 Objetivos
OBJETIVO GENERAL.
OBJETIVOS ESPECFICOS.
Proponer
mecanismos
permanentes
de
difusin,
concientizacin
1.3 Justificacin
Hoy por hoy el manejo de la informacin puede contribuir de manera decisiva en cualquier mbito
de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos
que puede correr dicha informacin y as poder definir lineamientos generales que ayuden a
resguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.
De acuerdo a estudios de mercado, 63% de las empresas pblicas y privadas pierden anualmente
archivos de informacin valiosa, pero solo 23% es por robo. De la prdida de informacin 57% se
debe al extravo de equipos porttiles, como computadoras, celulares, agendas electrnicas, o
dispositivos como discos compactos y memorias USB.
Un error comn en el que suelen caer las empresas es pensar que ya se encuentran protegidas de
cualquier riesgo informtico por tener instalados diferentes mecanismos de seguridad entre
algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que
el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas
frente a los nuevos problemas que emergen cotidianamente. Los ataques ms comunes de
2
Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor
of Information Systems. Member Human Firewall Council.
De los puntos anteriores se puede deducir que la informacin es producida y consumida por las
personas, paradjicamente, es el mismo factor humano el principal elemento que la pone en
riesgo.
Las personas en general manejan la informacin, a travs de cualquier medio fsico o lgico en
lugares pblicos sin considerar que las actividades que realizan en ellas pueden estar siendo
observadas por alguna persona que no debe tener acceso a dicha informacin. Tener mecanismos
de destruccin controlada de informacin una vez que los dispositivos van a reasignarse, tambin
es un elemento de proteccin.
Sin embargo, las estadsticas develadas en el 2008 por CSI Survey, como se muestran en la
Figura 1 Porcentaje de presupuesto para seguridad en TI, denotan que las empresas invierten
muy poco en cuestiones de seguridad de la informacin. Como se muestra en la siguiente grfica:
Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.
Del mismo modo se resalta en la Figura 2 Programas de concientizacin como porcentaje del
presupuesto de seguridad, que la inversin en programas de concientizacin, educacin y
capacitacin, es muy baja. Como se ilustra a continuacin:
Figura 2. Programas de concientizacin como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.
Las estadsticas mostradas con anterioridad nos demuestran que existe una deficiente inversin
econmica en seguridad de la informacin, y que dentro de esta inversin, los programas de
formacin y concientizacin en la materia, ocupan un muy bajo porcentaje, teniendo como
resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la
fuga de informacin.
Seguridad de la informacin
Tiene como fin la proteccin de la informacin y de los sistemas de informacin del acceso, uso,
divulgacin, interrupcin o destruccin no autorizada, la cual se sustenta en los principios de
confidencialidad,
integridad
disponibilidad
(conocidos
comnmente
como
CIA-triad:
Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros
internos o externos a la organizacin. Uno de los objetivos primordiales de la seguridad de la
informacin es la prevencin de la prdida de informacin o fuga de informacin. De este modo se
deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su Glosary
4
Activo: Recurso del sistema de informacin o relacionado con ste, necesario para
que la organizacin funcione correctamente y alcance los objetivos propuestos.
3
4
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema
de seguridad.
whitepaper Stopping data leakage, deben considerarse las siguientes cuatro categoras :
El tema de la seguridad informtica ha sido de gran importancia en los ltimos aos. Como
usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin
embargo, como administradores de la informacin, es posible que no estemos haciendo suficiente
nfasis en la seguridad enfocada al factor humano.
5
Sophos Plc, Stopping data leakage: Exploiting your existing security investment whitepaper
Modelo
siguientes caractersticas :
Qu ensear?
Cmo ensear?
Qu y cmo evaluar?
6
7
Enfoque
Metodologa
Evaluacin
10
Conociendo cada uno de estos elementos, se facilitar identificar el modelo de enseanza que se
est empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo
dando uno aparentemente diferente.
Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las
clasificaciones (formulacin de sistemas de criterios que permitan agrupar los datos o unificar las
11
Permite la recopilacin de informacin para enunciar las teoras que sustentan el estudio de los
fenmenos y procesos.
Su objetivo es elaborar un marco terico conceptual para formar un cuerpo de ideas sobre el tema
de investigacin. Es indispensable ya que integra la estructura de la investigacin, permite ordenar
las etapas de la investigacin y orientar la obtencin de conocimientos.
12
2.1 Informacin
2.1.1 Definicin
Segn Rafael Fernndez Calvo, en su glosario bsico para usuarios de Internet, define dato como:
La unidad mnima con la que compone cierta informacin. Datum es una palabra latina, que
significa lo que se da.
CALVO, Rafael Fernndez. Glosario Bsico Ingls Espaol para usuarios de Internet. 19942000.
http://www.ati.es/novatica/2000/145
Presentacin del libro Seguridad: una Introduccin. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de Cranfield
University. Revista Seguridad Corporativa. http://www.seguridadcorporativa.org
13
Segn encuestas de seguridad informtica publicadas en 2008 por Ernst & Young Mxico , las
funciones de la informacin que se acercan ms a la realidad y con base en puntos de vista de los
encuestados, son:
En relacin con el primer punto, la informacin como va para llegar al conocimiento, debe de ser
elaborada para hacerla utilizable o disponible, tambin debe conservarse integra y confiable,
puntos que debe encargarse de proteger la seguridad de la informacin, como se ver en los
tpicos siguientes.
2.1.3 Caractersticas
Establecer el valor de la informacin es algo totalmente relativo, pues constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con
los equipos, las aplicaciones y la documentacin, y esto depende de las caractersticas de cada
organizacin. De este modo, como se define en el libro Library & Information Science Research,
puede existir informacin que debe o puede ser pblica: puede ser visualizada por cualquier
persona; y aquella que debe ser privada: slo puede ser visualizada por un grupo selecto de
personas que trabaja con ella. En esta ltima debemos maximizar nuestros esfuerzos para
11
3. Es sensitiva: debe ser conocida por las personas que la procesan y slo por ellas.
10
11
11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com
AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008
14
El control sobre la informacin permite asegurar que slo los usuarios autorizados
pueden decidir cundo y cmo permitir el acceso a la misma.
Proteccin a la rplica: mediante la cual se asegura que una transaccin slo puede
realizarse una vez, a menos que se especifique lo contrario. No se deber poder
grabar una transaccin para luego reproducirla, con el propsito de copiar la
transaccin para que parezca que se recibieron mltiples peticiones del mismo
remitente original.
No repudio: mediante la cual se evita que cualquier entidad que envi o recibi
informacin alegue, ante terceros, que no la envi o recibi.
15
2.1.4 Clasificacin
13
Restringida: Esta clasificacin aplica para informacin de uso exclusivo por parte
de un reducido grupo de personas dentro de la organizacin. La divulgacin no
autorizada de esta informacin conlleva severos impactos a la operacin y
reputacin de la empresa. Informacin que, de divulgarse a personas no
13
16
Interna: Esta clasificacin aplica para informacin nicamente para uso interno de
la organizacin. Su divulgacin pudiese acarrear daos o ser utilizada por persona
ajenas a la organizacin, para fines particulares. Informacin que, por lo general, se
divulga dentro de la organizacin, que no est destinada a distribuirse fuera de la
organizacin, y que no est clasificada como restringida, altamente confidencial o
confidencial.
Cada negocio debe designar a los propietarios de la informacin correspondientes a cada uno de
los dueos de esta. Es responsabilidad del propietario de la informacin determinar el nivel de la
clasificacin as como definir y aprobar a quien ms se puede divulgar la informacin de la que es
propietario.
17
Ser lo que soy, no es nada sin la seguridad . Sin duda William Shakespeare tena un concepto
ms evolucionado de la seguridad que sus contemporneos del siglo XV y quizs tambin que
algunos de los nuestros.
La meta es ambiciosa. La seguridad como materia acadmica no existe, y es considerada por los
estudiosos como una herramienta dentro del mbito en que se la estudia: relaciones
internacionales nacionales, estudios de riesgo, prevencin de crmenes y prdidas, etc.
El amplio desarrollo de las nuevas tecnologas informticas est ofreciendo un nuevo campo de
accin a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar,
ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
2.2.1 Definicin
15
18
16
Chritian Byrnes y Paul E. Proctor en su libro The Secured Enterprise: Protecting Your Information
Assets definen que el objetivo de la seguridad de la informacin es el proteger el patrimonio
informtico de la organizacin, entendiendo por tal, instalaciones, equipo e informacin.
17
Los principales objetivos, propuestos por Julio Csar Ardita (fundador y director de investigacin y
desarrollo de CYBSEC Security Systems), que persigue la seguridad de la informacin son los
siguientes:
18
16
Idem
F. Christian Byrnes & Paul E. Proctor, The Secured Enterprise: Protecting Your Information Assets, 2005, Prentice Hall
Professional.
18
ARDITA, Julio Csar. http://www.cybsec.com
17
19
Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de
los usuarios de la empresa.
Mucho se habla de seguridad de la informacin en estos tiempos, sin embargo, cabe destacar que
las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones
de las mismas. Adems es una realidad que las funciones de la seguridad de la informacin estn
delimitadas en un mbito tecnolgico, sin embargo, se le debe dar un enfoque estratgico
optimizando as las funciones de la misma para lograr un amplio aprovechamiento de las mejores
prcticas, polticas y estrategias vinculadas a los objetivos y propsitos de la organizacin.
Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar
19
20
21
20
20
Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:
Auerbach publications. ISBN 978-0-8493-7087-8
22
persona que accede (o intenta acceder) sin autorizacin a un sistema ajeno, ya sea en forma
21
Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: Seguridad Informtica: Sus
implicancias e implementacin.
23
Para garantizar que un sistema sea fiable se deber garantizar las caractersticas ya mencionadas
de integridad, confidencialidad, operatividad, control y autenticidad. Se deber conocer qu es lo
que queremos proteger, de quin lo queremos proteger, cmo se puede lograr esto legislativa y
tcnicamente; para luego concluir con la formulacin de estrategias adecuadas de seguridad
tendientes a la disminucin (anulacin?) de los riesgos.
Comprender y conocer de seguridad ayudar a llevar a cabo anlisis sobre los riesgos, las
vulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las
necesidades de seguridad.
La era digital permiti una apertura de fronteras, una eliminacin de las barreras comerciales y un
gran intercambio de informacin. As las economas han venido creciendo, y tambin lo han hecho
las organizaciones delictivas.
organizacionalmente aceptados como vlidos y de acuerdo a las necesidades y recursos a los que
la organizacin est limitada. Paradjicamente la seguridad entonces, se mide por el nivel de
inseguridad existente en un sistema de seguridad de la informacin.
23
24
Procedimientos y tecnologas han avanzado para que la seguridad de la informacin sea cada vez
ms eficiente.
Cmo darle una solucin al tema? Por un lado deben revisarse los procesos del factor humano,
consultoras, capacitacin, educacin y concientizacin al personal, etc., por el otro debe darse un
permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan
un modelo vertical de seguridad: seguridad de almacn, seguridad de transporte, seguridad
perifrica, seguridad personal, seguridad para la tecnologa de informacin, seguridad de la carga,
seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridad
para una sola organizacin. Este modelo de seguridad, utilizado mayoritariamente, es muy
vulnerable y facilita la inseguridad pues:
25
continuacin :
El trmino vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un
ataque sea exitoso. La evaluacin de vulnerabilidades debe ejecutarse por las partes
responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para
identificas daos inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades
no son particularmente en tecnologa, estas puede aplicarse en factores sociales, tal como
autenticaciones personales y polticas de autorizacin.
Analizar las vulnerabilidades es til para mantener la seguridad continua, permitiendo a las
personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los
nuevos daos cuando sucedan. Tambin es valiosa para el desarrollo de polticas y tecnologa, y
como parte de del proceso de seleccin de tecnologa, ya que elegir la tecnologa correcta a
tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.
TechRepublic. Chad Perrin: Understanding risk, threat, and vulnerability, 07 de Julio de 2009
26
Analizar amenazas ayuda a desarrollar polticas de seguridad especficas en alineacin con las
prioridades y el entendimiento de las necesidades de los recursos a asegurar.
