Manual Del Instructor SegInf

Manual del INSTRUCTOR en
SEGURIDAD de la INFORMACIÓN
Versión 1.0 – Noviembre 2007
“Gran parte del proceso de construcción del conocimiento en las organizaciones

tiene que ver con ayudar a la gente a saber lo que sabe,
tanto para que pueda transferirlo como para que pueda cuestionarlo”.
E. Gore y M. Vázquez Mazzini: Una introducción a la formación en el trabajo.
Buenos Aires, FCE, 2004, página 172.
Manual del Instructor en Seguridad de la Información
INDICE
LICENCIA DE USO ___________________________________________________ 3

PARTE A – ASPECTOS GENERALES____________________________________ 3
PRESENTACION _________________________________________________________ 3
DESCRIPCIÓN DE LA PROPUESTA ________________________________________ 3
FUNDAMENTACIÓN _____________________________________________________ 3
CONTRIBUCIÓN ESPERADA ______________________________________________ 3
DESTINATARIOS ________________________________________________________ 3
OBJETIVOS Y CONTENIDOS______________________________________________ 3
Objetivos Generales del Manual ____________________________________________________3
Objetivos Particulares del Manual ___________________________________________________3
Objetivos y Contenidos Pedagógicos_________________________________________________3
DESCRIPCIÓN DE LA MODALIDAD _______________________________________ 3
ESTRATEGIAS METODOLÓGICAS Y RECURSOS DIDÁCTICOS _____________ 3
Elementos Requeridos para el Dictado _______________________________________________3
EVALUACIÓN DE LOS APRENDIZAJES ____________________________________ 3
MODALIDADES DE DESARROLLO ________________________________________ 3
PROGRAMA EXTENDIDO_________________________________________________ 3
Reunión 1 – Fundamentos de la Seguridad de la Información______________________________3
Reunión 2 – Seguridad de la Información en las Tareas Cotidianas _________________________3
Reunión 3 – Amenazas y Herramientas de Seguridad ____________________________________3
PROGRAMA REDUCIDO__________________________________________________ 3
Reunión Única - Fundamentos de la Seguridad de la Información __________________________3
ESTRUCTURA DE LAS REUNIONES _______________________________________ 3
Objetivos ______________________________________________________________________3
Contenidos _____________________________________________________________________3
Actividades ____________________________________________________________________3
Duración de cada reunión _________________________________________________________3
Cantidad de participantes por curso __________________________________________________3
Guías para la exposición __________________________________________________________3
PARTE B – ASPECTOS PEDAGÓGICOS _________________________________ 3
REUNIÓN 1 ______________________________________________________________ 3
Instrumentos para la evaluación de la actividad_________________________________________3
Desarrollo de la propuesta _________________________________________________________3
Preguntas para reflexionar sobre mi tarea como instructor ________________________________3
Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos_______________3
Bibliografía consultada ___________________________________________________________3
REUNIÓN 2 ______________________________________________________________ 3
La exposición oral _______________________________________________________________3
Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos_______________3
REUNIÓN 3 ______________________________________________________________ 3
Evaluación en capacitación laboral __________________________________________________3
Bibliografía sugerida _____________________________________________________________3
PARTE C – CONTENIDOS TÉCNICOS___________________________________ 3
REUNIÓN 1 – FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN ___ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
SGP – INAP – ONTI – ArCERT Página: 2 de 86

Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
Bibliografía de referencia _________________________________________________________3
REUNIÓN 2 – SEGURIDAD DE LA INFORMACIÓN EN LAS TAREAS
COTIDIANAS ____________________________________________________________ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
REUNIÓN 3 – AMENAZAS Y HERRAMIENTAS DE SEGURIDAD ______________ 3
Contenidos _____________________________________________________________________3
Apertura _______________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre y evaluación de la actividad __________________________________________________3
PROGRAMA REDUCIDO__________________________________________________ 3
REUNIÓN ÚNICA – FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIÓN __________________________________________________________ 3
Contenidos _____________________________________________________________________3
Desarrollo _____________________________________________________________________3
Cierre _________________________________________________________________________3
PARTE D – PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN ___________ 3
CÓMO COMPLETAR EL INSTRUMENTO “COMPONENTES PARA LA
PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN” ________________________ 3
BIBLIOGRAFÍA __________________________________________________________ 3
PARTE E – BIBLIOGRAFÍA____________________________________________ 3
BIBLIOGRAFÍA PARA LOS CONTENIDOS INFORMÁTICOS _________________ 3
BIBLIOGRAFÍA PARA LOS CONTENIDOS PEDAGÓGICOS __________________ 3

LICENCIA DE USO
El presente Manual se distribuirá con la siguiente licencia:
1. OBJETO DE LA LICENCIA. El LICENCIANTE confiere al LICENCIATARIO una licencia que

permite la utilización del “Manual del Instructor en Seguridad de la Información” a
título gratuito y por tiempo indeterminado, destinado a facilitar la transmisión
de conceptos esenciales en materia de seguridad de la información con arreglo
a las condiciones que siguen a continuación.
2. DERECHOS DEL LICENCIATARIO. El LICENCIANTE faculta al LICENCIATARIO en forma no
exclusiva a realizar los siguientes actos:
a. Usar, copiar, modificar y distribuir el “Manual del Instructor en Seguridad de la
Información”.
b. Hacer obras derivadas del “Manual del Instructor en Seguridad de la
Información”.
3. OBLIGACIONES DEL LICENCIATARIO. Los derechos mencionados en la cláusula 2º se

otorgan bajo las siguientes condiciones:
a. Mencionar en todo momento, inclusive en los trabajos derivados, que la obra es de
titularidad de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE
GABINETE DE MINISTROS y que la misma ha sido desarrollada por el personal de
ArCERT de la OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN y del
INSTITUTO NACIONAL DE LA ADMINISTRACIÓN PÚBLICA.
b. No usar, copiar, distribuir o realizar cualquier acto con el “Manual del Instructor en
Seguridad de la Información” con fines comerciales.
c. Distribuir las eventuales obras derivadas del “Manual del Instructor en Seguridad de la
Información” con una licencia idéntica a la presente e informando a los nuevos
usuarios que se trata de una obra derivada.
d. Notificar a los eventuales nuevos usuarios los términos y condiciones de esta licencia
al momento de ejercer cualquiera de los derechos conferidos en la cláusula 2º.
e. No borrar, alterar u ocultar las indicaciones de Copyright existentes en el “Manual del
Instructor en Seguridad de la Información”.
El incumplimiento de las condiciones estipuladas extinguirá automáticamente los derechos
surgidos de esta licencia.
4. ACTOS VEDADOS AL LICENCIATARIO. El LICENCIANTE se reserva todas las facultades

autorales no licenciadas explícitamente.
5. FORMA DE ACEPTACIÓN. Está legalmente prohibido usar, copiar, modificar o
distribuir la obra a menos que se acepten los términos y condiciones de la
presente licencia. Por lo anterior, del acto de usar, copiar, modificar o distribuir
la obra se presume la aceptación de los términos y condiciones de la presente
licencia.

PARTE A – ASPECTOS GENERALES
PRESENTACION
Estimado/a colega:
Usted está recibiendo un material elaborado con el propósito de ayudarlo/a a implementar una
propuesta de capacitación en seguridad de la información.
Las organizaciones dependen cada vez más del procesamiento de su información, y por otra
parte, el Estado viene desarrollando desde hace tiempo iniciativas sobre Gobierno Electrónico y
sobre Seguridad de los Sistemas de Información.
Sobre este último punto, la Jefatura de Gabinete de Ministros ha requerido, a través de la
Decisión Administrativa Nº 669/2004, la redacción de políticas de seguridad de la información en
los organismos de la Administración Pública Nacional. Estas incluyen un capítulo de seguridad
del personal, donde se establece la necesidad de capacitar a todo el personal sobre cuestiones
vinculadas con la seguridad de la información, el uso correcto de la información que se
administra, etc.
A los fines de sensibilizar sobre la importancia de la seguridad de la información y de difundir
herramientas que contribuyan a instalar buenas prácticas al respecto, hemos tomado la
estrategia de la formación de instructores: es decir, formar a usuarios avanzados en los
organismos que puedan replicar actividades de sensibilización y capacitación en esta temática.
El material fue elaborado conjuntamente por dos Oficinas de la Subsecretaría de la Gestión
Pública:
la Oficina Nacional de Tecnología de la Información (ONTI), con la participación
del equipo de Coordinación de Emergencias en Redes Teleinformáticas
(ArCERT), unidad que entiende sobre la problemática de la seguridad en los Organismos
de la Administración Pública Nacional y
el Instituto Nacional de la Administración Pública (INAP) que es el organismo
especializado en temas de capacitación en el sector público, con la participación del
equipo de la Dirección del Sistema Nacional de Capacitación.
En el marco de la estrategia de formación de instructores, le proponemos este Manual porque

entendemos que:
facilita la sistematización del trabajo de formación de instructores;
ofrece al futuro instructor un conjunto de estrategias para planificar e implementar su
práctica de capacitación;
promueve en el futuro instructor un sentimiento de mayor seguridad al ofrecerle los
elementos necesarios para desarrollar su actividad.
Son propósitos de este Manual que usted logre:

fortalecer sus conocimientos de herramientas de seguridad de la información,
valorar la importancia de socializar conocimientos sobre seguridad de la información,
aplicar herramientas teóricas y prácticas para diseñar e implementar actividades de
capacitación en temas de seguridad de la información.
Finalmente, este Manual del Instructor es el resultado de la experiencia del ArCERT en la

temática de seguridad de la información, del INAP en materia de formación de formadores y del
trabajo compartido que el INAP y la ONTI vienen desarrollando.

DESCRIPCIÓN DE LA PROPUESTA
Nuestra propuesta lo invita a transitar por contenidos informáticos y pedagógicos que hemos
seleccionado en función de su relevancia para el desarrollo de las competencias propias del
instructor en seguridad de la información. Este recorrido va a estar acompañado de:
desarrollo de contenidos informáticos,
sugerencias para el instructor,
actividades y recursos para la enseñanza,
actividades de reflexión sobre la tarea del instructor,
lecturas sugeridas para ampliar el conocimiento de los contenidos informáticos y
lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos.
A continuación hemos incorporado el programa que desplegaremos, en el cual están separados

los temas de informática (que usted deberá enseñar en su actividad de capacitación) de los
temas pedagógicos; esta separación responde fundamentalmente a criterios organizativos ya que
ambos tipos de contenidos serán abordados conjuntamente a lo largo del Manual.
El Manual contempla el dictado en dos formatos: uno breve, con fines de concientización, con
una duración estimada de 4 horas y uno más amplio, destinado a la capacitación en seguridad
informática, a dictarse en tres medias jornadas.
FUNDAMENTACIÓN
El uso intensivo de las herramientas informáticas es una realidad actual en todas las
organizaciones. Ello trae aparejado innumerables beneficios, pero también surgen nuevas
problemáticas como la aparición de fallas de seguridad informática, algunas relacionadas con
aspectos técnicos y otras con cuestiones humanas, operativas, etc. De esta nueva realidad
surgen riesgos que deben ser mitigados.
Existe entonces la necesidad de preservar la seguridad de la información, es decir, su
disponibilidad, confidencialidad e integridad.
A todo esto, no se deben dejar de lado las normas establecidas, muchas de las cuales comienzan
a incorporar temas del área informática.
Por otra parte, el avance de las iniciativas de Gobierno Electrónico, hace que los organismos del
Estado estén inmersos en planes de apertura de sus sistemas hacia la comunidad.
Los puntos anteriores refieren a un estado de situación en materia de seguridad informática que
exige que los usuarios de diferentes herramientas conozcan y utilicen principios y normas que les
permitan evitar o saber manejarse frente a los incidentes de seguridad más frecuentes.
CONTRIBUCIÓN ESPERADA
A través de una actividad de formación de instructores en seguridad de la información, se
espera que los organismos cuenten con personal competente para difundir y capacitar a distintos
usuarios de informática, en materia de normas y buenas prácticas en seguridad de la
información.
Asimismo, se espera que en los organismos se observe un aumento de la eficacia en el uso de las
herramientas informáticas y disminuyan las situaciones que se originan en prácticas que no
responden a los principios de la seguridad informática.