El trmino de riesgo se refiere, a la probabilidad de ser alcanzado por un ataque, ya sea exitoso o
no, as como la exposicin a una amenaza. Un anlisis de riesgo se ejecuta para determinar las
ms potenciales brechas de seguridad y cmo prevenirlas ahora, en vez de corregirlas despus.
Enumerando las ms crticas y peligrosas, y evala los niveles de riesgos relativos a otros
mediante una funcin de interaccin entre el costo y la probabilidad de ocurrencia de dicha brecha.
Analizar riesgos puede ayudar a determinar una apropiada inversin a la seguridad (tanto en
tiempo como en dinero), y priorizar la implementacin de polticas de seguridad como un reto para
resolverlos lo ms pronto posible.
Entender el uso apropiado de estos trminos es importante, no nicamente para sonar que
conocemos de lo que estamos hablando, ni para facilitar la comunicacin. Tambin ayuda para
desarrollar y aplicar buenas polticas. La especificidad de los trminos tcnicos se ve reflejada en
la forma en que los expertos han identificado claras distinciones entre prcticas reales y sus
campos de experiencia, y puede ayudar a clarificar como se deben enfrentar los retos para
alcanzar los objetivos.
Es necesario conocer los riesgos, los recursos que se deben proteger y como su dao o falta
pueden influir en la organizacin, as mismo, es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencion existe una
relacin directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco
(ver Figura 11 Elementos e Interrelaciones Amenaza Vulnerabilidad Riesgo).
27
Figura 7. Elementos e Interrelaciones Vulnerabilidad Amenaza Riesgo. Fuente: Revista de Ingeniera Informtica del
CIIRM.
Retomando los trminos anteriores, las organizaciones deben evaluar los posibles riesgos,
amenazas y vulnerabilidades a los que est expuesta su informacin. En general, esta evaluacin
es determinar qu amenazas y vulnerabilidades merecen una atencin prioritaria en relacin con
el valor de la informacin o sistemas de informacin protegida. A pesar de que las amenazas y
vulnerabilidades deben ser consideradas al mismo tiempo, es importante distinguir entre las
amenazas de las vulnerabilidades.
Vulnerabilidades
en
Infraestructura
Tecnolgica:
Son
el
resultado
de
A pesar de que las amenazas pueden surgir de una amplia variedad de fuentes, se pueden
clasificar en tres grandes grupos:
Amenazas Humanas: Esta clasificacin trata sobre cada uno de los personajes que
pueden ser potenciales atacantes de nuestro sistema: el personal externo y el
personal perteneciente a la organizacin. Podemos clasificar las amenazas
humanas en:
Personal Interno
ExEmpleado
Curiosos
Terroristas
Intrusos remunerados
29
Algunas causas por las que un sistema de seguridad de la informacin puede ser
ms vulnerable desde el factor humano, son:
Personal Interno.
Baja
disponibilidad
de
personal
en
los
departamentos
de
Nivel institucional
30
Amenazas
naturaleza y la intemperie que podrn causar daos a los activos. Las principales
amenazas que se prevn en las amenazas naturales son: incendios, inundaciones,
condiciones climatolgicas, terremotos, etc.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del
medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin
brindada por los medios de control adecuados. Estas decisiones pueden variar desde el
conocimiento de la reas que recorren ciertas personas hasta la extremo de evacuar el edificio en
caso de accidentes.
Una vez que los riesgos asociados con amenazas y vulnerabilidades han sido evaluados, las
probabilidades asignadas, y los riesgos evaluados, los riesgos deben ser separados en los que la
organizacin est dispuesta a aceptar y aquellos que deben ser mitigados.
Dentro de los riesgos a los que se encuentra expuesta la informacin, se puede destacar uno: la
fuga de informacin. Estadsticas recientes muestran que el nmero de eventos de esta ndole
25
est en aumento , en parte debido a la reciente legislacin, que exige la notificacin de la prdida
de datos, obligando a las organizaciones a notificar a las vctimas de que su identidad ha sido
puesta potencialmente en peligro.
La fuga de informacin es una amenaza silenciosa. El personal puede filtrar informacin sensible
de forma intencional o accidental. Esta informacin sensible puede ser electrnicamente
distribuida por email, sitios web, protocolos de transferencia de red, mensajera instantnea,
archivos, bases de datos, y alguna otra manera electrnica disponibles, todo a escondidas de la
organizacin. La propagacin maliciosa o involuntaria de informacin sensible puede tener
consecuencias devastadoras para el cliente, as como para la organizacin.
25
32
2.4.1 Definicin
La fuga de datos segn la pgina de internet IDG.es, se define como: la extraccin no autorizada
de datos, ya sean pblicos, internos, confidenciales y restringidos as mismo la complementa con
una segunda definicin: la filtracin no autorizada de datos, ya sea por medio de correo
electrnico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los
dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniera social
electrnica y no electrnica, comunicaciones de fax a email, medios no autorizados (CD/DVD,
discos y memoria USB), etc.
27
Segn el cdigo nuevo cdigo penal colombiano, la fuga de datos es: la revelacin dolosa de
informaciones concernientes a la vida personal y familiar, o del patrimonio econmico individual,
28
2.4.2 Tipos
La fuga de informacin puede incluir incidentes como el robo o la prdida de los medios digitales,
tales como cintas de computadora, discos duros o computadoras porttiles que contienen estos
medios de comunicacin en los que dicha informacin se almacena sin cifrar, publicar dicha
informacin en internet o en un equipo de otro modo accesible desde internet sin precauciones de
seguridad adecuadas de informacin, la transferencia de dicha informacin a un sistema que no es
completamente abierto, pero no es adecuada o formalmente acreditados para la seguridad en el
nivel aprobado, como cifrar el correo electrnico o la transferencia de informacin a los sistemas
de informacin de una agencia posiblemente hostil, como una empresa competidora o de una
nacin extranjera, en las que puede estar expuesto a ms tcnicas de descifrado intensiva.
26
27
28
33
Desastres:
Naturales:
fuego,
terremotos,
inundaciones,
tornados,
etc.
Los estudios han demostrado fallos en el hardware y el error humano son las dos causas ms
comunes, las cuales representan aproximadamente tres cuartas partes de todos los incidentes.
Una causa comn que se pasa por alto son los desastres naturales, aunque la probabilidad es
pequea, la nica manera de recuperarse debido a un desastre natural, es almacenar una copia
de seguridad en una ubicacin diferente fsicamente separada.
Sophos Plc, en su whitepaper Stopping data leakage destaca los siguientes obstculos :
relativamente nuevos y pueden tener algunos incidentes que frecuentemente son falsos
positivos, los departamentos de TI pueden mostrarse renuentes a invertir sus cada vez
ms reducidos recursos en desplegar otra compleja arquitectura empresarial.
Resistencia de los usuarios: Se debe ser precavido al liberar otro agente que consume
Sophos Plc, Stopping data leakage: Exploiting your existing security investment whitepaper
34
Complejidad del alcance: Idear e implementar una poltica comprensible y viable que
soporte la prevencin de fuga de informacin puede encaminar a la organizacin a hacia
buenas prcticas, pero se necesita que se involucre todo el personal, no solo los
departamentos de TI.
2.5 Concientizacin
Una gran cantidad de planes fracasan por la poca claridad del concepto y el propsito de los
mismos. La concientizacin no es una moda, aunque as lo parezca. La vulnerabilidad que la
gente representa nunca ser totalmente eliminada, no hay mecanismo 100% seguro. Cuando se
trata de gente, el factor es doble, desconocimiento y malas intenciones. Un programa de seguridad
pretende reducir la vulnerabilidad a un nivel aceptable.
35
2.5.1 Definicin
Segn Israel Corts R., concientizacin es el proceso a travs del cual los usuarios reconocen la
importancia de la seguridad de la informacin y los activos de informacin, se preocupan de forma
proactiva por la misma, y responden de manera adecuada ante cualquier evento o
30
circunstancia .
En el Cybersecurity Awareness Resource Library se define como tomar conciencia de una
realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuvisemos ante los
ojos. El proceso de concientizacin, es el medio o programa en el cual nos aseguramos que existe
un rea de seguridad de informacin, as como sus polticas y normatividades aplicables, son
31
parte del personal de todos los niveles de la organizacin . De la efectividad de estos programas
depende la velocidad de la organizacin para implementar adecuadamente la seguridad de
informacin. Si todo es efectivo, podemos hablar de un proceso rpido, pero si no est resultando
y ser tortuoso, entonces nada funcionara.
2.5.2 Objetivos
Lograr que los usuarios comprendan que sus acciones pueden impactar de forma adversa
en la seguridad de la organizacin.
30
31
32
Israel Corts R.
Cybersecurity Awareness Resource Library
ENISA, Raising awareness in information security Insight and guidance for Member States
36
2.5.3 Importancia
Con tecnologa podemos forzar a un usuario a cambiar su contrasea, pero no podremos hacer
nada en lo que a su comportamiento refiere. De este modo, ENISA en su artculo Raising
33
Los empleados desconocen cmo sus acciones pueden impactar en la seguridad de toda
la organizacin.
La mayor cantidad de incidentes de seguridad son ocasionados por cosas que hizo o dej
de hacer el usuario.
informacin.
gente.
seguridad.
Ya que buscamos lograr un cambio en: forma de actuar, actitudes y cultura. El resultado esperado
no ser una labor trivial. Ser necesario involucrarse con la forma y cultura de la organizacin.
Con este proceso vamos a cambiar prcticas de hace muchos aos, y cuando esto se hace con
gente de por medio, el riesgo de fracasar es alto.
33
ENISA, Raising awareness in information security Insight and guidance for Member States
37
2.5.4 Tipos
La revista B-Secure, en un artculo publicado en el 2009, recomienda que las evaluaciones son
muy importantes. Se puede utilizar el e-learning como medio de enseanza, pues brinda facilidad
para concientizar en los tiempos que el personal prefiera, y la evaluacin se facilita al ser online.
Tambin hay evaluaciones personales y globales que constituyen una buena prctica despus de
una campaa de varios meses, pues as la organizacin ubica las reas de oportunidad para
futuras campaas. Por supuesto que la capacitacin formal es de lo mejor, siempre y cuando se
evalen los resultados obtenidos.
Asimismo, se puede recurrir a incentivos como premios y reconocimientos para el personal que,
por ejemplo, haga ms reportes de incidentes, asista a cursos, cumpla con tareas relacionadas y/u
obtenga certificaciones. Otra buena idea es implementar la semana de la seguridad, que puede
constar de plticas, concursos, desplegados en el peridico mural o los televisores del comedor,
reparto de artculos de escritorio alusivos (como mouse pads, por ejemplo) y ms.
Por otra parte, es importante que al nuevo personal se la haga saber en forma adecuada de este
tema, antes de que tenga acceso a un activo de informacin. Un buen mtodo para generar
compromiso, es hacindoles firmar documentos en los que los nuevos empleados dicen haber
entendido las polticas de seguridad y cdigos de tica o confidencialidad, y se comprometen a
acatarlos.
Concientizacin
Est enfocado a lograr conciencia de la importancia de la seguridad, los mensajes deben ser
simples, claros y presentados en un formato fcil de entender para la audiencia.
38
Entrenamiento
Est enfocado a lograr un mejor nivel de entendimiento de las prcticas de seguridad, las tcnicas
pueden incluir clases formales, entrenamiento personalizado y paquetes de educacin.
Educacin
concientizacin :
Beneficios
Protege a la organizacin.
Obstculos
Resistencia al cambio
Demasiada informacin
Mala organizacin
34
Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professor
of Information Systems. Member Human Firewall Council.
39
Fallas en el seguimiento
Falta de recursos
Ingeniera social
40
41
Sin embargo, aunque la tecnologa y los procesos representan piezas fundamentales de los
programas de seguridad de la informacin, el componente ms importante que se necesita son las
personas.
Este captulo satisface el primer objetivo de esta investigacin identificando la necesidad para un
nuevo modelo que enfatice el factor humano, tomando como herramienta la concientizacin, y
atacando el problema: la fuga de informacin.
El comportamiento humano se define como conjunto de actividades realizadas por el ser humano
y es
persuasin y/o manipulacin . La teora detrs del comportamiento humano, es que el ser
36
35
36
42
La amenaza del personal interno es un gran problema y ocurre en muchos niveles comenzando
con accesos accidentales debido a la ignorancia de normas sobre seguridad, falta de prctica o
falta de previsin. El peor dao del personal interno, proviene de intentos maliciosos, realizados a
propsito, y a menudo con resultados que comprometen o destruyen la informacin, o negacin de
servicios.
Se han realizado varios estudios que han sealado la naturaleza del personal interno. Lo que
sigue es una sinopsis breve de un estudio realizado por CERT (Computer Emergency Response
Team). La importancia de este estudio reside en el hecho de que examina las amenazas desde
dos perspectivas: comportamiento y tecnologa, simultneamente. A continuacin se muestran las
37
37
43
44
Conclusin 5: Los incidentes fueron detectados por varios mtodos y personas. Donde:
45
Esta investigacin nos arroja resultados importantes, ya que consider ambas implicaciones:
tecnolgicas y de conducta, y produjo varias conclusiones cruciales en la naturaleza del personal
interno. Nos da una clara referencia de la importancia de la educacin y capacitacin de todo el
46
Adems, las conclusiones de este informe resaltan el hecho de que el personal subestima
frecuentemente las posibles consecuencias de sus actos. Muchas veces el robo de informacin,
perdida de datos y fuga de informacin, se da por compartir dicha informacin sin intenciones
maliciosas, educar al personal sobre las consecuencias que podran derivarse de este tipo de
actividades, en personal sobre ellos mismos, es una herramienta que puede emplearse para
mitigar los riesgos de amenazas internas.
Otro punto importante a considerar, es la realizacin de medidas preventivas, es decir verificar las
referencias del personal antes de la contratacin, ya que las personas que han mostrado
antecedentes delictivos tienden a recurrir a esta clase de conductas.
Los controles de acceso deben ser cuidadosamente diseados, controlados y vigilados de forma
continua, debido a que el estudio revela que la mayora de los ataques se efectan usando las
credenciales propias del personal, as mismo se pueden evitar las consecuencias sobre personal
inocente debido a ataques de suplantacin de identidad.
Las personas, quienes son todas susceptibles de fallar, y son usualmente reconocidos como el
eslabn ms dbil en la seguridad informacin. El problema es: por mucho que sea el esfuerzo
que sea enfocado a la proteccin de informacin, en todas sus formas, slo se requiere una
persona malintencionada o mal guiada para derrumbar todos los esfuerzos.
47
Los reguladores extranjeros (p. ej., Estados Unidos y Singapur) cuentan con que el
personal reciba formacin orientada a la concientizacin
48
Teniendo en cuenta estos parmetros, nada tiene de sorprendente que un 80% de los consultados
califique la seguridad de la informacin como una prioridad elevada o muy elevada a nivel
ejecutivo. Se trata de una proporcin similar a la observada en otras encuestas recientes sobre
seguridad. La seguridad de la informacin es un tema de amplio alcance y engloba diversos
aspectos. Su importancia para cada organizacin depende de la naturaleza de los riesgos que
sta encara. La prioridad dada a la seguridad de la informacin parece estar ms relacionada con
la actitud de la alta direccin que con el sector en el que opera la organizacin y, por tanto, con los
riesgos a los que se expone.
Ms de la mitad de los encuestados califica cada uno de estos elementos como muy importantes,
y el 80% aproximadamente los consideran importantes o muy importantes. Varios de estos puntos
(responsabilidades en materia de seguridad de la informacin dentro de la organizacin y
49
En las normas de buenas prcticas se hace mucho hincapi en la necesidad de implantar una
poltica de seguridad que abarque toda la organizacin. As, la ISO 27001 recomienda que las
organizaciones adopten programas de formacin y de concientizacin. El personal directivo ha de
cumplir el requisito de velar por que el personal a sus rdenes aplica la seguridad con arreglo a
unas directrices preexistentes. Para cumplir este objetivo, deben impartir una formacin adecuada
en materia de concientizacin, y actualizar peridicamente las polticas y los procedimientos de la
organizacin, de acuerdo con la actividad laboral que desarrollen sus empleados y, en su caso, los
contratistas y usuarios terceros.
Estudios recientes avalan que nunca haba sido mayor el nmero de empresas que haban
implantado una poltica de seguridad formal. El 88% de los encuestados contaban con una poltica
de seguridad especfica, y un 76% hace alusin a los requisitos de seguridad en el manual dirigido
a sus empleados.
38
Sin embargo, retomando los valores ilustrados en la Figura 2 Programas de concientizacin como
porcentaje del presupuesto de seguridad. En los dos aos registrados (2007 y 2008), es
sorprendente (y preocupante) observar que el presupuesto destinado a programas de formacin
38
European Network and Information Security Agency. Initiatives to raise awareness on information security 2008.
50
y concientizacin tienen porcentajes tan bajos. Alrededor del 42% gastan menos del 1% de su
presupuesto de seguridad en los programas de concientizacin. El grfico muestra una variacin
en general entre el 2007 y 2008, pero en general se puede notar que el presupuesto est
dbilmente enfocado a los esfuerzos de concientizacin en seguridad de la informacin.
Es difcil decir por qu estos nmeros son inferiores a lo que algunos de los debates en torno a la
importancia de la formacin y concientizacin en seguridad podran sugerir. Por un lado, muchos
medios de formacin y concientizacin en seguridad pueden ser implantados a un costo
relativamente bajo. Adems, uno de los principales costos de cualquier tipo de formacin (el
tiempo que los empleados dedican a programas de concientizacin, y que afectan su
productividad) no se contempla en el presupuesto de seguridad. Sin embargo, los bajos gastos en
capacitacin tambin pueden reflejar un cinismo general sobre la necesidad o la eficacia de la
capacitacin de los programas de concientizacin.
Desde hace algn tiempo, se ha credo que los proyectos diseados para aumentar la seguridad
de la informacin de una organizacin no sern aprobados automticamente por la alta direccin,
sino que tienen que estar justificados en trminos econmicos. Por lo tanto, estos programas
deben ser justificados en funcin al Retorno de la Inversin (ROI), Valor Presente Neto (VPN) y la
Tasa Interna de Retorno (TIR) como indicadores financieros para la cuantificacin de los costes y
beneficios de los gastos en seguridad de la informacin.
Pese a la elevada prioridad que se asigna a la seguridad, a muchos consultados les resulta difcil
justificar un gasto significativo en medidas de concientizacin. Slo un tercio de los mismos ha
justificado dichos gastos desde un razonamiento empresarial formal; de ellos, slo la mitad ha
intentado cuantificar los beneficios que se derivaran de sus programas de concientizacin, y muy
*
51
Figura 16. Cmo se justifican los costos continuos de los programas de concientizacin? Fuente: ENISA.
Analizando los valores de la grfica ilustrada en la Figura 16 Cmo se justifican los costos
continuos de los programas de concientizacin?, para la mayora de los consultados, la formacin
orientada a la concientizacin en materia de seguridad, no es sino una obligacin ms que deben
atender, es decir, un requisito obligatorio. Consecuentemente, el presupuesto asignado a esta
tarea se inscribe dentro del gasto general, no en las inversiones. Es una consideracin
interesante, porque en la mayora de los pases no existe una norma que obligue a impartir una
formacin especfica sobre seguridad de la informacin. Sin embargo, la normativa sobre
proteccin de datos parece haber impulsado la formacin orientada a la concientizacin. Alrededor
del 40% de los encuestados justifican su programa apelando a una comparacin entre los niveles
de concientizacin en materia de seguridad de la informacin antes y despus de haberlo puesto
en prctica.
La conclusin que extrae la mayora es que los beneficios aportados por una mayor
concientizacin en materia de seguridad, no son ni tangibles ni cuantificables. Es difcil concretar
unos parmetros que permitan evaluar adecuadamente las conductas. Sin unos parmetros
fiables, el trabajo que supone calcular el rendimiento de la inversin es mayor que los beneficios
obtenidos. A la inversa, una mejora de dichos parmetros llevara aparejado un incremento del
nmero de organizaciones dispuestas a efectuar el razonamiento desde un planteamiento
empresarial.
Existe un abanico muy amplio de tcnicas de concientizacin. Sin embargo, las empresas que
asignan menor prioridad a la seguridad de la informacin son tambin las que menos se esfuerzan
en concientizar a sus empleados. Nuevamente, prevalece el deseo de minimizar costos.
52
Toda organizacin debera adoptar ciertas disciplinas bsicas. Si bien es cierto que gran parte de
las organizaciones ya han definido sus polticas de seguridad, ya sea en el manual del personal, o
en un documento especfico al respecto. El 85% de los consultados han creado un sitio en su
Intranet donde el personal puede informarse sobre todo aquello relativo a la seguridad de la
informacin. Estas tcnicas son baratas, y no hay motivo para no utilizarlas. Sin embargo, muchos
encuestados consideran que polticas, manuales y directrices no bastan por s solos para hacer
ms eficiente la concientizacin. Simplemente, es ilusorio pensar que la mayora del personal
leer y asimilar toda la informacin con la que se le bombardee. Estas tcnicas juegan un papel
til como sostn y refuerzo de otras actividades de concientizacin. Sin embargo, no son eficaces
para modificar por s solas los comportamientos. En lo concerniente a este tema, la Figura 17
Tcnicas empleadas para que el personal tome conciencia en seguridad de la informacin, ilustra
las tcnicas comnmente usadas para que el personal tome conciencia de las cuestiones relativas
a la seguridad de la informacin y de sus obligaciones.
Figura 17. Tcnicas empleadas para que el personal tome conciencia en seguridad de la informacin Fuente: ENISA.
Ante todo nos encontramos frente a un desafo cultural. Es necesario reconocer a la seguridad
como un proceso continuo que debe estar presente en todas las personas involucradas con el
funcionamiento de la organizacin y en todos los aspectos del negocio.
53
Cada persona debe comprometerse con la seguridad, empezando por aspectos tan simples como
no revelar sus contraseas. Y debido a la creciente amenaza contra la seguridad la informacin
en las organizaciones, sabemos que no es suficiente confiar en la tecnologa. La seguridad de la
informacin parte de un problema social, que requiere una comprensin individual completa y
suficiente para cumplir con las polticas, del eslabn ms dbil: el comportamiento humano. En
donde, la misin es educar, bajo una cultura consciente, al personal, acerca de los diferentes
riesgos, responsabilidades que se tiene en el mbito de la seguridad.
Para entender el reto, es necesario comprender porque a pesar de las polticas de seguridad,
procedimientos y herramientas actualmente en vigor, las personas estn involucrados en
comportamientos de riesgo que ponen las empresas y los datos personales en riesgo.
Empleados en todo el mundo estn utilizando las redes de negocios para comunicarse, colaborar
y acceder a informacin. Las empresas que desean aumentar la productividad han abrazado la
creciente integracin de la red de comunicaciones y operaciones de negocio, y han alentado a los
empleados a tomar ventaja de la tecnologa, tales como los dispositivos inalmbricos y puntos de
acceso pblico. La productividad est en auge, pero las redes colaborativas exponen la
informacin organizacional en un entorno ms amplio que es ms vulnerable y difcil de proteger.
Adems de poner con ms informacin en riesgo, las organizaciones sufren mayores
consecuencias en caso de que se materialice la fuga de informacin. La prdida de la propiedad
intelectual, tales como planos de productos de propiedad, datos financieros, y los planes de fusin
y adquisicin, puede daar la reputacin de una empresa, debilitan su marca, o ponen en peligro
su ventaja competitiva. La omisin de los requisitos reglamentarios para el manejo de informacin
confidenciales de clientes puede reducir la confianza de los clientes y dar lugar a multas.
No debe ser un secreto que para reducir la fuga de informacin, las empresas deben integrar la
seguridad en la cultura corporativa y evaluar constantemente los riesgos de cada interaccin con
las redes, dispositivos, aplicaciones, datos y, por supuesto, los dems usuarios.