DESTINATARIOS
El presente Manual fue desarrollado como una herramienta para el personal de la Administración
Pública a quien se le asigne la tarea de dictar un taller en seguridad de la información para los
usuarios de su organismo, pudiendo asimismo ser utilizado por otras organizaciones que lo
consideren de interés.
Perfil requerido para la postulación:

Los siguientes puntos refieren al uso de este Manual por parte del personal de Organismos
Públicos.
Formación
Acreditar capacitación o formación en temas relacionados con la docencia o en la
conducción de equipos de trabajo, de liderazgo, de manejo de las relaciones
interpersonales.
Experiencia laboral
Desempeñarse como agente del organismo en el cual será instructor.
Acreditar experiencia en la conducción/coordinación de equipos o áreas de
trabajo en el sector público (no excluyente).
En relación con la docencia: experiencia en capacitación y/o educación de
adultos, especialmente en educación no formal (no excluyente).
Acreditar experiencia como usuario avanzado de sistemas informáticos,
particularmente en:
• Manejo avanzado de Sistemas Operativos (Windows, Linux, etc.) y

herramientas de Oficina.
• Experiencia avanzada en el uso de Internet.
Características personales
Comprobada capacidad de escucha y de diálogo.
Actitud reflexiva frente a los problemas de la práctica laboral.
Disposición a compartir conocimientos.
Compromiso con el propio aprendizaje y con el de los demás.
Del curso que dictará el instructor utilizando el Manual

Todos los usuarios del organismo de pertenencia que hacen uso de la herramienta
informática.
OBJETIVOS Y CONTENIDOS
Dada la naturaleza de esta propuesta, los contenidos a desarrollar incluyen: saberes informáticos
y saberes pedagógicos.
Los contenidos informáticos se organizan en reuniones y las estrategias utilizadas para la
enseñanza de estos contenidos, se constituyen en contenidos pedagógicos, así como las lecturas
sugeridas.

Objetivos Generales del Manual

Que los participantes:
se apropien de conocimientos de seguridad de la información para replicar en sus
organismos de pertenencia a través de la capacitación de usuarios;
adquieran herramientas pedagógicas que les permitan transferir conocimientos de
seguridad en el campo del tratamiento de la información;
fortalezcan su compromiso y vean facilitada la tarea de capacitación y/o concientización
en su organismo.
Objetivos Particulares del Manual
Fundamentos de la Seguridad de la Información

Objetivos
Que los participantes logren:
Conocer las amenazas que atentan contra la seguridad de la información.
Comprender la necesidad de implementar medidas de seguridad.
Comprender los conceptos de disponibilidad, confidencialidad e integridad.
Comprender el concepto de incidente de seguridad.
Comprender la importancia y la función de una política de seguridad de la información en
toda organización.
Conocer el marco legal vigente en relación con las Tecnologías de la Información y las
Comunicaciones (TIC).
Seguridad de la Información en las Tareas Cotidianas

Objetivos
Conocer las buenas prácticas para el uso seguro de la tecnología.
Desarrollar una actitud favorable para la aplicación de dichas prácticas.
Comprender los recaudos a tomar para garantizar el uso efectivo de claves de acceso.
Adquirir técnicas para prevenir el acceso de terceros a información confidencial.
Reconocer situaciones donde se violan medidas de seguridad a través de técnicas de
ingeniería social.
Entender la problemática del código malicioso.
Comprender las amenazas que acarrean los sistemas de mensajería instantánea y las
redes P2P.
Amenazas y Herramientas de Seguridad

Objetivos
Aplicar normas de seguridad en el intercambio de mensajes de correo electrónico.
Conocer la firma digital como herramienta para asegurar la información.
Comprender la necesidad de detectar y reportar incidentes.

Objetivos y Contenidos Pedagógicos
Objetivos
Ubicar la actividad de capacitación en el marco de las necesidades de capacitación en el
organismo.
Compartir experiencias de la práctica como instructores y reflexionar sobre la estrategia
utilizada para la enseñanza de contenidos informáticos.
Caracterizar al adulto en situación de aprendizaje en el ámbito laboral.
Valorar la importancia del diseño como una herramienta para guiar la implementación de
actividades de capacitación en seguridad de la información.
Intercambiar las experiencias y apreciaciones sobre la elaboración del propio diseño.
Reconocer los momentos de un encuentro de capacitación, apertura, desarrollo y cierre y
seleccionar estrategias adecuadas a los mismos.
Comprender las funciones de la evaluación.
Conocer las técnicas apropiadas para la evaluación de actividades de capacitación en
seguridad de la información.
Contenidos
La capacitación como una herramienta para atender necesidades de gestión:
fundamentación y contribución esperada.
El diseño como herramienta que orienta la acción formativa en diferentes dimensiones:
personal, institucional, interpersonal, didáctica y ética.
Las Técnicas y recursos para la presentación de contenidos informáticos: presentaciones,
exposición dialogada, situación problemática, análisis de casos, demostración. Para qué,
cuándo, cómo y dónde utilizarlas.
El uso de la evaluación para comprender, para reflexionar y para mejorar.
Las técnicas de evaluación en actividades de capacitación en informática: resolución de
casos; análisis de situaciones problemáticas; pruebas de ejecución; otras.
DESCRIPCIÓN DE LA MODALIDAD
Modalidad no presencial. Se entrega este material a los participantes con desarrollo de
contenidos informáticos y pedagógicos y con propuesta de actividades para el diseño y la
implementación de una actividad de capacitación en seguridad de la información en sus
organismos de pertenencia.
ESTRATEGIAS METODOLÓGICAS Y RECURSOS DIDÁCTICOS

Las estrategias metodológicas se derivan de la modalidad no presencial. Se espera que los
participantes lean los materiales, resuelvan las actividades que figuran en el mismo,
completen el instrumento para diseñar actividades de capacitación de acuerdo con la
modalidad de desarrollo elegida (actividad de capacitación o actividad de sensibilización)
Se entregará a cada participante un material con el desarrollo de contenidos informáticos y
pedagógicos y propuestas detalladas para implementar actividades de sensibilización o
capacitación en seguridad de la información en los organismos de pertenencia de los
participantes.

Los recursos a utilizar incluyen básicamente presentaciones, casos de estudio, actividades de

reflexión y de evaluación; recomendaciones para el instructor y lecturas y sugerencias de
bibliografía para ampliar conocimientos pedagógicos.
Elementos Requeridos para el Dictado

PC con visualizador de archivos PPT (Ms PowerPoint) y PDF instalado.
Proyector para PC.
Pizarra o rotafolios y marcadores.
Material del curso impreso según clase.
Pantalla para proyección (preferentemente).
Aula con instalaciones que permitan el trabajo en grupo.
EVALUACIÓN DE LOS APRENDIZAJES

Evaluación de contenidos informáticos. Se realizarán auto evaluaciones:
de proceso, a través de las actividades planteadas en el material y
de producto, a través de la realización de un trabajo práctico final de integración,
también planteado en el material.
Evaluación de los contenidos pedagógicos. Se realizarán auto evaluaciones:

de proceso, a través de responder a las preguntas formuladas en el material en
relación con los contenidos pedagógicos y
de producto, a través de la elaboración del diseño, sobre la base del presente Manual,
de una actividad breve (de sensibilización) y/o extendida (de capacitación) en el tema
de seguridad de la información.
IMPORTANTE: En el caso de los/as agentes instructores que se desempeñen en

organismos comprendidos en el Sistema Nacional de Capacitación:
Para la evaluación final de aprobación del taller no presencial,

el diseño elaborado deberá responder a las pautas del
instrumento “Componentes para la presentación de diseños de
capacitación” y deberá ser acreditado por INAP.
MODALIDADES DE DESARROLLO
Este Manual le presenta dos opciones para desarrollar actividades de capacitación en seguridad
de la información según dos propósitos diferenciados:
a) Promover el conocimiento y utilización de herramientas de seguridad de la información
en las distintas áreas del organismo,
b) Sensibilizar sobre la importancia de tomar precauciones tendientes a preservar la

¿En qué casos usted implementaría actividades tendientes al logro de objetivos de

conocimiento y utilización de herramientas de seguridad de la información?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
¿En qué casos usted implementaría actividades tendientes al logro de objetivos de

sensibilización en temas de seguridad de la información?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
Ahora, le ofrecemos en el siguiente cuadro las situaciones o casos que identificamos nosotros.
Establezca propósitos para promover el Establezca propósitos para sensibilizar sobre

conocimiento y utilización de herramientas de temas de Seguridad de la Información cuando:
Seguridad de la Información cuando:
Hay disponibilidad de tiempo (12 a 15 Hay baja disponibilidad de tiempo.
horas) y la organización plantea el objetivo de El público es muy numeroso y el tiempo
instalar la cultura de la Seguridad Informática. disponible para el instructor es breve (3 ó
Es posible armar grupos de hasta 30 4 horas).
personas. La organización plantea una actividad
El organismo está comprometido con la inicial, masiva, a partir de la cual instalar la
adquisición y aplicación eficaz de herramientas preocupación de la SI.
de SI. Los destinatarios de la actividad son
directivos del organismo que tienen la
_________________________________ responsabilidad de generar compromiso
con la SI en las áreas que conducen.
_________________________________ _________________________________
_________________________________ _________________________________
_________________________________ _________________________________
Agregue en las líneas vacías de las columnas anteriores aquellos casos o situaciones que escribió
anteriormente y que no están contempladas en las ya enunciadas.
¿Cuáles son los propósitos para su actividad de capacitación? ¿Sensibilización? ¿Difusión

de herramientas? Anótelas [Estas preguntas están destinadas a promover un espacio de reflexión para
el instructor, para que piense acerca de la tarea que va a desarrollar y determine sus objetivos.]
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

Ahora le ofrecemos un esquema de dos recorridos posibles según los propósitos identificados.
Propósitos de promover el
conocimiento y utilización de
herramientas de seguridad de
PROGRAMA EXTENDIDO
la información Pág. 13
Propósitos de sensibilizar sobre

la importancia de tomar PROGRAMA REDUCIDO
precauciones tendientes a Pág. 14
preservar la seguridad de la
información.

PROGRAMA EXTENDIDO
Reunión 1 – Fundamentos de la Seguridad de la Información
Objetivos
Comprender la necesidad de implementar seguridad.
Comprender los conceptos de disponibilidad, confidencialidad e integridad.
Comprender el concepto de incidente de seguridad.
Comprender la importancia y la función de una Política de Seguridad de la
Información en toda organización.
Conocer el marco legal vigente en relación con las TIC.
Contenidos
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Políticas de Seguridad de la Información
Normas vigentes
Reunión 2 – Seguridad de la Información en las Tareas

Cotidianas
Objetivos
Conocer las buenas prácticas para el uso seguro de la tecnología.
Comprender los recaudos a tomar para garantizar el uso efectivo de claves de
acceso.
Adquirir técnicas para prevenir el acceso de terceros a información confidencial.
Reconocer situaciones donde se violan medidas de seguridad a través de técnicas
de ingeniería social.
Entender la problemática del código malicioso.
Comprender las amenazas que acarrean los sistemas de mensajería instantánea y
las redes P2P.

Contenidos
Mecanismos de control de acceso a los sistemas de información
Administración de claves de acceso
Política de pantalla y de escritorios limpios
Ingeniería Social
Código Malicioso
Amenazas en la navegación por Internet
Mensajería Instantánea y Redes P2P
Reunión 3 – Amenazas y Herramientas de Seguridad
Objetivos
Aplicar normas de seguridad en el intercambio de mensajes de correo electrónico.
Comprender la necesidad de detectar y reportar incidentes.
Contenidos
Uso seguro del correo electrónico
Firma Digital: funcionamiento y beneficios
Reporte de incidentes de seguridad
PROGRAMA REDUCIDO
Reunión Única - Fundamentos de la Seguridad de la

Información
Objetivos
Comprender la necesidad de implementar seguridad.
Comprender la importancia y la función de una Política de Seguridad de la
Información en toda organización.
Conocer las buenas prácticas para el uso seguro de la tecnología (correo
electrónico, Internet, etc.).
Comprender la necesidad de detectar y reportar incidentes informáticos.