39
55
Para comprender mejor los comportamientos de los empleados que ponen en riesgo los activos de
las empresas, Cisco encarg a la consultara InsightExpress una investigacin para llevar a cabo
un estudio que resalte los errores ms comnmente competidos por los empleados en todo el
mundo en lo que respecta a fuga de informacin. Este estudio revel un conjunto impresionante de
comportamientos que ponen la informacin y los activos organizacionales en riesgo, a pesar de las
polticas corporativas que definen los procedimientos correctos. Los ejemplos siguientes muestran
cmo los empleados con conocimiento sin l, caen en prdida y fuga de informacin:
Muchos empleados mal emplean los equipos de sus organizaciones, aun conociendo que
quebrantan las polticas de seguridad de TI. Algunos ejemplos incluyen la alteracin de la
configuracin de seguridad y dispositivos de trabajo, compartir informacin sensible con
otros empleados, descargar msica, comprar en lnea, pagar facturas, y en algunos casos,
participar en juegos de azar en lnea y la pornografa. Aproximadamente una cuarta parte
de los empleados encuestados reconocieron compartir informacin sensible con amigos,
56
39% de los profesionales de TI, han lidiado con accesos no autorizados fsicos y
de red por parte de empleados.
Las operaciones de las empresas son cada vez ms distribuidas, los empleados mviles
amplan el riesgo potencial de prdida o fuga de informacin.
46% de los empleados de admiten haber transferido informacin entre los equipos
de la organizacin y casa.
13% de las personas que trabajan desde casa, admiten que al no poder
conectarse a las redes de la organizacin, envan datos desde sus cuentas
personales.
57
Cerrar sesin, bloquear los equipos y emplear contraseas son algunos de las ms
comunes y simples formas de seguridad informtica. Hoy en da sera difcil imaginar a los
usuarios de TI sin esos principios bsicos, sin embargo, sigue sucediendo y en nmeros
alarmantes. Al menos uno de cada tres empleados admiti haber dejado abierta su sesin
o el equipo desbloqueado cuando se mueven de sus lugares. Y uno de cada cinco
empleados almacenan sus informacin de inicio de sesin en escrito y o dejan sobre sus
escritorios, en cajones abiertos o pegados en sus equipos. Cada una de estas fallas en los
protocolos de seguridad proveen de oportunidades de riesgo para los atacantes. Tomadas
en conjunto, no solo dejan abierta la puerta a amenazas potenciales, tambin invitan a los
atacantes a entrar.
Por qu los empleados no siguen los procedimientos de seguridad que admiten les han sido
comunicados? Las polticas son comunicadas sin educacin explicacin? Los empleados son
apticos? O peor an, son ellos amenazas internas que a propsito violan las polticas de
seguridad por obtener beneficios personales? La Figura 18 Motivos por los cuales los empleados
violan la seguridad de la informacin, ilustra los motivos por los cuales los empleados alrededor
del mundo no siguen los procedimientos de seguridad.
58
Figura 18. Motivos por los cuales los empleados violan la seguridad de la informacin. Fuente: InsightExpress.
La figura 18, nos revela datos importantes, ya que de los encuestados el 22% de los profesionales
de TI creen que la educacin en seguridad debe ser mejorada. Un gran nmero de profesionales
de TI creen que los empleados son obstinados porque no entienden el riesgo de sus
comportamientos, porque la seguridad no es una de sus prioridades o simplemente no les importa.
La informacin mostrada en la figura 18 confirma estas creencias.
En muchos casos, los empleados evaden abiertamente las polticas de seguridad por beneficios
personales. Si los empleados son infelices con sus trabajos, estn enojados con sus jefes, o se
quieren vengar por alguna razn, ellos se convierten en amenazas internas que provocan daos
deliberadamente o provocan fuga de informacin.
Si se toman en cuenta estos resultados, se puede determinar que la fuga de informacin surge
debido a dos grandes problemas:
59
43% de los profesionistas de TI, consideran que los empleados no estn bien
educados, capacitados y/o concientizados.
19% de los profesionistas de TI, consideran que las polticas de seguridad no han
sido comunicadas a los empleados eficientemente.
9% de los empleados han reportado que han perdido o robado dispositivos con
informacin confidencial de la organizacin.
Un estudio de la firma de seguridad Symantec arroj que alrededor de 60% de los empleados
utilizan estos medios para sustraer informacin al momento de dejar la empresa.
"Esto representa un delito intangible, el empleado que se lleva los contactos que crearon en
nombre de la empresa causa prdidas a nivel mundial, aunque poco se habla de ello", afirm Juan
60
Carlos Guell, director de delitos cibernticos de la PFP en el marco del Foro de Liderazgo 2009
organizado por Symantec.
Actualmente el precio que se paga por conseguir informacin sobre contactos en el mundo del
cibercrimen es mayor que aquel que se paga por tarjetas bancarias, de acuerdo con Rafel Garca,
gerente regional de Mercadotecnia para Amrica Latina, de la firma de seguridad.
Al 2009 una persona que quisiera comprar un "lote" de tarjetas de crdito deba pagar entre 0.06 y
30 dlares, mientras que quien busca adquirir contactos de correo electrnico deben dar entre
0.20 y 60 dlares.
El aumento en los costos se debe a que actualmente las organizaciones que cometen crmenes a
travs de Internet operan a travs de redes de contacto, ya que esto les da la oportunidad de
expandir su base de datos y su lmite de accin, dijo Garca.
Otra de las amenazas internas que supone la fuga de datos es la prdida de informacin por
causa del extravo de los dispositivos y la falta de respaldos de la misma, as como el envo de
informacin de propiedad intelectual a direcciones de correo electrnico errneas, afirma la
empresa.
El 55% las empresas encuestadas por Symantec en su Estudio Preparacin ante Desastres para
las Pymes indicaron que si perdieran su informacin no tendran un respaldo que les permitiera
recuperarla.
Las consecuencias de violar las polticas de seguridad de la informacin son amplias y costosas.
Si se consideran los costos por prdida de informacin, el aspecto ms fcil de medir son los
costos de capital para reemplazar los activos robados y/o perdidos otro costo significativo es el
gasto operacional asociado al reemplazo de activos.
61
Las empresas gastan grandes cantidades para defenderse de ataques externos, pero como se ha
mencionado, la mayor parte de los ataques provienen desde casa, es fuego amigo, ya sean
cometidos algunos por ignorancia, error, por no estar satisfechos con su ambiente laboral, con
fines de lucro, etc.
Leyes internacionales protegen a las empresas contra ataques cibernticos, robo de informacin,
etc., pero en Mxico an no se ha avanzado de tal modo.
A lo largo de este captulo podr observarse que leyes protegen a las empresas contra ataques
informticos, tanto en Mxico como en otros pases.
Mxico va dando sus primeros pasos en la creacin de leyes en materia de delitos informticos,
pero Qu tan rezagado se encuentra en comparacin de otros pases?
En el ao 2007, Alemania aprob una ley que castiga los ataques cometidos por Crackers
informticos. Alemania ya contaba con una ley parecida, pero ahora es una ley ms clara y se
dise para que difcilmente sea evadida. Dicha ley menciona que se considera como Crackeo a
aquella actividad que penetre los sistemas de seguridad de cmputo logrando tener acceso a los
datos seguros sin que estos necesariamente sean robados; castigando dicha accin hasta con 10
aos de crcel.
Austria tambin ha reformado su cdigo penal, permitiendo que a aquellas personas que con dolo
causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de
datos automtica a travs de la confeccin del programa, por la introduccin, cancelacin o
alteracin de datos o por actuar sobre el curso del procesamiento de datos. Adems contempla
sanciones para quienes comenten este hecho utilizando su profesin de especialistas en sistemas.
62
Gran Bretaa cre su Ley de Abusos Informticos, la cual establece que son el simple intento (ya
sea exitoso o no) de alterar datos informticos sin autorizacin, se penar dicha accin hasta con
5 aos de prisin.
Francia cuenta con una Ley relativa al fraude informtico, la cual llega a castigar con hasta 2 aos
de prisin a quienes elimine o modifique datos informticos con fines fraudulentos.
Espaa en su nuevo Cdigo Penal Federal sanciona con hasta 3 aos de prisin a quien dae,
modifique y elimine datos, programas o documentos electrnicos ajenos. A su vez, en caso de
divulgacin, espionaje y violacin de secretos, se penaliza con prisin, agravando el castigo
cuando fue la accin fue realizada con dolo.
En Alemania
En Francia
En Espaa
Desde 1978, la Constitucin, en su artculo 18, apartado 4, dice: "La ley limitar el uso de la
informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos... "
Relacionada con esta disposicin constitucional, en Espaa se ha publicado la Ley Orgnica
5/1992, de 29 de octubre, de regulacin de tratamiento automatizado de los datos de carcter
personal que tiene como objeto bsico la proteccin de la intimidad y el honor de las personas.
En los Estados Unidos de Amrica
63
El 31 de diciembre de 1974, el Congreso expide el "Privacy Act (literalmente acto de retiro)", con el
objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la
recoleccin y tratamiento automatizado de datos personales por parte de las agencias federales.
En Brasil
En Colombia
*
A partir de 1991, el artculo 15 de la Constitucin de este pas reconoce al habeas data como un
derecho fundamental an no reglamentado.
En Paraguay
Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Polica
Nacional, que la Constitucin, en su artculo 135 reconoce el derecho de las personas para
acceder a la informacin que le corresponda en archivos pblicos y privados, para conocer la
finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.
En Per
Desde 1993, el artculo 200, inciso 3, de la Constitucin establece de manera expresa el habeas
data con los objetivos de que el interesado pueda acceder a la informacin pblica, con ciertas
limitantes, y evitar la difamacin de la persona por la difusin o suministro a terceros de
informaciones que afecten la intimidad personal y familiar.
En Ecuador
El artculo 30 de la Constitucin vigente establece el habeas data con los objetos de acceder a los
registros, bancos o bases de datos, conocer su uso y finalidad, as como para solicitar la
* Habeas data significa, en trminos generales, un recurso pronto y expedito para lograr que un dato que se
encuentra en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido,
suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros,
archivos, bancos o bases de datos, adems de que se pueda acceder a registros o bancos de datos.
64
rectificacin, actualizacin, eliminacin o anulacin de los datos, en caso de que stos sean
errneos o afecten ilegtimamente los derechos de las personas.
En Argentina
La nueva Constitucin de 1994, en su artculo 43, en su prrafo tercero, establece el habeas data
como un amparo especial.
Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es
hasta el ao 2000 que se expide la Ley 25326 de Proteccin de los Datos Personales, publicada
en el Boletn Oficial correspondiente al 2 de noviembre del ao mencionado.
Como se ha podido observar, Mxico va dando sus primeros pasos en la creacin de leyes en
materia de delitos informticos, pero Qu tan rezagado se encuentra en comparacin de otros
pases?
Como se ha citado a lo largo del desarrollo de esta tesina, gran porcentaje de la fuga de
informacin en una empresa es debido a personal interno. La gran mayora de las empresas, si
no es que en su totalidad, al realizar una contratacin extienden un contrato de confidencialidad de
secretos industriales. Dichos contratos se celebran cuando las personas fsicas o morales
manejaran informacin de carcter confidencial.
65
El Cdigo Penal Federal refuerza a la Ley de Propiedad Industrial, ya que se encarga tambin de
castigar delitos informticos. El Cdigo Penal Federal en su Ttulo Noveno habla acerca de la
Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica.
El Artculo 210 del Cdigo Penal Federal menciona que se impondrn de treinta a doscientas
jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin
consentimiento del que pueda resultar perjudicado, revele algn secreto o comunicacin reservada
que conoce o ha recibido con motivo de su empleo, cargo o puesto.
El Artculo 211 Bis se enfoca a la legislacin sobre el Acceso ilcito a sistemas y equipos de
informtica; menciona que a quien revele, divulgue o utilice indebidamente o en perjuicio de otro,
informacin o imgenes obtenidas en una intervencin de comunicacin privada, se le aplicarn
sanciones de seis a doce aos de prisin y de trescientos a seiscientos das multa.
66
Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,
indebidamente modifique, destruya o provoque prdida de informacin que contengan, se le
impondrn de dos a ocho aos de prisin y de trescientos a novecientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,
indebidamente copie informacin que contengan, se le impondrn de uno a cuatro aos de prisin
y de ciento cincuenta a cuatrocientos cincuenta das multa.
67
Al que estando autorizado para acceder a sistemas y equipos de informtica de las instituciones
que integran el sistema financiero, indebidamente modifique, destruya o provoque prdida de
informacin que contengan, se le impondrn de seis meses a cuatro aos de prisin y de cien a
seiscientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica de las instituciones
que integran el sistema financiero, indebidamente copie informacin que contengan, se le
impondrn de tres meses a dos aos de prisin y de cincuenta a trescientos das multa.
Las penas previstas en este artculo se incrementarn en una mitad cuando las conductas sean
cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
Para los efectos de los artculos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que
integran el sistema financiero, las sealadas en el artculo 400 Bis de este Cdigo.
Las penas previstas en este captulo se aumentarn hasta en una mitad cuando la informacin
obtenida se utilice en provecho propio o ajeno.
Como puede observarse, el Cdigo Penal Federal y la Ley de Propiedad Industrial se ajustan para
castigar aquellos delitos informticos cometidos por personal interno de la empresa, pero Qu
pasa con aquellos delitos cometidos por personal ajeno a la empresa, mejor conocidos como
crackers?
En Noviembre del ao 2005, la cmara de Diputados aprob una reforma al mismo Cdigo Penal
Federal que sancione actos ilcitos cometidos por Crackers.
Dicha reforma menciona que: al que sin autorizacin, disee, elabore, transmita programas
conocidos como virus con la finalidad de bloquear o interferir en sistemas o programas, o en su
caso, sustraer datos o informacin, se le aplicar una sancin penal.
68
A nivel Federal no se cuenta con una ley de proteccin de datos personales. El 14 de Febrero del
2001, el diputado Antonio Garca Torres present ante la Cmara de Diputados la Iniciativa de Ley
Federal de Proteccin de Datos Personales.
Entre las caractersticas de inters para el tema que se trata en esta tesis, se encuentran las
siguientes:
Captulo I
Disposiciones generales
Artculo 1.
1. Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las
garantas de las personas fsicas.
2. Las disposiciones de esta ley tambin son aplicables, en lo conducente, a los datos de las
personas jurdicas.
Artculo 2.
1. Esta ley es aplicable a los datos de carcter personal que figuren en archivos, registros, bancos
o bases de datos de personas fsicas o jurdicas, pblicas o privadas, y a todo uso posterior,
incluso no automatizado, de datos de carcter personal registrados en soporte fsico susceptible
de tratamiento automatizado.
II. Cuyo titular sea una persona fsica y tengan un fin exclusivamente personal;
V. Administrados por los partidos polticos, sindicatos, iglesias y asociaciones religiosas, sola y
exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex
miembros y que se relacionen con su objeto, sin perjuicio de que la cesin de datos quede
sometida a lo dispuesto en esta ley.
3. Se regulan por sus disposiciones especficas los archivos, registros, bases o bancos de datos:
I. Electorales, conforme a los ordenamientos aplicables;
II. Referentes al registro civil, a la prevencin, persecucin y sancin de los delitos, as como a la
ejecucin de las sanciones penales;
III. Con fines exclusivamente estadsticos, regulados por la Ley del Instituto Nacional de Geografa,
Estadstica e Informtica; y,
IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad
pblica o a datos relativos a esos cuerpos.
4. los archivos, registros, bancos o bases de datos relativos a la prevencin, persecucin, sancin
de los delitos, ejecucin de sanciones penales, o a los datos correspondientes a los cuerpos de las
fuerzas armadas y de seguridad pblica o a sus integrantes, sern reservados, y se actualizarn,
complementarn, corregirn, suspendern, o cancelarn en los trminos de sus propias
disposiciones, sin que les resulte aplicable el rgimen general de esta ley.
Artculo 4.
II. Datos sensibles: Aquellos que revelan el origen racial, tnico, opiniones polticas, convicciones
religiosas, filosficas o morales, afiliacin sindical, salud o vida sexual;
Artculo 5.
3. Los datos slo pueden ser utilizados para los fines que motivaron su obtencin, o para fines
compatibles con estos.
70
Captulo IV
De las sanciones
Artculo 39.
II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,
III. Cualquiera otra de carcter puramente formal o documental que no pueda ser catalogada como
grave.
Artculo 40.
I. Colectar o tratar datos de carcter personal para constituir, o implementar archivos, registros,
bases o bancos de datos de titularidad pblica, sin la previa autorizacin de la normativa aplicable;
II. Colectar o tratar automatizadamente datos de carcter personal para constituir, o implementar
archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del
interesado o de quien legtimamente puede otorgarlo;
III. Colectar, tratar automatizadamente o administrar datos de carcter personal con violacin de
los principios que rigen esta ley o de las disposiciones que sobre proteccin y seguridad de datos
sean vigentes;
VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin
las condiciones mnimas de seguridad requeridas por las disposiciones aplicables.
71
tecnolgicos, la naturaleza de los datos almacenados y los riesgos a los que stos son expuestos,
ya sean por la accin humana por la naturaleza (en esta tesis la atencin se ver enfocada en
los riesgos que son debido a la accin humana), por lo que se han establecido distintos niveles de
seguridad dependiendo la categora tipo de datos.
A. Nivel bsico
Las medidas de seguridad marcadas con el nivel bsico sern aplicables a todos los sistemas
de datos personales.
A los sistemas de datos personales que contienen alguno de los datos que se enlistan a
continuacin, les resultan aplicables nicamente, las medidas de seguridad de nivel bsico:
72
B. Nivel medio
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuacin, adems de cumplir con las medidas de seguridad de nivel bsico, debern
observar las marcadas con nivel medio.
Datos
sobre
procedimientos
administrativos
seguidos
en
forma
de
juicio
y/o
C. Nivel alto
Los sistemas de datos personales que contengan alguno de los datos que se enlistan a
continuacin, adems de cumplir con las medidas de seguridad de nivel bsico y medio,
debern observar las marcadas con nivel alto.
Datos Ideolgicos: Creencia religiosa, ideologa, afiliacin poltica y/o sindical, pertenencia
a organizaciones de la sociedad civil y/o asociaciones religiosas, entre otros.
73
Caractersticas fsicas: Color de piel, color de iris, color de cabello, seas particulares,
estatura, peso, complexin, discapacidades, entre otros.
Dentro de las medidas de seguridad que establece el IFAI para los datos personales en soportes
fsicos son:
3. La puerta de acceso del rea de consulta cuenta con cerradura, dispositivo electrnico o
cualquier otra tecnologa que impida su libre apertura. Este mecanismo queda cerrado en
horas no hbiles o cuando el personal autorizado que ah labora abandona el rea. [Nivel
medio]
4. El personal autorizado que labora en el rea de consulta ostenta una identificacin con
fotografa (credencial o gafete) emitida por la dependencia o entidad. [Nivel bsico]
5. Cualquier persona puede identificar con facilidad al personal autorizado que labora en el
rea de consulta gracias a que los nombres completos y fotografas de dicho personal se
exhiben en un lugar visible dentro y fuera de dicha rea. [Nivel medio]
6. El Encargado de los Sistemas de Datos Personales actualiza los nombres completos y
fotografas que se exhiben en el rea de consulta conforme se presentan cambios de
personal. [Nivel medio]
7. No est permitido el libre acceso y el uso de aquellos aparatos referidos en la seccin
Equipo no autorizado dentro del rea de consulta. [Nivel medio]
74
Dentro de las recomendaciones para la Baja de Datos Personales se observan las siguientes:
b) Destruye por completo dichos soportes fsicos antes de desecharlos [Nivel bsico]
c) Lleva una bitcora de las veces que se efecta la accin de baja de datos personales.
[Nivel bsico]
Dentro de las medidas de seguridad para datos en soportes electrnicos se establece lo siguiente:
Para las reas de Recepcin, Resguardo y Consulta de datos personales, se destaca:
75
4. El personal autorizado que labora en el rea de recepcin ostenta una identificacin con
fotografa (credencial o gafete) emitida por la dependencia o entidad. [Nivel bsico]
1. Todo soporte electrnico que ser dado de baja (ya sea por obsolescencia, sustitucin o
alguna otra causa) pasa por un proceso de preparacin final antes de ser desechado. Dicho
proceso incluye: la transferencia del contenido que sea preciso conservar hacia otro soporte
electrnico y la destruccin, inhabilitacin o dao que deje inservible dicho soporte. [Nivel
bsico]
2. Las nicas personas autorizadas para realizar proceso de preparacin final son el rea de
sistemas y el personal de vigilancia. [Nivel bsico]
a) Vigila que se sigan los procedimientos y se utilicen los mecanismos para asegurar la
destruccin de soportes electrnicos que contienen datos personales. [Nivel bsico]
b) Lleva una bitcora donde registra la baja de soportes electrnicos que contienen datos
personales anotando
76
b) Operacin:
1. Estn deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
puertos de comunicacin (USB, paralelo, serial, etc.) que no se utilizan. Los cables
o dispositivos conectados a los puertos que s se utilizan estn asegurados para
evitar su desconexin. Las cancelaciones pueden ser abiertas por personal
autorizado del rea de sistemas. [Nivel medio]
2. Estn deshabilitados (en el interior del equipo) o cancelados (en el exterior) los
dispositivos
de
almacenamiento
removible
(unidades
de
disco
flexible,
77
a) Computadoras Porttiles:
78
revisin
inicial,
lo
que
permite
detectar
si
hay archivos
para
la transmisin de datos
personales
en soportes
79
Finalmente, el IFAI tambin proporciona una serie de documentacin de las Medidas de Seguridad
en procesos y polticas del Sistema de Datos Personales:
a) De la Sensibilizacin y capacitacin
2. Este curso se imparte al menos una vez cada ao al personal, llevando un registro de
asistencia. [Nivel bsico]
80
1. Al menos cada dos aos, el Responsable de los Sistemas de Datos Personales recibe
(y archiva) una carta compromiso de parte de cada uno de los miembros del personal
autorizado que interacta con uno o ms Sistemas de Datos Personales. [Nivel medio]
Hoy en da cada vez existen ms requisitos de carcter legal que tienen que ver con la seguridad
de la informacin (Ley Orgnica de Proteccin de Datos, por ejemplo). La confidencialidad,
integridad y disponibilidad de la informacin es determinante para mantener la imagen empresarial
y ciertos niveles de competitividad de las organizaciones, lo cual genera en rentabilidad.
81
Como es habitual, existen normas que recogen las mejores prcticas para la gestin de la
seguridad. En la actualidad los estndares de reconocimiento ms amplios son los de la serie ISO
27000 de la ISO/IEC, aunque tambin existen otros como COBIT e ISO 9001:2000.
ISO 27001: Es el estndar de la familia que permite certificar (especifica requisitos), por
entidad acreditada para ello, el Sistema de Gestin de Seguridad de la Informacin.
Basado como otros en el ciclo PDCA (Planificar, Hacer, Verificar y Actuar ). Especifica
requisitos para el diseo, implantacin, mantenimiento y mejora del SGSI, sus procesos y
los controles de aplicacin.
ISO 27002: Es el relevo natural de ISO 17799 como cdigo de prcticas para la Gestin
de Seguridad de la Informacin. Contiene un listado de controles y objetivos para proteger
la informacin.
ISO 27004: Estndar relacionado con las mtricas y medidas en materia de seguridad
para evaluar la efectividad del sistema de gestin de la seguridad de la informacin.
ISO 27006: Relacionada con los temas de continuidad de negocio y recuperacin ante
desastres.
82
ISO 27002
La ISO 27002 viene a ser un cdigo de buenas prcticas en el que se recoge un catlogo de los
controles de seguridad y una gua para la implantacin de un SGSI (Sistema de Gestin de
Seguridad de la Informacin).
El dominio 06 tambin nos sugiere lo siguiente: los miembros de la Direccin deberan respaldar
activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y
aprobando explcitamente las responsabilidades en seguridad de la informacin dentro de la
83
Este dominio tambin habla de mantener un control del acceso de terceros a los dispositivos de
tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de
terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la
seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y
aceptarse en un contrato con la tercera parte. Se deberan identificar, documentar e implantar
regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de
tratamiento de la informacin.