Contenidos
Confidencialidad
Integridad
Disponibilidad
Normas vigentes
Ingeniería Social
Código Malicioso
ESTRUCTURA DE LAS REUNIONES

Le ofrecemos una propuesta de doce horas de duración, para el programa extendido, con una
distribución de tres reuniones de cuatro horas cada una, preferentemente con una frecuencia
de una vez por semana. En el caso del programa reducido, se propone una sola reunión de
cuatro horas de duración.
Se trata de una planificación con objetivos, contenidos y actividades para cada una de las
reuniones.
Objetivos
Son los logros de aprendizaje que se esperan obtener de los participantes.
Contenidos
Son los temas correspondientes a cada reunión.
Actividades
Comprenden actividades a realizar por el instructor y actividades grupales propuestas para
los participantes.
Cada reunión se organiza en tres momentos: apertura, desarrollo y cierre. Usted
encontrará actividades específicas para cada uno.
Apertura
Actividades que deberá desarrollar el instructor al inicio de la reunión. Puede tratarse de la
presentación del curso, de la presentación de las actividades del día, de la recuperación de
temas de reuniones anteriores, etc.
Desarrollo

Guía para el desarrollo de la clase. Incluye descripción y contenido de las actividades, de

las presentaciones y los ejercicios prácticos. Muchos de los puntos incluirán referencias
para ampliar la información de ciertos temas.
Cierre
Actividades del cierre de la reunión, reflexiones sobre lo visto hasta allí, encuestas y
espacio de preguntas de los participantes.
Duración de cada reunión

Para cada diapositiva y actividad, se sugieren tiempos estimados de duración. Estas
estimaciones deben tomarse como sugerencias, recomendándose su ajuste en función de
la cantidad y las características de los participantes.
Cantidad de participantes por curso

Para el Programa extendido, se sugieren grupos de entre 20 y 30 personas. Para el
reducido, grupos de no más de 50 personas. Las estimaciones de tiempo para cada
actividad se basan en grupos de los tamaños referidos.
Guías para la exposición

Para cada diapositiva se sugiere un texto mínimo a presentar. A los fines de la exposición,
este texto deberá ser adaptado a la realidad del organismo y ampliado en base a la
bibliografía sugerida.
NOTA: En cada uno de estos segmentos, Ud. encontrará iconos que indicarán:
Desarrollo de contenidos con exposición dialogada (normalmente Diapositivas).
Actividad grupal (en plenario y en pequeños grupos).
Trabajo con documento de texto.
Recomendaciones/Sugerencias.

PARTE B – ASPECTOS PEDAGÓGICOS
REUNIÓN 1
En esta sección encontrará guías pedagógicas para la preparación y el dictado del curso, así
como lecturas sugeridas.
Instrumentos para la evaluación de la actividad

Encuesta para la evaluación de reacción, elaborada por INAP.
Después de haber leído el programa del taller no presencial y para que usted tenga una primera
aproximación a los contenidos, le presentamos el siguiente esquema conceptual: obsérvelo
atentamente y responda las preguntas que aparecen a continuación.
CONTEXTO INSTITUCIONAL
¿Qué reflexiones puede hacer acerca del esquema anterior? ¿Qué le interesa más en relación
con los contenidos del esquema? Escriba a continuación sus respuestas a estas preguntas.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________

Desarrollo de la propuesta
A lo largo del Manual, usted encontrará una secuencia de contenidos y actividades que deberá
replicar en la actividad de capacitación en seguridad de la información que realizará en su
organismo.
La tarea a emprender constituye un desafío importante para usted en relación con su rol en el
organismo y para éste, un aporte vinculado con las prácticas de preservación de la información.
Le proponemos algunas preguntas sobre estas cuestiones.
Piense acerca de ellas y escriba las respuestas debajo de cada una.
¿Por qué mi organismo necesita realizar esta capacitación en seguridad de la información?
¿Para qué se realiza? ¿Qué cambios pueden ocurrir a partir de la actividad de capacitación
en seguridad de la información?
¿Qué áreas de la organización se beneficiarán más con esta actividad de capacitación en

seguridad de la información?
¿Cómo me veo a mí mismo/a como instructor/a en temas de seguridad de la información?
¿Cuáles son mis expectativas en relación con la actividad y en relación con el desempeño
de mi rol de instructor?
Puede profundizar las reflexiones anteriores en “Preguntas para reflexionar sobre mi tarea como
instructor”.

Preguntas para reflexionar sobre mi tarea como instructor

Adaptado de: Fierro, C. y otras: Transformando la práctica docente. México, Paidós, 1999.
1. ¿Cómo llegué a ser instructor en seguridad de la información? ¿A través de qué recorridos

personales y profesionales? ¿Qué factores intervinieron para que me iniciara en este rol?
2. ¿A qué figuras de mi biografía educativa y de mi trayectoria profesional he recurrido como
modelos para construir este rol de instructor en seguridad de la información?
3. ¿De cuáles traté de apartarme?
4. ¿Qué características destaco en unos y en otros?
5. ¿Con qué experiencias se relacionan mis mejores momentos como instructor o como
docente?
6. ¿Qué lugar ocupa mi función de instructor en seguridad de la información en el conjunto
de mi actividad profesional? ¿Estoy conforme con ese lugar? ¿Deseo ampliarlo o reducirlo?
¿Por qué? ¿Qué debería hacer para darle ese lugar a mi rol de instructor?
7. ¿Qué aprecio más de mi trabajo como instructor en seguridad de la información?
Registre las reflexiones que promovieron las preguntas anteriores:

_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
____________________________________________________________________________

Lecturas sugeridas para ampliar el conocimiento de los

contenidos pedagógicos
La autorregulación del aprendizaje

Fuente: ROMERO, Claudia: “Los docentes, adultos que aprenden”. En: Novedades educativas,
Año 14, Nº 143, noviembre 2002, pág. 24.
Trabajos de investigación recogidos por Marcelo García (Formación del profesorado para el
cambio educativo: Barcelona, 1995), dedicados a estudiar las características del aprendizaje en
los adultos y en particular el desarrollo cognitivo de los profesores, identifican algunos factores
que caracterizan el aprendizaje adulto:
Los adultos se comprometen a aprender cuando las metas y objetivos se consideran
realistas e importantes y se perciben con utilidad inmediata.
Los adultos desean tener autonomía y ser el origen de su propio aprendizaje, quieren
implicarse en la selección de objetivos, contenidos, actividades y evaluación.
Los adultos se resisten a aprender en situaciones que son impuestas o creen que
ponen en cuestión su competencia.
Reconocer la importancia de la autorregulación del aprendizaje adulto implica

reconocer la responsabilidad del adulto sobre su propio aprendizaje y comprender el
requerimiento de autoeficacia que le imprime.
Reflexione sobre el curso de capacitación de instructores que está realizando y responda las
siguientes preguntas:
¿Qué metas u objetivos les propuse a los participantes para que se sientan
comprometidos con la seguridad de la información?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
¿Qué estoy haciendo para que los participantes perciban que en este taller no se están
cuestionando sus prácticas en el manejo de la información?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
El método de casos
¿En qué consiste?
Este método fue desarrollado por Christopher Langdell, de la Facultad de Derecho de la

Universidad de Harvard hacia fines del siglo XIX.
El caso consiste en el relato escrito con fines educativos, de una experiencia real o ficticia.

Se trata pues de hacer estudiar a un grupo, durante un número determinado de clases,

situaciones-problema concretas presentadas con sus detalles reales. El objetivo es provocar, a
partir del análisis de la situación, una toma de conciencia exacta y ajustada de la misma, una
conceptualización “experiencial” y finalmente, una búsqueda de soluciones eficaces, mediante la
discusión y el diálogo grupal.
¿Para qué se utiliza?
Su uso es recomendable en situaciones de aprendizaje dado que:

Posibilita la interacción entre todos los integrantes de un grupo y favorece el trabajo
en equipo, considerando y valorando los aportes de cada uno de los miembros.
Ayuda a comprender los problemas en su complejidad y múltiples interrelaciones.
Estimula la “flexibilidad mental”, ya que para la resolución de un caso nunca existe una
única alternativa.
Permite capitalizar al máximo las experiencias de los participantes a través de un
método de aprendizaje cooperativo y un proceso de reflexión crítica.
Presenta la posibilidad de identificar una serie de problemas representativos de una
profesión, otorgando a sus miembros legitimidad y familiaridad profesional.
Involucra personalmente al estudiante en el caso, de tal manera que su resolución lo
lance simultáneamente hacia la investigación activa.
Es útil para la formación en diagnóstico y toma de decisiones.
Procura combinar de manera eficiente la adquisición de conocimientos teóricos y el
desarrollo de una experiencia profesional útil.
¿Existen diferentes tipos de casos?
Sí, y es bueno que los conozca para poder elegir entre la variedad existente, cuál se ajusta
mejor a la madurez del grupo, a los conocimientos previos del mismo, a los contenidos a
trabajar, y a la finalidad que se desee alcanzar.
Caso Harvard: Este caso, el original, es extremo y complejo. Contiene abundante
información que permite enmarcar de modo adecuado el problema, obligando al
estudiante a sistematizar y vincular hechos, reconocer subproblemas y generar
soluciones.
El caso problema: Contiene información previamente seleccionada en función de un
propósito principal. Puede ser elaborado por el equipo instructor e interpretado sin
dificultad por los participantes.
El caso grabado: Supone la presentación oral del material sustituyendo la escritura
por la voz, dotando de características más reales a la interacción.
El caso presencial: Apunta al análisis de un problema real, ocurrido en alguna
institución concreta. La presentación del caso está a cargo de un integrante de la
organización en la que tuvo lugar el problema y que esté involucrado en la situación.
El caso episodio: Conocido también como proceso incidente, consiste en presentar en
forma breve un episodio extraído de una situación cotidiana de trabajo. Es así como a
través del trabajo tanto individual como grupal, el estudiante desarrolla su capacidad de
ordenar el razonamiento de forma lógica y progresiva de identificar qué información útil
se desconoce.