El dominio 08 (Seguridad ligada a los Recursos Humanos) tiene como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean
aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios. Las responsabilidades de la seguridad se deberan definir antes de la
contratacin laboral mediante la descripcin adecuada del trabajo y los trminos y condiciones del
empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberan seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados,
contratistas y usuarios de terceras partes de los servicios de procesamiento de la informacin
deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad.
La organizacin debe asegurarse de que los empleados, contratistas y terceras partes son
conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que estn
equipados para cumplir con la poltica de seguridad de la organizacin en el desempeo de sus
labores diarias, para reducir el riesgo asociado a los errores humanos.
A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un
adecuado nivel de concientizacin, educacin y capacitacin en procedimientos de seguridad y en
el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de
minimizar los posibles riesgos de seguridad.
Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de
la informacin y de autorizaciones. Con procedimientos formales para controlar la asignacin de
los permisos de acceso a los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de informacin.
La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Se debera
asignar responsabilidades de usuario, impidiendo el acceso de usuarios no autorizados y el
compromiso o robo de informacin y recursos para el tratamiento de la informacin.
Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de
cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de
documentos, medios y recursos para el tratamiento de la informacin.
4.4.2 CObIT
El dominio de planear y organizar (PO) cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada. Todas las personas dentro de la
organizacin deben entender los objetivos de TI.
El dominio de entregar y dar soporte (DS) cubre la entrega en s de los servicios requeridos, lo que
incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos. La
fuerza de trabajo debe ser capaz de utilizar los sistemas de TI de manera productiva y segura.
4.4.3 Awareness
El 1 de Septiembre de 2005 el Dr. Gary Hinson publico una gua de siete pasos para implementar
un Awareness en las organizaciones (NoticeBored). Los pasos son los siguientes:
El tiempo empleado en
40
40
87
4.4.4 Assessment
la
inversin
en
desarrollo
humano
que
la
organizacin
quiere
hacer.
Las soluciones Data Leakage Prevention (DLP) monitorizan el contenido en las redes y puntos
extremo siguiendo criterios definidos como etiquetas en los documentos o bsquedas de palabras
clave, entre otros. A medida que se escanea el contenido y se aplican los criterios de parmetros
de bsqueda, se activan las reglas. En las soluciones menos sofisticadas, estas reglas generan
alertas frecuentemente va mensajes de email al administrador responsable de hacer el
88
41
El IDS suele tener sensores virtuales con los que el ncleo del IDS puede obtener datos externos
(generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que
pueden ser indicio de la presencia de ataques o falsas alarmas.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
Existen tres tipos de sistemas de deteccin de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los
41
89
una serie de NIDS (IDS de redes) que actan como sensores centralizando la informacin
de posibles ataques en una unidad central que puede almacenar o recuperar los datos de
una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas regla
de control especializndose para cada segmento de red. Es la estructura habitual en redes
privadas virtuales (VPN).
En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda
una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS
responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee el trfico que
proviene de la red del atacante.
42
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de
detecciones en la va del trfico. Los IPS presentan una mejora importante sobre las tecnologas
de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del trfico, en lugar de direcciones IP o puertos. Tiempo despus, algunos IPS fueron
comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron
extensiones literales de los sistemas IDS, continan en relacin.
42
Diego Gonzlez Gmez. Sistemas de Deteccin de Intrusiones, CriptoRed, Universidad Politcnica de Madrid
90
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
Funcionamiento
43
Un Assessment Center
44
todas las distintas formas de sesgo que pueden ocurrir en una evaluacin, asegurando a cada
participante el respeto al principio de igualdad de oportunidades, ya que stos pueden demostrar
sus capacidades a travs de un amplio abanico de situaciones.
As, los Assessment Centers o Centros de Evaluacin, estn dirigidos a valorar y examinar el
potencial, las experiencias y capacidades actuales de una persona, as como su posible desarrollo
profesional.
Los Assessment aportan, por tanto, una informacin de doble direccin. La empresa obtiene un
conocimiento ms profundo de sus profesionales y stos, a su vez, pueden participar de forma
ms directa y consciente en su propio desarrollo profesional, toda vez que se produce una toma
de conciencia ms objetiva de sus propias aptitudes, competencias y limitaciones.
Los usos y aplicaciones de los Assessment Centres son variados, ya que como tcnica aporta una
informacin muy objetiva, fiable y actualizada, muy difcil de conseguir a travs de otros sistemas
de recursos humanos, dentro de una compaa.
91
Planificacin de carreras.
Podemos identificar cinco caractersticas bsicas que definen el diseo y la realizacin de los
Assessment Centres, stas son:
Una vez obtenida la lista de competencias que se desea examinar, se inicia el diseo de los
ejercicios de simulacin. stos deben ser lo ms parecidos a la realidad profesional, para que
permitan una evaluacin objetiva de las competencias puestas en prctica.
Todos los ejercicios que se realizan en un Assessment pueden clasificarse en dos grupos,
teniendo en cuenta su dinmica de desarrollo:
1. Ejercicios individuales: son todos los Cuestionarios de Personalidad y Motivacin; los Test
de Aptitudes y los Scheduling Exercises.
92
2. Ejercicios interactivos: aunque todos los ejercicios son necesarios para el perfecto
desarrollo de un Assessment, son los que implican cierto grado de interactividad, los que
aportan al proceso una evidencia ms fuerte y una mecnica ms elaborada.
93
Ejercicios In-Tray: al igual que en el ejercicio anterior, en los In-Tray se debe llegar
a la resolucin de un problema de gestin empresarial. Sin embargo, en ste se
pide a los participantes que completen una serie de tareas, con tiempo
independiente para cada una de ellas. Para su resolucin se proporciona una
carpeta que contiene una enorme cantidad de documentos: cartas, memorndums,
organigramas, cifras, grficas La intencin de los ejercicios es poner a la persona
en una situacin de mxima presin, para ver su rendimiento intelectual y su
capacidad de reaccin en estas circunstancias. Esta tcnica se complementa con la
Entrevista In-Tray, cuyo objetivo es conocer, en mayor profundidad, el sentido de
las decisiones aportadas por los participantes durante la realizacin del ejercicio.
a) El evaluado.
b) El evaluador.
c) El actor o ficticio.
En estos casos el papel del actor es de una importancia extrema, dado que no slo tiene que
estar perfectamente preparado, sino que debe provocar en el evaluado la situacin conflictiva que
se busca, lo ms rpidamente posible.
Todas estas pruebas permiten obtener una fotografa muy aproximada sobre los conocimientos,
aptitudes y habilidades de los profesionales. Hay que considerar que los Assessment Centres son,
sin lugar a dudas, uno de los procesos de mayor rigor analtico, ms exhaustivos y completos con
los que puede contar una empresa a la hora de evaluar las competencias.
94
Fases de un AC
Para que un proceso de evaluacin sea considerado un Assessment Center, ha de reflejar los
45
siguientes pasos :
45
95
Captulo V: Modelo
En los captulos anteriores se ha tratado la problemtica generada en la seguridad de la
informacin, y se ha hecho nfasis especialmente en uno: la fuga de informacin. Cuando se
habla de fuga de informacin, la solucin ms natural para contrarrestarla es empleando el
concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas
ocasiones se ha dicho que la creacin de un programa de concientizacin sobre la importancia de
la informacin y su proteccin en las organizaciones contribuira a la sinergia de reforzar el
eslabn ms dbil de la cadena, que es el usuario final.
As, un plan de cultura organizacional dirigido a la seguridad de la informacin debe ser completo,
esto es, que incluya polticas sobre aspectos de seguridad, reuniones con grupos objetivo, una
metodologa adecuada, y sobre todo, estar apoyada por la alta direccin.
96
Cuando se da vida al programa de concientizacin, se tiene que entender que este escenario es
dinmico y por lo tanto est en construccin permanente, lo que significa que sus definiciones y
documentos debemos usarlas todos los das, pues no se trata de elaborar un texto para archivarlo
y dejarlo llenar de polvo en un escritorio de la organizacin. Adicionalmente, se hace necesaria la
creacin de indicadores que nos permitan medir (lo que no se mide, no se puede mejorar) la
eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y
mejoras necesarios que lleven al funcionamiento ptimo del programa.
Muy seguramente en el camino nos encontraremos con algunos obstculos que hay que sortear y
que son de carcter general en cualquier organizacin que quiera implementar este (y cualquier
otro) modelo de concientizacin para la seguridad. Algunos de los obstculos pueden ser:
Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qu
clase de metodologa se necesita en la organizacin que se quiera implantar el modelo.
Generalmente las metodologas utilizadas constan de cinco grandes pasos: anlisis, diseo,
desarrollo, implementacin y una evaluacin y mantenimiento. Tambin por supuesto, se hace
necesario que las campaas de culturizacin sean de forma completa y no simplemente con
carteles que vemos pegados en paredes de la organizacin, pues por s solos no consiguen nada.
Es interesante comprender que por muy robustos sistemas de seguridad que se posean, es intil
si el usuario no forma parte del programa de cultura de seguridad y si no se desarrolla una mtrica
para evaluar el avance del mismo, que permita precisar si realmente se est cumpliendo o no con
los objetivos del programa. Visto desde este enfoque el modelo propuesto en este trabajo puede
verse reflejado en la Figura 20 Modelo de concientizacin para la prevencin de fuga de
informacin:
97
Figura 20. Modelo de concientizacin para la prevencin de fuga de informacin. Fuente: Personal.
Como se observa en la figura el modelo consta de 5 sencillos pasos, que se sustentan en una
metodologa general para efectuar casi cualquier proceso, sin embargo, las particularidades sern
expuestas a continuacin.
De todas las piezas que componen el rompecabezas de la seguridad, destacaramos una como el
pilar central de todo el conjunto: el anlisis de riesgos, en este caso ya tenemos definido el riesgo
que analizaremos: la fuga de informacin. Basndose en el Captulo II (2.3 Vulnerabilidades,
Amenazas y Riesgos de la Informacin), es importante conocer los puntos dbiles o vulnerables
que pueden ser explotados para materializar la fuga de informacin, proporcionar a todo el
98
Para poder aplicar cualquier programa de concientizacin, es necesario conocer el estado actual
de la organizacin para as poder hacer un diagnstico inicial y por supuesto correcto.
Para ello, es necesario tomar en cuenta por qu se est implementando, Estamos previniendo la
fuga de informacin o ya nos enfrentamos a un problema de fuga de informacin?
El cmo hacer esta valoracin del estado de la organizacin, puede llevarse a cabo
respondiendo a las siguientes preguntas:
Cules son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
99
familiares, y por tanto se muestre incapaz de asignar prioridades, por este motivo, es
recomendable evitar terminologa de seguridad de informacin, como amenazas, vulnerabilidades
y contramedidas, para mejorar la calidad de la valoracin, permitiendo as que los participantes sin
conocimientos tcnicos no se sientan intimidados, y por tanto se muestren ms abiertos y
participativos. En caso de que sea inevitable el uso de terminologa, se debe continuar con la
valoracin, y esperar al final de la misma para resolver dudas acerca de las definiciones y
terminologa.
Un punto importante a considerar, es que esta valoracin debe efectuarse de manera continua y
peridica, adems puede llevarse a cabo independientemente del proceso que se encuentre en
ejecucin del presente modelo, ya que puede proporcionar informacin de base para acciones
ms ambiciosas en el mbito de la seguridad organizacional.
Debemos hacer conciencia sobre lo que pueda pasar antes de que llegue a ocurrir porque
entonces, probablemente, ya sea demasiado tarde.
Con base en las definiciones los tpicos 2.4 y 2.5 del presente trabajo, es necesario evaluar que
conocimientos tiene el personal sobre la fuga de informacin, para as poder localizar quienes son
ms susceptibles a extraer informacin intencionalmente o quienes son lo suficientemente
ingenuos para permitir que se extraiga informacin sin que se den cuenta de ello. Tambin nos
podemos basar en las estadsticas recolectadas en el Captulo III, donde se resalta que el
comportamiento humano es un problema de seguridad de la informacin, en donde una grave
consecuencia es: la fuga de informacin.