¿Qué supuestos subyacen a esta metodología?
Como Ud. sabe, toda metodología explícita o implícitamente supone concepciones previas sobre
el proceso de enseñar, aprender y sobre los contenidos a tratar.
El método de casos, en la medida que presenta a los participantes oportunidades para
incorporar componentes cognitivos y afectivos propios del ejercicio profesional para el que se
están formando, requiere del participante un rol a veces alternativo al vigente. Lo mismo
sucede con respecto al rol del instructor y a la interacción entre ambos.
Ahora bien, cabe entonces el siguiente interrogante: ¿Qué tipo de aprendizajes supone y
promueve el método de casos?
Es probable que a lo largo de su experiencia como instructor, Ud. se haya encontrado con
algunas dificultades a la hora de pedirle a los participantes que interpreten, analicen
críticamente o identifiquen los datos de una situación.
Seguramente la mayoría de dichos inconvenientes obedecen entre otras causas, a que los
participantes han tenido pocas oportunidades de participar durante su escolaridad en
situaciones de aprendizaje que significaran algo más que la memorización y la repetición de
información.
Es bueno prevenirlo --aunque seguramente Ud. ya lo ha notado-- que los participantes con
dificultades para interpretar, sintetizar, o reflexionar sobre una situación deberán sortear
mayores obstáculos a la hora de resolver un caso, simplemente porque no han sido entrenados
en este tipo de aprendizajes.
En el contexto de la resolución de casos, aprender no es solamente adquirir información. Para
que se produzcan verdaderos aprendizajes es necesario un proceso de comprensión que
permita relacionar el nuevo conocimiento con los anteriores, diferenciarlo, e incluirlo en
categorías conceptuales que el participante ya posea o crear las necesarias, si se trata de un
tema totalmente desconocido por él.
Desde esta perspectiva, el error y la duda son valorados como puntos de partida del
aprendizaje, disparadores de reflexión y de acción. No olvidemos que quien duda es porque se
pregunta y desde esa pregunta tiende a darse nuevas respuestas. En el método de casos, la
posibilidad de reexaminar las situaciones y la manera cómo se las encaró (a través del
intercambio con el instructor y los compañeros) contribuye a no sacar consecuencias erróneas
de la experiencia.
En general, como instructores, frente al error de nuestros participantes no vacilamos en darles
las respuestas que consideramos correctas. Es importante aclarar que para trabajar con casos
el profesor deberá “armarse de paciencia” y esperar el momento oportuno para corregir lo
que considera desacertado. No se trata de “todo vale”, pero habrá que estar atentos, pues una
información dada por el instructor fuera de tiempo, puede apresurar la resolución del caso de
modo tal que quien termine por resolverlo sea en definitiva el profesor y no el estudiante.
¿Cuál es el papel del instructor y del participante al trabajar con esta

metodología?
El método de casos supone un participante activo, interesado, capaz de plantearse

interrogantes y con deseos de aprender.
Dado que es muy probable que, como ya dijimos, los participantes no estén entrenados en el
uso de esta metodología, es esperable que cuando Ud. presente un caso por primera vez la
reacción de los estudiantes sea de indiferencia o de resistencia, al descubrir que ellos se
convierten en el eje de su propio proceso de aprender.
Para trabajar con el método de casos es necesario que el participante cuente con ciertas
habilidades cognitivas tales como comparar, clasificar, identificar conceptos clave, enumerar
ejemplos, analizar supuestos, etc. El participante debe ser capaz de percibir la situación total,

no confundir lo esencial con lo accesorio y accidental; comprender la estructura del problema y

tomar distancia para poder separar sus apreciaciones personales.
Esto constituye un verdadero desafío para el instructor que deberá ofrecer a los estudiantes
las condiciones necesarias para que se desencadenen y estimulen los procesos cognitivos
enunciados precedentemente. Tarea nada sencilla pero necesaria si deseamos que nuestros
participantes aprendan verdadera y significativamente.
A continuación le ofrecemos algunas sugerencias acerca de cómo favorecer estas tareas. Es
muy importante que los participantes realicen diferentes actividades con el material propuesto,
a saber:
Llevar a cabo una primera aproximación a través de una lectura global del caso.
Realizar una lectura comprensiva, pausada, para poder distinguir palabras claves en el
texto, es decir aquellas palabras o frases que constituyen partes esenciales del
material.
Organizar el material partiendo de dichas palabras claves, y realizar cuadros para
clasificar jerárquicamente la información. (redes conceptuales)
Una vez seguidos estos pasos preliminares, será más sencilla la identificación del problema en
cuestión, la búsqueda de alternativas y la elaboración de las soluciones pertinentes al caso.
Esta estrategia puede ser enseñada y guiada por el instructor, debido a que
difícilmente los participantes puedan adquirirla espontáneamente. Como ya
señaláramos, es probable que existan resistencias de los participantes para asumir
un rol más activo, especialmente en aquellos grupos acostumbrados a recibir clases
magistrales donde el conocimiento ya viene elaborado. Es necesario entonces,
buscar vías que permitan superar dichas resistencias, evitando así situaciones de
confusión o frustración que pueden darse cuando la actividad no es guiada y
orientada apropiadamente.
Si los participantes nunca han trabajado con este método, le recomendamos que
antes de analizar por primera vez un caso, dedique un tiempo considerable a la
realización de las siguientes tareas:
Graduar la complejidad de los casos, comenzando por un caso problema o episodio.
Definir en qué consiste un caso, cuáles son sus partes (qué es un problema, un dato,
un supuesto, etc.)
Recuerde que será siempre muy orientador para el participante explicitar
claramente los objetivos de la tarea a realizar, las estrategias que deben
ponerse en juego en la resolución del caso, los contenidos que se están
trabajando, la finalidad, los criterios con los que se evaluará, etc.
El método de casos requiere del participante no sólo el dominio de ciertas habilidades cognitivas
sino además que posea capacidad para escuchar, compartir puntos de vista y que pueda
valerse con criterio propio. Por tal motivo, consideramos que el trabajo en sugbrupos es
una instancia propicia para fomentar este tipo de actitudes. Aquí, la controversia no es
vista como “desorden” sino como el punto de partida de un conflicto conceptual que a través
del intercambio de opiniones y su debida fundamentación, puede ser resuelto y generar
cuestionamientos acerca de ideas y puntos de vista propios.
A continuación le brindamos una serie de Pautas que lo ayudarán a orientar
adecuadamente el trabajo en grupos:
En cuanto a la selección de los integrantes del grupo, puede organizarlos según su
parecer, dado que conoce a sus participantes y sabe cómo pueden responder. Se
puede proponer formar grupos heterogéneos según las actividades laborales de los
estudiantes, su nivel de conocimientos o bien darles libertad para que se agrupen por
afinidad.

Es muy importante evaluar conjuntamente con los participantes cómo funciona cada
subgrupo y analizar la posibilidad - en caso de ser necesario - de realizar rotaciones.
Es conveniente que los grupos se conformen con un número reducido de participantes
y proponer que asuman roles diversos según sus inclinaciones.
Es necesario explicitar claramente las tareas a realizar durante el trabajo en subgrupos,
y así mismo, el tiempo disponible para llevarlas a cabo.
Es esperable que el instructor asuma durante el trabajo grupal un rol de orientador del
trabajo de cada subgrupo.
Realizar una puesta en común registrando lo que cada subgrupo aporta.
Extraer conclusiones generales; analizar la información obtenida; decidir si es necesario
recurrir a fuentes bibliográficas para fundamentar las opiniones; confrontar conceptos
con hechos o datos, estableciendo una relación fluida entre teoría y práctica.
Evaluar la dinámica abordada en conjunto con todo el grupo.
Ahora bien, creemos oportuno hacer una breve aclaración: si bien es cierto que el trabajo en
grupos resulta sumamente apropiado para la resolución de casos, ello de ninguna manera
significa que no sean necesarios momentos de aprendizaje individual. Es el instructor el
indicado para decidir en qué situaciones conviene implementar una u otra modalidad.
Recomendamos incluir durante el proceso de aprendizaje, casos que los participantes deban
resolver individualmente.
Por lo visto hasta aquí, para llevar a cabo esta metodología es necesario tener en cuenta que
tanto el instructor como el participante intervienen activamente en la tarea. Ya no
son suficientes un instructor que sólo transmite información y participantes que la reciben
pasivamente. El objetivo primordial del profesor debe ser lograr que los participantes piensen,
constituyéndose en un facilitador de los aprendizajes de los participantes.
El instructor como experto puede tener una visión más acabada de la situación, su percepción
se extiende a aspectos menos visibles del problema, a elementos sobre los que aún los
estudiantes no disponen de información. El conocimiento anticipado del caso como su
experiencia, le dan elementos importantes para poder distinguir lo accesorio de lo esencial, y
comprender la estructura de significación del conjunto que examina.
Para concluir, transcribimos una afirmación de C. Coll (pedagogo español contemporáneo),
cuyo mensaje probablemente comparta con nosotros:
“Los métodos de enseñanza no son buenos o malos, adecuados o inadecuados en
términos absolutos, sino en función de que la ayuda pedagógica que ofrezcan esté
ajustada a las necesidades de los participantes....” (1990)
Las partes de un caso y los momentos en su desarrollo
Generalmente, en un caso se observan las siguientes partes: título, descripción de la situación y

consignas.
Como dijimos más arriba, es importante que los participantes descubran por sí mismos las
cuestiones más significativas del caso. Para promover un análisis rico y profundo del caso, es
recomendable seguir algunos pasos.
Se redacta el caso, preferentemente no demasiado extenso, con la información
necesaria para encontrar los elementos significativos en el análisis posterior. La
situación planteada puede ser tomada de la vida real o construida asociando material
impreso, experiencias y observaciones del instructor o de los participantes.
Se redactan los objetivos del caso o las especificaciones sobre lo que se espera de los
participantes.

Se redactan las consignas o las preguntas en relación con la situación descripta en el

caso.
Se lee el caso en forma individual o en pequeños grupos. Para esto es necesario
entregar un ejemplar del caso a cada participante.
Se analiza el caso en forma individual o en grupos, tomando en cuenta los objetivos,
las especificaciones y las consignas formuladas.
Se hace la puesta en común de las elaboraciones de los pequeños grupos. Se analizan
las diferentes respuestas y se elaboran conclusiones.
Se analiza el funcionamiento grupal.
Es conveniente que el instructor le indique a los grupos que:

busquen el problema respondiendo a preguntas tales como: qué, quién, cómo, cuándo,
dónde, por qué;
reúnan los hechos eliminando las conjeturas;
evalúen los hechos;
desarrollen posibles soluciones;
seleccionen la mejor solución y describan su aplicación
Bibliografía consultada
COLL, C. y otros: Desarrollo Psicofísico y Educación II. Madrid, Alianza, 1990.
CUELLAR : El método de casos en la preparación de profesores.
N.C.A.E.: El sistema de casos en la formación de administradores.
NOVAK Y GOWIN: Aprendiendo a pensar. Barcelona, Martinez Roca, 1989
PERRET CLERMONT: Interactuar y conocer. Madrid, Miño, 1988
POZO, J.: Teorías cognitivas del aprendizaje. Madrid, Morata, 1989.
RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formación de instructores. Mc Graw-
Hill, México, 1990, cap. 4.
NICKERSON y PERKINS: Enseñar a pensar. Barcelona, Paidós, 1987.

REUNIÓN 2
Revise la clase en que se utiliza el caso “Un día en la vida de Evaristo” y responda las siguientes
preguntas:
¿El caso “Un día en la vida de Evaristo” se encuadra en alguno de los tipos de casos que
presenta el artículo o reúne características de algunos de ellos? ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué ideas del artículo le resultan útiles para utilizar en la aplicación del caso “Un día en
la vida de Evaristo”?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿Qué otras preguntas agregaría para mejorar el análisis del caso “Un día en la vida de
Evaristo”?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
La exposición oral
Debido a que buena parte de las reuniones del curso de seguridad de la información que
debe dictar se desarrolla sobre la base de la exposición oral, le sugerimos la lectura de este
documento.
Definición
Consiste en una charla o presentación verbal dada por el instructor o expositor ante un
público. Su objetivo es que el conferencista transmita aspectos de sus conocimientos al
grupo, del cual se espera que los asimile y retenga.
Estructura
a) Comienzo o introducción
b) Centro o núcleo central
c) Conclusión

a) Comienzo
Conviene señalar:
Quién es usted (el conferencista)
Para qué está allí
Su autoridad (competencias, antecedentes) para dirigirse al grupo
Objetivos de la presentación
Estructura de la exposición
Definiciones técnicas (o explicitación de marcos conceptuales)
Antecedentes del tema
Justificación de la importancia del tema para los participantes
b) Centro o núcleo
Debe incluir:
Puntos clave analizados consecutivamente
Comparaciones entre diferentes enfoques del problema o tema de la exposición
Ejemplos o anécdotas personales que ilustren el tema
Planteo de preguntas
Síntesis parciales
Solicitud de comentarios a los asistentes (para evaluar el grado de asimilación
de los contenidos)
c) Conclusión
Se recomienda:
Hacer un repaso de la información presentada
Recalcar los principales mensajes o puntos del aprendizaje
Hacer una recapitulación vinculada al futuro o a la evolución de la problemática
tratada en el futuro
Formular aplicaciones posibles del tema a diversas áreas de actividad
Comparar los resultados con los objetivos planteados
Ventajas
Permite concentrar grandes cantidades de información en poco tiempo

Es una forma directa de enseñanza
Si el expositor está abierto y dispuesto, permite registrar el grado de comprensión y
atención con que los participantes siguen la exposición
Es aplicable tanto a grupos grandes como a grupos pequeños
Desventajas
La participación activa se reduce

El nivel de retención tiende a disminuir a medida que avanza la exposición
No permite atender las diferencias individuales
Utilizada en exceso, resulta aburrida

Recomendaciones para su aplicación
Establecer una comunicación abierta y franca para la creación de un clima de confianza

Combinarla con otras técnicas
Elaborar un guión de la exposición y pensar preguntas que se harán a los participantes
Hacer preguntas para chequear la comprensión a medida que se desarrolla la
exposición
Usar un lenguaje claro y adecuado a los participantes
Mantenerse en un lugar visible
Bibliografía
FOLLARI, Roberto; SOMS, Esteban: La práctica en la formación profesional. Bs. As.,

Humanitas, 1994.
LEIGH, David: Como entrenar un grupo eficiente. Bogotá, Legis, 1992.
O´CONNOR, Joseph; SEYMOUR, John: PNL para formadores. Barcelona, Urano, 1992.
Lecturas sugeridas para ampliar el conocimiento de los

contenidos pedagógicos
A continuación encontrará dos artículos: “Estrategias para formar grupos de aprendizaje” y

“Diez alternativas para elegir a los líderes de los grupos y designar otros roles”.
Se los ofrecemos con la finalidad de que conozca otras alternativas para armar grupos y para
hacerlos trabajar asignando roles específicos a algunos de los miembros. Esto enriquece la
propuesta del Manual en relación con la constitución de grupos para el análisis de los casos.
También le ofrecemos una selección de técnicas que puede utilizar en su estrategia
metodológica.
Estrategias para formar grupos de aprendizaje

Adaptado de: SILBERMAN, Mel: Aprendizaje activo. Editorial Troquel.
El trabajo con grupos pequeños es una parte significativa del aprendizaje activo. Es
importante formar grupos rápida y eficientemente y, al mismo tiempo, variar la composición
y, en ocasiones, el tamaño de los grupos en el transcurso de un encuentro de capacitación
de adultos. Las siguientes son alternativas interesantes para permitir que los participantes
elijan sus propios grupos o dividirlos en una cantidad de equipos designada por el instructor.
Tarjetas de agrupación
Determinar cuántos participantes hay en el aula y cuántas agrupaciones distintas se

desea hacer durante la sesión. Por ejemplo, en una grupo de veinte, una actividad
puede requerir cuatro subgrupos de cinco integrantes; otra, cinco grupos de cuatro;
una tercera, seis grupos de tres con dos observadores.
Nombrar los equipos usando puntos de colores (rojo, azul, verde y amarillo para cuatro
grupos), etiquetas decorativas (con temas distintos para cinco grupos, por ejemplo:
poetas, novelistas, cineastas, directores de cine y escultores) y un número (del 1 al 6
para seis grupos). Preparar una tarjeta para cada participante con un número, un color
y una etiqueta al azar, y distribuirlas entre los asistentes. Cuando haya que formar los
grupos, identificar el código empleado y pedir a los alumnos que se unan a sus

respectivos grupos en un lugar designado. De este modo se ahorra tiempo y se evitan

confusiones. Para que el proceso sea todavía más eficiente, se pueden colocar señales
indicando las distintas áreas de encuentro de los grupos.
Rompecabezas
Comprar rompecabezas o crear los propios con imágenes de revistas: se pegan sobre
un cartón y se cortan con la forma y el tamaño que se desee. El número de
rompecabezas debe coincidir con la cantidad de grupos que se quieran formar.
Separar los juegos, mezclar las piezas y entregar una pieza a cada participante. Cuando
haya que formar los grupos, pedir a los participantes que encuentren a los compañeros
con las piezas necesarias para completar un rompecabezas.
Encontrar amigos y familiares famosos y ficticios
Crear una lista de familiares y amigos famosos y ficticios, en grupos de tres o cuatro
(por ejemplo Bart, Lisa, Marge y Homero Simpson; Roxy, Panigassi, Jorge y Felicidad;
Diego Maradona, Claudia, Dalma y Yanina; Mafalda, Susanita, Manolito y Felipe;
Patoruzú, Ña Chacha, Upa y Patora). Escoger tantos personajes de ficción como
cursantes haya. Escribir los nombres ficticios en tarjetas, uno por cada una, para crear
una familia de tarjetas.
Cuando esté listo para formar los grupos, pida a los participantes que encuentren a los
otros miembros de su “familia”. Una vez que esté completo el grupo famoso, podrán
encontrar un lugar donde congregarse.
Etiquetas con nombres

Utilizar etiquetas con nombres de distintas formas y/o colores para designar los diferentes
grupos.
Cumpleaños
Pedir a los asistentes que se ordenen según sus fechas de cumpleaños y luego dividirlos en
la cantidad de grupos que se necesiten para una actividad en particular. Con grupos
numerosos, formar subgrupos según el mes de nacimiento. Por ejemplo, 60 alumnos
pueden repartirse en tres grupos de aproximadamente el mismo tamaño, formados por
nacidos en (1) enero, febrero, marzo y abril; (2) mayo, junio, julio y agosto; (3) septiembre,
octubre, noviembre y diciembre.
Naipes
Utilizar un mazo de naipes para designar a los grupos. Por ejemplo, con sotas, reinas, reyes
y ases se pueden formar cuatro grupos de cuatro integrantes. Mezclar los naipes y repartir
uno a cada participante. Luego, pedirles que ubiquen a los de su misma clase para formar
un grupo.
Extraer números
Determinar el número y el tamaño de los grupos que se deseen formar; colocar papeles con
números dentro de una caja, Los asistentes extraen un número que les indica el grupo al
cual pertenecen. Por ejemplo, si desea formar cuatro equipos de cuatro, tendrá que
preparar dieciséis papeles con números del 1 al 4.

Sabores
Distribuir golosinas de distintos sabores para indicar los grupos. Por ejemplo, los equipos
pueden ser: limón, uva, cereza y menta.
Material impreso
El material impreso que se reparte entre los participantes puede estar codificado con clips de
colores, folletos con distintas tonalidades o etiquetas pegadas sobre las carpetas. De ese
modo quedarán predeterminados los grupos.
Diez alternativas para elegir a los líderes de los grupos y designar

otros roles
Fuente: Silberman, Mel: Aprendizaje activo. Editorial Troquel.
Una manera de facilitar el aprendizaje activo en grupos pequeños es asignar roles a algunos
integrantes, por ejemplo: líder, facilitador, cronometrista, portavoz, observador del proceso
o administrador del material impreso. En ocasiones, sólo habrá que pedir voluntarios que
asuman estas responsabilidades, pero algunas veces es divertido y eficiente utilizar una
estrategia de selección creativa.
1. Designación por orden alfabético. Identificar los roles necesarios y designarlos

por orden alfabético según el nombre de pila. En un grupo que trabaja a largo plazo,
los roles pueden rotar siguiendo este orden.
2. Designación por fecha de cumpleaños. Distribuir los roles en orden cronológico.
3. Números de lotería. Pedir a los participantes que se numeren y que escriban su
número en un papel. Coloque los papeles en una bolsa de papel y elija a la persona
para cada rol.
4. Lotería de colores. Elegir un color para cada rol. La persona que vista algo con
cierto color es la designada para ese rol.
5. Prendas de vestir. Designar responsabilidades eligiendo las prendas
correspondientes, por ejemplo gafas, joyas de plata, un suéter o zapatos negros.
6. Votación. Pedir a los miembros del grupo que voten por la persona que ocupará el
rol. Un método popular es indicar a la gente que señale a la persona por quien vota.
El que es señalado por más participantes ocupa el cargo.
7. Designación al azar. Pedir a cada miembro que calcule y diga la suma de los
últimos cuatro dígitos de su número telefónico (por ejemplo, 9999 suma 36). Anunciar
un número del 1 al 36. La persona del grupo cuya suma se acerque más a ese
número será la que ocupe el puesto.
8. Aficionados a las mascotas. Asignar determinada tarea a la persona con mayor
cantidad de mascotas.
9. Tamaño de la familia. Asignar determinada tarea a la persona con más (o menos)
hermanos.
10. Premios. Antes del encuentro, colocar una etiqueta identificando a un miembro del
grupo. Éstas pueden adherirse a una identificación, a un asiento o escritorio, a un
folleto, etc. La persona que recibe la etiqueta es “premiada” con un puesto específico
en el grupo. Para premiar con varios cargos, utilice etiquetas de distintos colores.

A continuación le ofrecemos algunas técnicas que pueden resultar de su interés a la hora de

introducir innovaciones en las estrategias del taller.
Técnica Descripción Utilidad
MESA Un equipo de expertos que Cuando se desea dar a conocer puntos de

REDONDA sostienen puntos de vista vista divergentes o contradictorios sobre
divergentes sobre un mismo tema, un mismo tema.
exponen ante el grupo en forma
sucesiva.
PANEL Un equipo de expertos discute un Ídem al anterior.

tema en forma de diálogo o
(Tiene la ventaja de que al ser una
conversación ante un grupo.
conversación básicamente informal, ofrece
mayores posibilidades de mantener la
atención del auditorio).
DEBATE Un grupo reducido trata un tema en Cuando se desea promover el intercambio

DIRIGIDO O discusión informal con la ayuda y elaboración de ideas e información
DISCUSIÓN activa y estimulante de un sobre un tema pasible de diversos
GUIADA coordinador. enfoques e interpretaciones.
Promueve el intercambio de ideas e Cuando se desea desarrollar la capacidad
información sobre un tema, bajo la de análisis, comprensión de ideas y
conducción de una persona conceptos, o ciertas actitudes como la
(docente) que hace de guía e tolerancia.
interrogador.
Después de una conferencia, clase
magistral o exhibición de un material
audiovisual, para promover el intercambio
de ideas y la elaboración de la información
suministrada.
PEQUEÑO Un grupo reducido trata un tema o Ídem anterior.

GRUPO DE problema en discusión libre e
(La diferencia entre una y otra técnica radica
DISCUSIÓN informal, guiado por un coordinador.
en que la primera exige un coordinador que
El clima es informal, existiendo un
estimule y oriente la discusión sobre la base
mínimo de normas. El intercambio
de interrogantes previamente establecidos. En
de ideas sigue un cierto orden lógico
esta técnica, en cambio, el clima es más
y el coordinador ordena la discusión
informal y permisivo y el coordinador
y señala oportunamente el
solamente orienta al grupo en cuanto a su
cumplimiento de las normas que el
funcionamiento y plan de trabajo):
grupo hubiese establecido para
trabajar.
PHILLIPS 66 Un grupo grande se subdivide en Cuando se desea facilitar la confrontación

subgrupos de seis personas para de ideas o puntos de vista.
discutir durante seis minutos un
Cuando se desea obtener rápidamente
tema y llegar a una conclusión. De
opiniones elaboradas por subgrupos,
los informes de todos los subgrupos
acuerdos parciales, decisiones de
se extrae la conclusión general. (En
procedimientos, sugerencias de
sí misma no es una técnica de
actividades.
aprendizaje)

CUCHICHEO En un grupo, los miembros dialogan Para obtener conclusiones, compartir la

simultáneamente de a dos para impresión obtenida individualmente por
discutir un tema o problema del cada alumno, detectar intereses sobre un
momento. Todo el grupo trabaja tema, conocer la opinión de los miembros
simultáneamente sobre un mismo del grupo.
asunto. Se emplean pocos minutos
para resolver una pregunta
formulada al conjunto
PROCESO Un grupo analiza a fondo un Cuando se desea desarrollar la habilidad

INCIDENTE problema o incidente real, expuesto para la resolución de problemas de la vida
en forma muy escueta y objetiva. diaria o laboral y para la adopción de
buenas decisiones.
ROLE- Dos o más personas representan Cuando se desea trabajar sobre