En este punto cabe destacar la importancia de verificar si el personal conoce las medidas de
seguridad y/o polticas de la organizacin.
Esta valoracin puede enfocarse a la fuga de informacin en general, pero sobre todo, debe
enfocarse en aquellos puntos dbiles encontrados con anterioridad, debido a que estos son reas
de oportunidad que podemos corregir y mejorar.
Ests evaluaciones deben manejarse con mucho tacto, ya que el personal puede sentirse
intimidado al ser evaluado sobre estos temas, en todo momento se debe hacer partcipe al
personal en las actividades de concientizacin, ya que al final del da: la seguridad es una tarea de
todos.
100
Sin duda alguna, las valoraciones anteriores nos arrojaron interesantes reas de oportunidad, pero
ests pueden ser demasiado vastas como para atacarlas todas en una sola oportunidad, por esto
es necesario delimitar el campo de accin que se ejercer en cada punto dbil encontrado.
Cuando se establezca este objetivo se debe tener muy claro que el alcance del mismo sea realista
y ambicioso a la vez, porque pudiera resultar muy frustrante no alcanzarlo, pero podra ser muy
conformista no arriesgar.
Las valoraciones efectuadas con anterioridad pueden resultar un faro en la oscuridad, mostrando
los problemas ms importantes que hay que atacar, e incluso descartando aquellos que no
requieren de un plan de concientizacin para ser resueltos. As, se puede tomar de la lista de
reas de oportunidad los puntos que conformaran el programa de concientizacin, y se puede
definir un objetivo que resulte satisfactorio, tanto para la alta direccin como para los empleados,
debido a que ser ms tangible el logro del mismo, y se ver reflejado en la motivacin del
personal para continuar con ms programas de concientizacin. Se deben tomar las cosas con
calma, puesto que todos los puntos dbiles sern atacados, ya que el modelo propuesto est
considerado para ser cclico, y ser llevado mediante mejora continua.
101
Las personas son punto clave en cualquier proceso del negocio, y la seguridad de la informacin
es parte del mismo proceso. Por tal motivo, los programas concientizacin deben ser
implementados para que todo aquel ente que est relacionado con la informacin entienda qu es
la seguridad de la informacin: porqu es importante cumplir con todos los procesos, asegurarse
de que la tecnologa es aplicada de acuerdo a estndares, y que todos los procesos y
procedimientos deben ser seguidos al pie de la letra.
Como parte del modelo de concientizacin, la organizacin debe asegurarse que el personal
interno, clientes, proveedores y todo aquel ente que est relacionado con la organizacin reciban
los lineamientos correspondientes a la seguridad de la informacin de la organizacin, as como la
capacitacin necesaria en seguridad de la informacin para su puesto y funciones. As mismo, se
debe asegurar que las personas involucradas puedan reconocer incidentes de seguridad, como
debe reportarlos y responder ante estos.
Sin embargo, hacer llegar el mensaje a tantas personas puede resultar una labor titnica, es por
eso que es importante dividir el problema, e informar mediante grupos de audiencia, debido a que
no todos necesitan saber lo mismo ni tampoco todos estn expuestos a las mismas amenazas.
El nivel y tipo de contenido dependen de las necesidades de la organizacin. Esencialmente, a los
empleados, se les debe informar sobre lo que necesitan proteger, cmo lo deberan proteger, y
qu tan importante es. As el mensaje se distribuir de manera personalizada, y se podr obtener
un mejor resultado. Una forma sencilla de determinar los grupos de audiencias puede ser
respondiendo las siguientes preguntas:
Las necesidades de son iguales para todos, o cada uno necesita saber cosas diferentes?
, en caso de necesitar saber cosas diferentes, necesitan saber cosas radicalmente
diferentes?
102
Un punto importante a destacar, tambin son las consecuencias a las que exponen a la
organizacin, como a ellos mismos, ests consecuencias pueden delimitarse de la siguiente
forma:
Legales: Pueden ser aquellas en las que se incumple directamente alguna de las
clusulas establecidas en algn contrato, entre la empresa y el personal, o bien con los
clientes. Del mismo modo se tienen las consecuencias legales establecidas por la
legislacin de cada pas y/o sector, en el caso de Mxico se establecen en el Cdigo
Penal, las cuales se pueden observar en el punto 4.2.2.
Operacionales: Son aquellas en las cuales la empresa tiene que reestructurarse en caso
de tener que hacer algn cambio de personal que ha incurrido en una falta.
Hay que tener en cuenta que el xito de un programa de concientizacin depende de la capacidad
para alcanzar una gran audiencia a travs de varios materiales y tcnicas de difusin atractivos y
llamativos.
Los mtodos y opciones disponibles para hacer llegar a los empleados la informacin sobre
concientizacin en seguridad de la informacin son muy similares a aquellos que se usan para
hacer llegar otro tipo de informacin organizacional. Sin embargo, tambin es necesario tomarse
tiempo para romper tradicionalismos y salirse del cuadro, es decir, ser tiempo de innovar.
103
Hay que pensar mtodos y materiales positivos, divertidos, interesantes y motivantes que le den al
personal el mensaje y los entusiasme a llevar a cabo buenas prcticas de seguridad de la
informacin. Algunos ejemplos de estos materiales pueden ser:
Posters
Videos
Capacitacin
Trpticos
104
mismo. Es importante que todos entiendan sus roles y responsabilidades dentro del programa de
concientizacin.
Algunas claves para lograr una comunicacin efectiva del mensaje de seguridad son las
siguientes:
El mensaje, los canales y el emisor del mensaje deben tener autoridad y credibilidad
Los medios deben ser flexibles y adaptables, debido a que factores externos pueden
alterar el escenario
Para llevar a cabo una comunicacin efectiva del mensaje es recomendable llevar a cabo un plan
de comunicacin en el cual se incluya:
105
Finalmente, el programa de difusin y concientizacin debe ser simple. Para la mayora de las
organizaciones, este programa no debe ser necesariamente caro, complicado o excesivamente
tcnico en su entrega. Se debe hacer sencillo para que el personal que reciba la informacin lo
entienda rpidamente. Este programa debe:
Simple y sencillo
Positivo y motivante
Un esfuerzo contino
Entretenido
106
Tal como en un programa dirigido a todo el personal, el programa de concientizacin debe ser
soportado por los altos mandos, esto debe incluir costos, materiales, horarios, etc.
Se debe tener en cuenta que algunos empleados mostrarn resistencia pacfica, creando una
atmsfera negativa, ignorando los procedimientos y violando las polticas de seguridad. Tambin
habr resistencia activa, en la cual los empleados a propsito se negarn a seguir las protecciones
de seguridad y discutirn sobre las polticas. Aunque habr resistencia, la mayora del personal
quiere hacer bien su trabajo, hacer lo correcto y seguir las reglas. No se debe permitir que los que
van en contra afecten los esfuerzos de seguridad.
Otro factor crucial de xito en un programa de concientizacin, es recordar que nunca termina, el
programa de concientizacin debe repetir este mensaje. Si el mensaje tiene mucha importancia,
entonces, debera ser repetido ms a menudo, y de una forma diferente cada vez. Debido a que la
concientizacin de la seguridad debe ser una actividad continua, requiere creatividad y entusiasmo
para mantener el inters de todos los miembros de la audiencia. Los materiales de concientizacin
deben ser creados en una atmsfera en la que la seguridad de la informacin no solo es
importante para la organizacin, sino para cada empleado. Debe encender el inters en el
seguimiento de las polticas, procedimientos, reglas y buenas prcticas de seguridad de la
informacin.
Algunas veces las evaluaciones pueden enfocarse en puntos errneos, por ello es importante
medir la efectividad de la implementacin del programa de concientizacin. A continuacin se
enlistan algunas opciones a considerar:
Se debe tener en cuenta que el proceso de evaluacin debe reflejar y responder si los objetivos y
metas planteados inicialmente, fueron alcanzados.
Cuestionarios
Grupos foco
Entrevistas selectivas
Observacin y anlisis
108
Reportes de estatus
De servicio. Midiendo las actividades y resultados del servicio. Por ejemplo: cumplimiento
de los acuerdos de niveles de servicio y operacin.
109
Es necesario que el modelo sea cclico y no de una sola vez. Para esto, se debe evaluar y ajustar
eventualmente cualquier actividad relacionada al modelo, teniendo como meta incrementar la
calidad del modelo, y en consecuencia, los beneficios que este pueda traer a la organizacin.
Siendo necesario demostrar la efectividad medida del modelo, la cual se debe enfocar en la
medida del progreso sobre los resultados deseados y en caso de que este no est funcionando,
enfocar los esfuerzos en la mejora y reestructura de las reas de oportunidad.
Ser necesario asegurar que el programa, est estructurado, y se actualice de acuerdo a los
cambios emergentes en el ambiente de seguridad de la informacin. La concientizacin necesita
nuevas habilidades y capacidades para responder a las ms recientes amenazas. Un cambio en la
misin y/u objetivos de la organizacin puede proporcionar ideas relacionado con mejores formas
de disear la estrategia del programa de concientizacin. El surgimiento de nuevos incidentes de
seguridad, tambin debe impactar la naturaleza y extender las actividades de concientizacin
necesarias y mantener a los colaboradores informados acerca de los ltimos puntos dbiles as
como de sus contramedidas. Las nuevas leyes, estatutos reglamentacin tambin deben
impactar el desarrollo implementacin de este programa de concientizacin, as como cualquier
cambio organizacional.
El modelo enfoca su atencin en crear un nivel de excelencia y concientizacin plena que penetre
al 100% en la organizacin. Los procedimientos de concientizacin deben estar integrados con la
estrategia del negocio, siempre teniendo en cuenta que el xito de la organizacin debe enfocarse
en la proteccin de la informacin. Un programa maduro de concientizacin debe garantizar esta
excelencia, proporcionado una ventaja competitiva y denotando beneficios tanto en el clima laboral
como en el mbito del negocio.
110
Este modelo nos ayuda a proponer pautas para llevar a cabo un programa de concientizacin que
apoye en la minimizacin de la fuga de informacin, identificando las principales causas de fuga
de informacin y lo que motiva factor humano en hacerlo y consecuencias del mismo.
Este modelo es cclico, por lo que su rumbo debe ser encaminado a la mejora continua, lo que da
como resultado, un modelo y un programa de calidad, el cual se acople a las necesidades de la
organizacin y a la rotacin y cambio de las polticas y procedimientos que afecten a los
colaboradores.
Es importante considerar que el programa de concientizacin debe de ser divertido y sencillo para
el entendimiento de los usuarios, a ciencia cierta ellos sern los usuarios finales del mismo,
quienes ayudarn a validar la efectividad del mismo. Independiente de las reglas o pautas
especficas del modelo, ellos son quienes le dan peso al modelo. Y es necesario hacerles, las
consecuencias del mal uso de la informacin, desde recesin de contrato, hasta prdidas
financieras y daos de reputacin
desconfianza de los clientes, quienes son los principales proveedores de las organizaciones.
El ver las grficas anteriores, se demuestra la importancia de la existencia de un modelo que nos
d la pauta para salvaguardar el activo ms importante para las organizaciones: la informacin. Y
no solo tener el enfoque de que la seguridad es cuestin del rea de tecnologa, si no enfocar un
mayor peso al factor humano, ya que ellos son quienes controlan, manejan, distribuyen, procesan
y resguardan la informacin.
111
Para esto se consider una organizacin pblica debido a que son ms vulnerables a ataques con
motivo al tipo de informacin que manejan y a que no se le da el resguardo ideal. Adems de que
en la actualidad estn instituciones desean innovarse, obtener certificaciones y aumentar su
prestigio.
A lo largo de este captulo se describir el desarrollo de cada fase que compone al modelo de
concientizacin en la prevencin de la fuga de informacin pero aplicado a una organizacin
pblica.
6.1.1 Misin
Formar personas con conocimientos tecnolgicos en las reas industrial, comercial y de servicios,
a travs de la preparacin de bachilleres y profesionales tcnicos, con el fin de contribuir al
desarrollo sustentable del pas.