PLAYING situaciones de la vida real (personal situaciones surgidas de la vida de relación
o laboral), asumiendo los roles del en los distintos espacios del ámbito
caso, con el objeto de que pueda ser laboral.
mejor comprendida y tratada por el
grupo.
La demostración
Mediante esta estrategia, el instructor desarrolla un tema, acompañando su explicación

verbal con la realización de movimientos, presentación de gráficos, manejo de equipos o
aparatos, empleo de medios audiovisuales diversos.
Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para
explicar principios científicos y el movimiento o relación de las piezas de una herramienta o
mecanismo.
Actualmente, con el desarrollo de la Informática, la demostración ha resultado una de las
estrategias más empleadas, fundamentalmente para la presentación de productos y para
mostrar contenidos de tipo procedimental.
La demostración habrá de completarse con la práctica del participante, a fin de que pueda
adquirir la destreza o habilidad implícita en el objetivo.
Algunas sugerencias para su realización

Es necesario que se planifique cuidadosamente. Es conveniente que la demostración
tenga dos momentos: uno en el que la tarea se realiza a velocidad normal y otro en el
que se realiza más lentamente para mostrar los aspectos más complejos de la
actividad. Al planificar, hay que cerciorarse de que se contará con los elementos
necesarios en el momento de realizar la demostración y que todos funcionarán
correctamente. Suele ser de ayuda “ensayar” antes de realizar la demostración; esto
permite anticipar problemas y ganar seguridad en el manejo de la técnica.
Un aspecto importante a tener en cuenta es el espacio disponible y la ubicación de los
materiales y de los asientos ya que es fundamental que todos los participantes tengan
una visión directa de la demostración.
Es importante comunicar los objetivos de la demostración y de la práctica posterior a
los participantes.
En la demostración, conviene considerar los siguientes pasos:
• explicar en forma general las actividades a realizar;

• realizar la actividad explicando brevemente cómo se realiza y los cuidados que se

requieren;
• reconstruir la actividad mediante una breve recapitulación de lo realizado.
La duración de la demostración no debe ser muy prolongada para no agotar la atención
de los participantes;
Durante la práctica de los participantes, es conveniente hacer correcciones y
retroalimentar sobre su desempeño;
Es recomendable combinar la técnica de la demostración con otras, tales como una
breve exposición oral o un intercambio de preguntas con los participantes. Algunas
preguntas a formular a los participantes pueden ser: ¿qué riesgos identifica en la
realización de esta actividad?; ¿cómo se siente realizando esta actividad?; ¿qué otras
cosas haría?; ¿qué considera que no debe hacerse?; ¿qué cuidados considera
importantes para la realización de la actividad?
FUENTE: “Estrategias metodológicas”. Separata de: RUBBO, Elsa; LEMOS, Elisa: Manual del
formador. Buenos Aires, INAP, DNC, 1995.
¿Qué ideas, prácticas, técnicas puede extraer de los documentos anteriores que le
sirvan para incorporar en su propio diseño?
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________

REUNIÓN 3
A continuación encontrará un texto sobre el tema de la evaluación en capacitación laboral.

Le sugerimos su lectura para enriquecer su actividad de capacitación incorporando criterios y
técnicas en el ítem “evaluación”.
Evaluación en capacitación laboral
“La evaluación siempre consiste en una determinación de los méritos y los defectos. A veces,
es mucho más, pero su función esencial es la de establecer el mérito de algo. Ésta es su
finalidad primera. Ésta es su definición…”
STAKE, Robert: Evaluación comprensiva. 1ª. ed., Barcelona, Graó, 2006.
En capacitación laboral, la evaluación constituye, al igual que en el sistema educativo, una

preocupación muy importante. Debemos tener en cuenta que cuando evaluamos en
capacitación, hay al menos tres dimensiones que considerar: la de los aprendizajes de los
participantes; la de la satisfacción de estos con la actividad desarrollada y la de los
resultados esperados en la organización.
Como instructores, tenemos responsabilidad sobre las tres, aunque diferentes.
Evaluación de los aprendizajes

Podemos reconocer cuatro aspectos: evaluación del aprendizaje, evaluación para el
aprendizaje, evaluación como aprendizaje y evaluación desde el aprendizaje1.
En la evaluación del aprendizaje nos preocupamos por conocer qué aprendieron los
participantes, si lograron los objetivos de aprendizaje, si se apropiaron de los
contenidos, si adquirieron capacidades previstas en el diseño de la actividad de
capacitación.
Ejemplo: los casos para resolver durante el taller de instructores en seguridad
informática o la actividad final de evaluación e integración planteada al finalizar el
mismo.
La evaluación para el aprendizaje se refiere al aprovechamiento que de ella tienen los
participantes y los instructores. Aquí interesa el uso de los resultados de la evaluación
como retroalimentación para los participantes y para el instructor en el marco de un
diálogo constructivo. Este diálogo debe girar alrededor de las fortalezas y debilidades
en el proceso de aprendizaje y de las alternativas para superar estas últimas y para
fortalecer las primeras. Para el instructor, supone tomar información sobre su propia
estrategia de enseñanza y sus efectos.
Ejemplo: a partir de las respuestas dadas en la actividad de evaluación integradora, se
puede desarrollar un diálogo acerca de qué nociones y qué procedimientos los
participantes pudieron aplicar más fácilmente para resolver la actividad, qué temas es
necesario revisar porque se comprendieron superficialmente, cómo llegaron a resolver
la actividad, si se observó en la resolución la integración de saberes previos con los
nuevos contenidos de aprendizaje.
La evaluación como aprendizaje remite al análisis y a la reflexión que pueden hacer los
sujetos acerca de las prácticas evaluativas que han realizado en el marco de la
propuesta de capacitación. Este aspecto es muy importante si tenemos en cuenta que,
en capacitación laboral, la situación de evaluación puede activar recuerdos y/o
1
BARBERÁ, Elena: “Aportaciones de la tecnología a la e-Evaluación”. En RED. Revista de
Educación a Distancia: http://www.um.es/ead/red/M6

experiencias negativas de la historia escolar de los sujetos; experiencias en las cuales la

sensación de fracaso y de incompetencia pudieron haber dejado marcas importantes
para toda la vida. Asimismo, la evaluación como aprendizaje puede servir como
instancia de reflexión sobre la ayuda que provee la situación de evaluación para la
transferencia de los aprendizajes al puesto de trabajo.
Ejemplo: Luego de la actividad de evaluación puede realizarse el siguiente análisis.
¿Qué experimentaron durante la realización de la actividad de evaluación? ¿Cómo se
sintieron en la situación? ¿Qué expectativas tenían: pensaban que podrían resolverla o
que no lo lograrían? ¿Por qué? ¿Qué piensan que aprendieron de este ejercicio de
evaluación? ¿De qué manera este ejercicio los prepara para usar los nuevos
conocimientos en sus lugares de trabajo?
La evaluación desde el aprendizaje se relaciona con los conocimientos previos que traen
los participantes sobre la temática a desarrollar. Este reconocimiento es necesario
(también es conocido como evaluación diagnóstica) porque es a partir de los saberes y
experiencias que traen las personas que se pueden realizar los nuevos aprendizajes.
Ejemplo: Cuando comienza la actividad de capacitación, preguntarle a las personas
qué saben sobre el tema de seguridad de la información, qué tipo de medidas se toman
en el organismo, qué cuidados tienen ellos en el manejo de sus PCs. También se puede
tomar como ejemplo de evaluación desde el aprendizaje, la información que surge de la
resolución del primer caso de estudio y analizar si utilizaron información previa y/o
nueva información (trabajada en la reunión) para resolver el caso.
A continuación le ofrecemos algunas técnicas que puede utilizar para realizar

evaluaciones durante y al finalizar la actividad de capacitación en seguridad de la
información.
Técnica: Debate individual o grupal
Descripción El docente y los cursantes debaten sobre un tema determinado, aportando

información, analizando aspectos principales y secundarios y emitiendo
opiniones personales sobre el mismo, a partir de los conocimientos construidos
durante la actividad.
El docente controla los tiempos y la pertinencia de las intervenciones.
Aplicaciones Se recomienda cuando:
El tema o problema en análisis puede ser analizado desde varios puntos
de vista.
Ventajas Permite captar matices no accesibles a través de otros procedimientos.
Favorece la participación, el intercambio de ideas y el hábito de
escuchar.
Limitaciones Requiere un ajustado manejo de los tiempos.
Requiere habilidad del docente para coordinar pequeños grupos.
Requiere entrenamiento del grupo en este tipo de actividades
Observaciones Si bien también se emplea como técnica de enseñanza, es posible, a través de
ella, obtener información sobre el logro de los objetivos, la obtención de
resultados y la evolución del proceso.
Técnica: Situación Problemática
Descripción Se describe un problema y se entrega material informativo de base,

sobre el que el cursante habrá de ir resolviendo el problema
Aplicaciones Es necesario comprobar: integración de conocimientos; aplicación de

información desarrollada teóricamente; elaboración de respuestas

alternativas frente a un problema complejo; el desarrollo del
pensamiento crítico
Ventajas Posibilita evaluar varios resultados de aprendizaje simultáneamente.
Permite evaluar el nivel de elaboración de uno o varios temas
simultáneamente.
Presenta un alto grado de participación del cursante por el tipo de procesos y
actuaciones que exige.
Limitaciones Requiere una elaboración previa de materiales y casos o problemas que
es más compleja que la confección de preguntas.
Técnica: Estudio de casos
Descripción Se realiza como los casos que se diseñan como estrategia para la enseñanza
de un tema. Es necesario describir la situación; en esto se diferencia de la
técnica anterior (situación problemática), en la cual se plantea brevemente la
situación a resolver.
Ventajas Para el taller de capacitación en seguridad informática es una técnica muy
adecuada: primero, porque los participantes tienen ya experiencia en haber
resuelto casos y segundo, porque permite reproducir situaciones de la realidad
laboral de los participantes, de modo que puedan anticipar la aplicación de los
conocimientos a sus puestos de trabajo.
Limitaciones La limitación que puede señalarse es el tiempo que insume pero, al ser tan
indicada para los contenidos en seguridad informática, conviene invertir el
tiempo en aplicar esta técnica.
Técnica: Discusión de dilemas
Descripción Se plantea un dilema, por ej.: “dicen que las medidas para proteger la
seguridad de la información son necesarias para evitar que se produzcan
incidentes, pero en mi trabajo se aplican y los incidentes no disminuyen”.
Luego se propone la reflexión por pequeños grupos o por parejas, que
deberán argumentar a favor o en contra de la afirmación, fundamentando en
los contenidos aprendidos durante el taller.
Ventajas También es una técnica adecuada para el taller de seguridad de la información
ya que permite integrar contenidos y aplicarlos en el análisis de una afirmación
relacionada con los temas tratados.
Limitaciones Es necesario construir cuidadosamente las afirmaciones y definir los
contenidos que se espera que los participantes utilicen en el análisis.
Técnica: Pruebas prácticas o de ejecución
Esta técnica es apropiada para evaluar la ejecución de una actividad. Cuando se utiliza, el instructor
observa al participante mientras efectúa la actividad que le ha sido solicitada y evalúa su ejecución.
Se evalúa el nivel de ejecución de acuerdo a los objetivos de aprendizaje y es conveniente observar
tanto el proceso como el producto, para lo cual se recomienda utilizar una lista de control con la
cual registrar el cumplimiento de los pasos requeridos y una escala (preferentemente ordinal) con la
cual registrar el nivel de corrección en la realización de los pasos.
Evaluación de satisfacción
Con esta evaluación obtenemos información sobre la opinión que se llevan los
participantes acerca del desarrollo del curso; por ejemplo: el tratamiento y la utilidad

de los contenidos, las técnicas y recursos utilizados en la estrategia metodológica; el

desempeño docente; el clima grupal, los materiales entregados, etc.
Existen numerosos instrumentos que pueden aplicarse en forma pura o adaptada.
Sugerimos que consulte con el área de capacitación de su organismo para diseñar un
instrumento que resulte adecuado a sus necesidades y a las características del taller
que va a implementar.
Asimismo, más abajo le ofrecemos algunos títulos que puede consultar para la ampliar
sus conocimientos sobre el tema de evaluación en capacitación y donde también
encontrará una selección de estos instrumentos:
Evaluación de los resultados esperados en la organización
Esta evaluación hace referencia a los cambios que se esperan en la organización una
vez que los participantes han finalizado el proceso de capacitación y regresan a sus
puestos de trabajo.
En el caso del taller de seguridad de la información, un resultado esperado puede ser:
“disminución de los incidentes reportados originados en incumplimiento de las normas
de seguridad de la información”.
Para construir este ítem, usted debe completar los puntos 1. Fundamentación y 2.
Contribución esperada del documento Componentes para la presentación de
diseños de actividades de capacitación.
De esta manera, a partir de las necesidades organizacionales que generan la
demanda de un taller en seguridad de la información, usted podrá identificar los
resultados esperados, que le servirán de guía para la evaluación de resultados de la
capacitación.
Bibliografía sugerida
LE BOTERF, Guy: Ingeniería de las competencias. 1ª. ed., Coed. Epise, Training Club y
Gestión 2000, Barcelona, 2001.
GORE, Ernesto; VAZQUEZ MAZZINI, Marisa: Una introducción a la formación en el
trabajo. Buenos Aires, FCE, 2004.
PAÍN, Abraham: Cómo evaluar las acciones de capacitación. Buenos Aires, Granica,
1993.
RODRIGUEZ ESTRADA, Mauro; AUSTRIA TORRES, Honorata: Formación de
instructores. México, D.F., Mc Graw-Hill, 1990.
STAKE, Robert: Evaluación comprensiva. 1ª. ed., Barcelona, Graó, 2006
ZABALZA, Miguel A. Diseño y desarrollo curricular. 6ª ed., Madrid, Narcea, 1995.

PARTE C – CONTENIDOS TÉCNICOS
REUNIÓN 1 – FUNDAMENTOS DE LA SEGURIDAD DE LA

INFORMACIÓN
Contenidos
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Normas vigentes
Apertura
Descripción de la actividad Tiempo
sugerido
Preséntese y dé la bienvenida a los participantes. Diga su nombre, qué tareas 5’
desempeña en el organismo y para qué está Ud. allí.
Pida a los participantes que se presenten: que digan su nombre, el área a la que 10’
pertenecen y que se caractericen brevemente como usuarios de sistemas
informáticos.
Registre a medida que los participantes se caracterizan como

usuarios de sistemas informáticos. Esto le ayudará a tener una
visión de la experiencia de los participantes en relación con el
tema.
Presente el programa del curso. Entregue una copia impresa del programa a cada 5’
participante y solicite que lo lean en forma individual.
Pregunte a los participantes qué les parece el programa y si responde a las 5’
expectativas que tienen sobre el curso.
Registre las expectativas que traen los participantes. Aclare los

propósitos y temas del curso cuando las expectativas no se
correspondan con el mismo. Esto es importante para evitar
equívocos con respecto al curso.

Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL: “EL VALOR DE LOS ACTIVOS”
El objetivo de esta actividad es introducir a los participantes en el concepto de la información

como activo de la organización. Para ello plantearemos un ejercicio con los bienes inventariables
del organismo y trataremos de establecer similitudes con respecto a la información, en cuanto a
controles de acceso, uso, etc.

sugerido
Forme grupos de cuatro o cinco personas y anote la siguiente pregunta en la pizarra: 15’
¿Qué procedimientos deben seguirse cuando se ingresa o retira un

bien del organismo o cuando se asignan a una oficina?
Pida a los grupos que respondan esta pregunta y traten de describir el procedimiento.
Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. 10’
Registre todas las respuestas.
Pregunte a los participantes en general, qué conclusiones se pueden extraer a partir 5’
de las respuestas obtenidas.
Pregunte a los participantes en general, si puede establecerse una relación entre la 5’
preservación (registro y cuidado patrimonial) de los bienes materiales y la
preservación de la información del organismo.
Anote las conclusiones en la pizarra.
Fin actividad grupal
Utilizando el Archivo “curso-r1.ppt”, como base para la presentación, desarrolle la siguiente

EXPOSICIÓN
Descripción número tiempo

Estas diapositivas corresponden a la carátula y al índice de la Reunión. 1y2 2'
Recorra rápidamente los temas a tratar durante la reunión.
Como concluimos en la actividad grupal realizada, la información es un 3 5’
activo valioso de la Organización, dado que de ella dependen sus
actividades y básicamente su subsistencia. Es por ello que, como el resto
de los activos, la información debe resguardarse.
En particular, para los organismos públicos, se deberá tener en cuenta
también, que existen políticas y lineamientos gubernamentales tendientes
a poner cada vez más información a disposición del ciudadano. Estas
acciones se enmarcan en lo que se conoce como “Gobierno Electrónico”.
Este proceso, que produce una mejora en los servicios y en la gestión del
Estado, trae aparejado un aumento del riesgo de seguridad de la
información que manejan los organismos públicos, por lo que se torna
indispensable que se adopten las medidas adecuadas para su tratamiento
y resguardo.
Entendiendo que la información debe preservarse, deberemos entender 4 5’

con respecto a qué es preciso resguardarla. Esto es, conocer las
amenazas que atentan contra la seguridad de la información. Podemos
encontrar amenazas de origen natural o humano, deliberadas o fortuitas,


etc.
Estas amenazas existen a partir de vulnerabilidades y pueden generar 5 5’
graves consecuencias para la organización.
Se entiende por vulnerabilidad como una debilidad en un activo.
Ya mencionamos que tanto la información, como los programas y recursos
informáticos como el equipamiento, los insumos, etc., se consideran
activos de una organización, por lo que su pérdida puede traer
consecuencias graves.
Por otra parte, una amenaza es una violación potencial de la seguridad.
No es necesario que la violación ocurra para que la amenaza exista. Las
amenazas surgen a partir de la existencia de vulnerabilidades.
A continuación veremos una forma de clasificar las amenazas existentes
En este cuadro vemos que las amenazas pueden tener un origen natural o 6 10’
humano. Dentro de las amenazas provocadas por el hombre, encontramos
que estas pueden ser maliciosas (deliberadas) por un lado y no maliciosas
(no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusión (ingresar sin autorización a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algún incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de información, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por último mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque también hay
que tener en cuenta el corte de servicios (energía eléctrica, conectividad,
etc.).
Cuando hablamos de preservar la información, nos referimos a algunas de 7 5’

sus cualidades. Entre éstas, podemos citar principalmente:
CONFIDENCIALIDAD: Se garantiza que la información se encuentre
accesible sólo a aquellas personas autorizadas.
Pensemos qué podría ocurrir si en la dependencia donde trabajamos,
alguien accediera a la información personal que se tiene de los ciudadanos
o de los empleados del organismo (por ejemplo, ingresos anuales, deudas
impositivas, domicilio, historia clínica), sin la debida autorización.
INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la 8 5’

información y de los métodos de procesamiento y transmisión.
Qué ocurriría si se alteran los datos contenidos en nuestras PC, o se
cambiara su configuración, sin la debida directiva o autorización.
Seguramente en muchos casos, esto tendría graves consecuencias para
nosotros, para el organismo y/o para terceros.
DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen 9 5’

acceso a la información y a los recursos relacionados, toda vez que lo
requieran.
Supongamos que un organismo publica información importante en su sitio


web, como por ejemplo vencimientos de pagos o instrucciones para
realizar un trámite complicado, presentación en línea de declaraciones
juradas, y alguien impide que se pueda acceder a dicho sitio.
Habiendo establecido la necesidad de preservar la información, conocido 10 5’

el origen de las amenazas y sabiendo las características principales que se
deben asegurar, podemos presentar la definición de incidente.
INCIDENTE: Un incidente de seguridad, es un evento adverso que
puede afectar a un sistema o red de computadoras.
Puede ser causado por una falla en algún mecanismo de seguridad,
un intento o amenaza (concretada o no) de romper mecanismos de
seguridad, etc.
Nótese que se indica que “un intento” de romper un mecanismo de
seguridad también es considerado un incidente, ya que muchas veces los
intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen
revisar su confiabilidad.
En este cuadro se presentan algunos incidentes de seguridad, indicando 11 10’

en cada caso, qué propiedad de la información está comprometiendo.
1) En este caso, la información no llega a los usuarios autorizados, por lo
tanto se compromete la DISPONIBILIDAD
2) En este caso, la información llega al destinatario autorizado, pero
también es captada por alguien no autorizado, por lo cual se
compromete la CONFIDENCIALIDAD
3) Aquí vemos que el usuario destinatario de la información, no la recibe
en el estado original, sino modificada por un tercero, comprometiendo
su INTEGRIDAD. Al ser interceptada la información, también se
compromete la CONFIDENCIALIDAD.
4) Por último, vemos el caso en que un usuario recibe información que
no ha sido generada por una fuente válida, por lo tanto su contenido
no respeta la condición de INTEGRIDAD.
Las amenazas existentes aumentan a lo largo del tiempo. Esto 12 a 13 10’

compromete a los sistemas de información que cada vez son más
imprescindibles y de los cuales depende la continuidad de las actividades
de las organizaciones.
Hablaremos brevemente de algunas de las causas del incremento de las
amenazas (encontrará más información más adelante en este documento
bajo el título: “Algunas causas del aumento de las amenazas”).
Como ya vimos en el segmento anterior, estas amenazas exponen a las 14 5

organizaciones a riesgos y pueden provocar vulnerabilidades en sus
sistemas y recursos informáticos, con graves consecuencias para su
actividad.
RIESGO: Se entiende por riesgo la probabilidad o posibilidad de que
ocurra un acontecimiento indeseado o se realice una acción no
deseada de modo que afecte negativamente a la organización, a sus
activos y/o a la consecución de sus fines, objetivos y resultados.
PAUSA (Duración total desde su inicio hasta el reinicio de la exposición) 15’
Finalmente hablaremos de la Política de Seguridad de la Información 15 a 18 15’


(PSI).
Las organizaciones deben gestionar los riesgos a que se encuentran
expuestas, realizando las tareas necesarias para garantizar los niveles de
seguridad considerados aceptables en su ámbito. La seguridad de sus
sistemas de información debe ser entendida como un proceso y basarse
en un documento denominado Política de Seguridad de la Información
(PSI).
Una PSI constituye un marco general que define las pautas que deben
cumplirse para preservar la seguridad de la información de una
organización.
Esto les permite planificar las actividades a realizar, planteando el
escenario completo de los aspectos a custodiar.
Una Política consiste entonces en una serie de condiciones para garantizar
la seguridad de la información. Luego se deberá profundizar el nivel de
detalle en normas y procedimientos que indiquen cómo implementar
dichas disposiciones.
Asimismo, y como la seguridad de la información debe ser considerada un
proceso, debe contemplarse la realización de revisiones periódicas de la
Política, garantizando su adaptación a la realidad y a los cambios
tecnológicos.
Por último, se debe asegurar el cumplimiento de toda la normativa
vigente.
Actualmente en nuestro país, así como en el resto del mundo, existen 19 5’

normas que regulan el uso de los recursos informáticos y de la
información.
Toda violación a estas disposiciones dará lugar a sanciones
administrativas y, según la gravedad del hecho, podrá generar
responsabilidad civil y penal.
Las Políticas de Seguridad de la Información de las organizaciones sirven 20 a 21 20´

además para colaborar con la organización en su alineamiento con dichas
normativas, de forma de que puedan ser cumplidas.
Además existen otras normas respecto al tratamiento de la información,
como por ejemplo la Ley de Protección de Datos Personales, Ley de
Derecho de Autor, de Firma Digital, etc.
En particular la Decisión Administrativa Nº 669 de diciembre de 2004
establece para los organismos de la Administración Pública Nacional la
obligatoriedad de redactar, aprobar e implementar una Política de
Seguridad de la Información que se maneja en su ámbito, de designar un
responsable de seguridad y de convocar un Comité conformado por
Directores de áreas sustantivas, para el tratamiento de los temas
vinculados a la seguridad de la información.
La política de seguridad de la información de cada organismo debe
basarse en el modelo aprobado por la ONTI mediante la Disposición Nº
06/2005. Su implementación se lleva a cabo mediante procedimientos
formalizados, referidos al tratamiento de la información, su
confidencialidad, etc.
Un aspecto importante a tener en cuenta es la clasificación de la
información y el inventario de los recursos de información. Conocer los
recursos con los que se cuenta y el tipo de información que se maneja y