6.1.2 Visin
Ser una institucin de educacin media superior certificada, orientada al aprendizaje y desarrollo
de conocimientos tecnolgicos y humansticos.
112
6.1.3 Organigrama
Se implementar el modelo de concientizacin dentro de las oficinas de Control Escolar del turno
vespertino, realizando un anlisis de dicha rea que consiste en verificar la existencia de medidas
y polticas de seguridad de la informacin. Con el objetivo de prevenir una fuga de informacin por
parte del personal que ah labora o en casos extremos, personas maliciosas que busquen un
beneficio de la divulgacin de informacin procedente de la poblacin estudiantil.
Como organizacin pblica es necesario hacerlos conscientes de que para mantener la seguridad
de su informacin no basta con la seguridad clsica, es necesario un programa de concientizacin
del personal para prevenir que los datos almacenados no se divulguen fuera del plantel y evitar
poner en riesgo la reputacin de la Institucin Educativa (CETiS No. 54).
113
Tenemos bien definido que debemos prevenir que la informacin de los alumnos salga del plantel,
por lo que la concientizacin debe ser dirigida a las secretarias y jefes de control escolar. Para
llegar a esta conclusin fue necesario realizar una valoracin de la seguridad con que se
resguardan los datos y con qu grado de conciencia cuenta el personal respecto al tema de
seguridad de informacin, tanto en lo que se refiere a la tica de no divulgacin como a la
legislacin existente, mejores prcticas aplicables y que medidas de seguridad emplean. Lo
anterior se obtuvo por medio de entrevistas con el personal y encargados, la observacin de
procesos como: entrega de calificaciones e inscripciones, as como la verificacin de la seguridad
de los equipos. Con el objetivo de conocer el rea, la existencia de restricciones de acceso al
sistema y por supuesto abrir un canal de comunicacin con el personal, ganarse su confianza,
para obtener respuestas honestas que hagan que el modelo arroje los resultados esperados.
Como parte de las entrevistas con las secretarias de control escolar se aplic un breve
cuestionario que se presenta a continuacin:
CUESTIONARIO
Fecha:
Entrevistado por:
Nombre y Cargo:
SI
NO
2.- Conoce usted a detalle el cdigo o polticas de no divulgacin de la informacin que maneja?
SI
NO
SI
NO
114
Fecha:
Entrevistado por:
Nombre y Cargo:
4.- Considera usted que la fuga de informacin podra conllevar consecuencias graves?
SI
NO
a) Legales
b) Administrativas
c) Operacionales (al perder la informacin o al caer en manos de terceros, la operacin se
vera afectada)
d) Todas las anteriores
e) Otras____________________________________________________________________
________________________________________________________________________
7.- Qu efecto tendra a su criterio el que la informacin que maneja caiga en manos ajenas?
_______________________________________________________________________________
_______________________________________________________________________________
115
Fecha:
Entrevistado por:
Nombre y Cargo:
8.- Qu mecanismos conoce usted que estn implementados para el resguardo y seguridad de la
informacin?
_______________________________________________________________________________
_______________________________________________________________________________
10.- En caso de que la informacin que usted maneja caiga en otras manos, En manos de
quienes considera usted que correra ms riesgo?
11.- Alguna vez ha logrado acceder a alguna aplicacin o mdulo de la misma de tal modo que
no supo cmo lo hizo pero logro entrar?
Si
No
12.- En caso de ser afirmativa la pregunta anterior, Pudo haber sustrado algn tipo de
informacin?
Si
No
13.- En caso de ser afirmativa la pregunta anterior, Qu medidas de seguridad sugerira para que
no se presentara dicha situacin nuevamente?
_______________________________________________________________________________
_______________________________________________________________________________
116
6.2.2
El objetivo particular de este modelo es motivar a todos los empleados para que refuercen los
hbitos y valores necesarios para proteger la informacin en beneficio de la institucin.
Debido al poco personal que integra las oficinas de control escolar se trabajar con dos grupos de
audiencia. El primero integrado por las secretarias y el segundo por los jefes de control escolar.
El plantel cuenta con un cdigo de tica proveniente de la DGTI, el cual est integrado por 10
lineamientos, de los cules slo los siguientes hacen referencia a la concientizacin:
Darles una gua de las contingencias que pueden surgir y cmo reaccionar en caso del
surgimiento de una, a quin dirigirse. Es importante que el personal del rea en estudio este
consciente de las responsabilidades y funciones respecto a seguridad de la informacin que debe
seguir de acuerdo al puesto que desempea y que los estndares aplicados se sigan al pie de la
letra para lograr la mejora continua de la calidad de los servicios que proporcionan.
6.2.3
Dar una pltica a las secretarias sobre las leyes y penas que existen actualmente y hacerles
sugerencias respecto a cmo evitar que la informacin salga del plantel. A continuacin la
presentacin sobre la legislacin existente:
117
118
119
120
121
Publicar en la oficina el cdigo de tica, agregando ms puntos, para que el personal no lo olvide.
122
Colocar posters con slogans que inviten a las personas a mantener la informacin segura.
copies
unidades
la
informacin
caer
en
manos
de
terceros.
No
abras
correos
de
remitentes desconocidos o
con
asuntos
poco
123
Cuidado cuando te alejes de tu equipo, bloqualo para que nadie ms tenga acceso mientras
no estas
124
Como se describa en el captulo anterior el modelo consta de cinco fases ( anlisis, diseo,
desarrollo, evaluacin y mantenimiento). A continuacin se presentarn los resultados de los
cuestionarios aplicados en la fase de anlisis, que nos permitieron armar la base de la informacin
que era necesaria dar a conocer y en qu tipo de material de apoyo enfocarnos. Tambin
presentaremos las ltimas fases del modelo.
6.3.1
De acuerdo con los resultados de los cuestionarios se constat que la jefa de control escolar es
quin mayor conciencia situacional tiene sobre la importancia de la informacin que maneja, esto
va desde su conocimiento del cdigo de tica y polticas de no divulgacin, teniendo en cuenta
que la informacin manejada es confidencial, hasta un poco de las leyes que sancionan los delitos
informticos. Por otro lado, las secretarias no conocen a detalle el cdigo y polticas de no
divulgacin, a tal grado de considerar que la informacin manejada es nicamente de carcter
interno, adems de no estar conscientes de todas las consecuencias que conllevara la fuga de
informacin, provocando la incapacidad de poder proponer otros mecanismos para el resguardo
de la informacin.
6.3.2
En este caso se le sugiere a la jefa de control escolar que se aplique cada mes una evaluacin de
los procesos que efectan las secretarias para observar como realizan sus actividades y
percatarse de que puntos an continan afectando la seguridad de la informacin. Se sugiere
tambin hacer consultas peridicas a la poblacin estudiantil para verificar si el servicio en control
escolar realmente presenta mejoras. No basta con hacer la inversin en posters o en la
disposicin del personal al cambio de hbitos, si no se realiza una evaluacin de que el personal
est realmente captando el mensaje.
125
Conclusiones
La Seguridad de la Informacin es uno de las tareas ms cruciales a la que nos enfrentamos
actualmente. Estamos en un ambiente dnde los recursos de informacin se ven amenazados por
una variedad de factores que simplemente no existan hace unos aos y uno de ellos es la fuga de
informacin, que va en continuo aumento. Generalmente las organizaciones toman precauciones
tcnicas para prevenir estas amenazas, de esta manera la organizacin debe enfatizar ms el
trabajo diario, que las personas relacionadas con la organizacin efectan en pro de la Seguridad
de la Informacin.
Un punto importante a enfatizar es que durante el desarrollo del presente trabajo, no se encontr
normatividad, ni legislacin clara que promoviera esquemas de concientizacin para las
organizaciones, dejando una brecha significativa en la seguridad de la informacin. Es
preocupante debido a que viviendo en la era de la informacin, cualquier violacin al derecho
primordial de la privacidad, debera ser penada, y sin embargo, no est gestionado ni sancionado
explcitamente el no tener mecanismos de prevencin.
126
Bibliografa
Presentacin del libro Seguridad: una Introduccin. Dr MANUNTA, Giovanni. Consultor y
Profesor de Seguridad de Cranfield University. Revista Seguridad Corporativa.
ALDEGANI, Gustavo. Miguel. Seguridad Informtica. MP Ediciones. Argentina. 1997. Pgina 22.
CALVO, Rafael Fernndez. Glosario Bsico InglsEspaol para usuarios de Internet. 19942000.
ARDITA, Julio Csar. Director de Cybsec S.A. Security System y exHacker. Entrevista personal
realizada el da 15 de enero de 2001 en instalaciones de Cybsec S.A.
HOWARD, John D. Thesis: An Analysis of security on the Internet 19891995. Carnegie Institute of
Technology. Carnegie Mellon University. 1995. EE.UU. Captulo 6Pgina 59.
127
http://www.aig.com
http://seguridad.internet2.ulsa.mx
http://www.seguridadcorporativa.org
http://www.ati.es/novatica/2000/145
http://www.cybsec.com
http://www.cert.org
http://www.wikipedia.org
http://www.pc-news.com
http://www.csi.map.es/csi/pg5m20.htm
http://csrc.nist.gov/publications/nistpubs/index.html
http://www.shellsec.net/articulo/iso-27001/
http://www.27001-online.com/
http://www.eeye.com/html/resources/whitepapers/index.html
http:// www.nexusasesores.com
http://www.microsoft.com/technet/security
128
Glosario
Ataque: Intento de traspasar un control de seguridad de un sistema.
Clave, Contrasea (Password): palabra o frase que permite acceder a un sistema, encriptar un
dato, determinar privilegios de usuarios, etc.
Clave Pblica: En un Sistema Asimtrico de Cifrado es la clave que todos conocen para Cifrar o
descifrar un mensaje.
Clave Privada: En un Sistema Asimtrico de Cifrado es la clave que solo el emisor del mensaje
conocen para cifrar o descifrar un mensaje.
Cracker: Persona que quita la proteccin a programas con sistemas anti copia. Hacker maligno,
que se dedica a destruir informacin.
Criptografa: Ciencia que consiste en transformar un mensaje inteligible en otro que no lo es,
mediante la utilizacin de claves, que solo el emisor y receptor conocen.
Deteccin de Intrusos: Sistemas que agrupa un conjunto de tcnicas cuyo propsito es detectar
las intrusiones en una computadora o un sistema.
ID: Identificacin.
Ingeniera Social: Arte de convencer a la gente para que realice actos que pueden comprometer
un sistema. Obtencin de informacin por medios ajenos a la informtica.
Internet: Sistema de redes de computacin ligadas entre si, con alcance mundial, que facilita
servicios de comunicacin de datos como registro remoto, transferencia de archivos, correo
electrnico y grupos de noticias.
Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso de
hardware o software.
Pirata Informtico: Persona que copia software, con derecho de autor, ilegalmente sin que medie
el permiso expreso del desarrollador. No confundir con el trmino Hacker o Cracker.
Red: Conjunto de computadoras, impresoras, Routers, Switches, y otros dispositivos, que pueden
comunicarse entre s por algn medio de transmisin.
Sistema Asimtrico de Cifrado: Sistema mediante el cual se emplea una doble Clave kp (privada) y
KP (Pblica). Una de ellas es utilizada para Cifrar y la otra para descifrar. El emisor conoce una y
el receptor la otra. Cada clave no puede obtenerse a partir de la otra.
Sistema Simtrico de Cifrado: Sistema mediante el cual se emplea la misma Clave para Cifrar y
descifrar. El emisor y receptor deben conocerlas.
Virus: Programa de actuar subrepticio para el usuario; cuyo cdigo incluye informacin suficiente y
necesaria para que, utilizando los mecanismos de ejecucin que le ofrecen otros programas,
puedan reproducirse y ser susceptibles de mutar; resultando de dicho proceso la modificacin,
alteracin y/o dao de los programas, informacin y/o hardware afectados.
Vulnerabilidad: Debilidades del sistema que pueden ser explotadas y empleadas, por alguna
amenaza, para comprometerlo. Hardware, firmware o Software que contiene Bugs que permiten
su explotacin potencial.
130