establecer su criticidad permite identificar los riesgos y, en base a ello,
establecer las medidas que se adoptarán para su protección.
(Se recomienda en esta sección realizar una referencia a las
políticas y procedimientos de seguridad aprobados en el
organismo)
Existen además otras normas vigentes en nuestro país que regulan 22 5´

aspectos vinculados con el uso de la información y de los recursos
informáticos.
Respecto al uso de la información en el Estado, la Ley 25.164 establece
deberes para todos los funcionarios públicos, es decir, para todas
aquellas personas que prestan servicios para el Estado
independientemente del estado de revista. Entre estos deberes se
encuentra el de observar el deber de fidelidad que se derive de la índole
de las tareas que le fueron asignadas y guardar la discreción
correspondiente o la reserva absoluta, en su caso, de todo asunto del
servicio que así lo requiera.
Respecto al uso de los recursos informáticos en la Administración Pública,
la ley 25.164 prohíbe a los funcionarios públicos hacer uso indebido o con
fines particulares del patrimonio estatal (computadoras, impresoras,
software, etc.)
Con el mismo alcance y finalidad, la ley 25.188 dispone la obligación para 23 5´

todos los funcionarios públicos de abstenerse a utilizar información
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de
intereses privados.
Las normas mencionadas precedentemente alcanzan también a la
información que se procesa en una computadora, cualquiera sea su
formato o soporte (papel, un disco rígido, un disquete, un archivo adjunto
a un mensaje de correo electrónico, etc.).
Esta ley también establece la obligación de proteger y conservar la
propiedad del Estado y sólo emplear dichos recursos con los fines
autorizados.
Dentro del universo de información que se genera, procesa y transmite en 24 a 10´

el Estado, encontramos un subconjunto compuesto por los datos 25
personales, es decir, aquellos datos que refieren a una persona.
El derecho a la protección de los datos personales adquirió jerarquía
constitucional en la reforma del año 1994.
Debido a su sensibilidad, estos datos gozan de un régimen particular, el
que viene a complementar a las leyes mencionadas. Así, la ley 25.326 y
sus normas complementarias buscan proteger los datos personales y el
derecho de sus titulares a conocer y en su caso, actualizar, modificar o
suprimir aquellos que sean inexactos.
La ley establece que los datos personales no pueden procesarse sin el
consentimiento expreso del titular, salvo contadas excepciones. Todo
aquel que adquiera, procese o ceda datos personales sin el
consentimiento del titular estará realizando una actividad ilícita susceptible


de ser sancionada. Por lo tanto, queda más que claro que la cesión de
datos personales o de bases de datos que los contengan constituye un
delito.
La Dirección Nacional de Protección de Datos Personales del Ministerio de
Justicia y Derechos Humanos es la Autoridad de Aplicación. Todos los
organismos públicos y las entidades privadas deben registrar sus bases de
datos y cumplir con las medidas de seguridad y confidencialidad
establecidas.
Por otro lado, el software es considerado una obra intelectual que goza de 26 a 10´
la protección de la Ley 11.723. Esta ley permite que la explotación de la 27
propiedad intelectual sobre los programas de computación se realice
mediante licencias para su uso o reproducción. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violará
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
Instalar un programa sin contar con la debida licencia, puede traer
consecuencias legales tanto para el organismo como para quien lo instala.
La Ley 25.506 habilita el uso del documento digital, la firma electrónica y 28 5´

la firma digital. Define el documento electrónico como la representación
digital de actos o hechos con independencia del soporte utilizado para su
fijación, almacenamiento o archivo, reconociendo que cumple el requisito
de escritura. Por otra parte establece que cuando una norma requiera una
firma, esta exigencia queda cumplida cuando se utiliza una firma digital.
En otras palabras, una firma digital produce los mismos efectos que una
firma manuscrita. Por otro lado, define la firma electrónica como un medio
para demostrar la autoría de un documento digital, que carece de alguno
de los requisitos que la Ley exige a la firma digital.
Durante la exposición, formule preguntas sugerentes sobre el tema; invite

a los participantes a compartir alguna experiencia relacionada con el tema
y a compartir dudas y preguntas.
Cierre
Actividad Grupal
El objetivo de esta actividad es que los participantes recapitulen los contenidos presentados y
reflexionen sobre ellos.

Sugerido
En pequeños grupos, elaboren un listado de los temas tratados que consideren más 10’
importantes. Formulen al menos una pregunta y/o sugerencia relacionada con el
listado.
Puesta en común. 15’
Solicite a los grupos que expongan sus listados. Analice semejanzas y diferencias en
los listados y proponga un intercambio de respuestas posibles a las preguntas
formuladas. Analice las sugerencias planteadas.

Recapitulación
Una vez terminada la reunión, escriba los momentos que considera que fueron los más
importantes. Registre también la percepción que usted tuvo sobre los intereses de los participantes
y su nivel de participación e involucramiento con el tema.
Algunas causas del aumento de las amenazas
Mayor dependencia de los sistemas, servicios de información y de tecnologías

asociadas
La mayoría de las organizaciones modernas procesan su información administrativa, contable
y de gestión mediante sistemas de información y aprovechan las ventajas de las nuevas
tecnologías para el procesamiento de sus transacciones y para una mayor interconexión con
sus clientes y proveedores. El uso intensivo de estas tecnologías garantiza la continuidad de
sus operaciones, creando una fuerte dependencia hacia sus sistemas, servicios de
información y tecnologías asociadas.
Crecimiento exponencial de las redes y usuarios interconectados

Esto implica la multiplicidad de puntos de acceso a una red, dada su relación con otras redes.
Por otro lado, las actividades de monitoreo se hacen más complejas y tienden a no realizarse.
Profusión de Bases de Datos On-Line

Cada vez son más las aplicaciones que se publican en la Web y que tienen como soporte una
Base de Datos. Esto implica una nueva fuente de amenazas, ya que cada motor tiene su
conjunto de vulnerabilidades y aparecen nuevas continuamente.
Inmadurez de las nuevas tecnologías

Constantemente aparecen nuevas tecnologías y nuevos componentes, los cuales son puestos
en funcionamiento sin conocerse demasiado su entorno de desarrollo ni características
técnicas. Un ejemplo de estos días es el de las comunicaciones inalámbricas (wireless).
Otro caso, es el de los cambios tecnológicos en equipos de tratamiento de datos. Por
ejemplo, es posible que muchos de los sitios donde no se permita el ingreso de cámaras de
fotos o video, hayan tardado en tener en cuenta el ingreso de celulares con esas
características. O por ejemplo, en muchas organizaciones las estaciones de trabajo no poseen
o tienen deshabilitadas las disketeras a fin de impedir que se sustraiga información, pero
seguramente esas estaciones de trabajo tienen un puerto USB donde conectar un dispositivo
de almacenamiento removible que cabe en cualquier bolsillo…
Alta disponibilidad de herramientas automatizadas de ataque

No existe ya la creencia que las personas que pueden vulnerar los controles de seguridad de
los equipos de procesamiento de datos de una Organización, son avezados conocedores de
tecnologías y expertos en trucos a tal fin. Existen hoy infinidad de sitios donde se pueden
descargar herramientas, programas o textos donde se explican distintas formas de
aprovecharse de ciertas vulnerabilidades. Por lo tanto cualquier principiante puede apropiarse
de estas facilidades.
Nuevas técnicas de ataque distribuido

En la actualidad, los ataques no son necesariamente lanzados desde un sólo equipo, con un
intruso detrás comandándolo. Existen muchas técnicas que permiten tomar el control de
equipos diseminados por una determinada red (Internet por ejemplo) y coordinar un ataque
en conjunto contra un objetivo determinado.

Técnicas de ingeniería social

Es importante concientizar al usuario acerca de que la seguridad de la información se
comienza a gestar desde el escritorio mismo de su puesto de trabajo. Por lo tanto es
necesario alertar sobre las distintas técnicas de ingeniería social, que sirven para obtener
información confidencial de usuarios desprevenidos. Coloquialmente, una de las formas de
ingeniería social es el conocido cuento del tío aplicado al ámbito informático.
Bibliografía de referencia
http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas,
Subsecretaría de Gestión Pública.
Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.
Disposición Nº 06/2005, Política de Seguridad de la Información Modelo, 3/08/2005.
Resolución SGP 45/2005, Política de Seguridad de la Información, Subsecretaría de la Gestión
Pública, 24/06/2005
Decisión Administrativa 669/2004, Política de Seguridad de la Información, Sector Público
Nacional – Adecuación, Jefatura de Gabinete de Ministros, 20/12/2004
http://infoleg.mecon.gov.ar, Información Legislativa - Ministerio de Economía y Producción

REUNIÓN 2 – SEGURIDAD DE LA INFORMACIÓN EN LAS TAREAS

COTIDIANAS
Contenidos

Ingeniería Social
Código Malicioso
Mensajería Instantánea y Redes P2P
Apertura
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la 5’
reunión anterior.
Presente los temas que se tratarán en esta reunión. 5’
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL – UN DIA EN LA VIDA DE EVARISTO:
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de e-mails inseguros e ingeniería social.
Esta actividad se realiza con anterioridad a la exposición de los temas

de seguridad. La idea es retomar más adelante esta misma actividad y
verificar si los participantes incorporaron los conceptos desarrollados.
Caso “Un día en la vida de Evaristo”

Sugerido
Solicite a los participantes que formen grupos de no más de cuatro integrantes, con las 5’
personas próximas.
Entrégueles una copia del caso “Un día en la vida de Evaristo” ( caso-r2a.pdf)
Solicite que lean el documento entero y asigne un tiempo para que elaboren por escrito 15’
una respuesta a la consigna del caso.
ANÁLISIS 10’
Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra.

Solución
A continuación se listan situaciones anómalas que los asistentes deberían identificar:
1) Cuando Evaristo ingresa su clave, utiliza 8 caracteres y recuerda a su hija Florencia, por lo que
podemos inferir que su clave es un nombre propio, y además el de un familiar.
2) Deja la máquina desatendida, mientras llegan sus correos a su cuenta de mail, y va a buscar
café.
3) Recibe un mail supuestamente de su primo (situación que no verifica) y que contiene un
archivo adjunto. Éste a su vez, es un ejecutable (extensión .exe) y por lo que se desprende
del texto lo ejecuta para ver de qué se trata.
4) La situación con Paez Umpierrez es en conjunto, un caso de Ingeniería Social. Evaristo no
verifica de quién se trata, ni si lo están llamando desde el mismo organismo, y finalmente,
accede a entregarle documentación vía correo electrónico.
5) Paez Umpierrez le solicita la documentación a una cuenta de Hotmail, en este caso, tal que ni
siquiera valida que se trate de alguien que trabaja en el organismo. Recordemos que
finalmente, no debería entregar información confidencial sin la debida autorización.
6) Para “salvar” la situación, intenta ubicar el documento en el equipo de un compañero, cuando
no debería guardarse información confidencial en un equipo de escritorio.
7) Para obtener acceso al equipo de un compañero de trabajo, pregunta por la clave de acceso,
que es conocida por el resto de la gente de la oficina, y además, es trivial.
8) Para culminar, Evaristo no chequea la información del mail enviado, y equivoca la dirección
del supuesto Paez Umpierrez.
Fin Actividad Grupal
Utilizando el Archivo “curso-r2.ppt”, como base para la presentación, desarrolle la siguiente

EXPOSICIÓN

Estas diapositivas corresponden a la carátula y al índice de la Reunión 1y2 2'
El acceso a los sistemas de información normalmente se realiza mediante la 3 5’

identificación del usuario que lo requiere. Para ello se solicita el ingreso de
una identificación de usuario, esto es un nombre o un código que
identifique a la persona que solicita el acceso (Ej: gomez, aperez, etc.) o a
la función que esta cumple (Ej: administrador, operador, etc.).
El sistema necesita validar al usuario que desea acceder, para lo cual
necesita verificar que éste sea quien dice ser. Para ello, el usuario deberá
autenticarse, esto es demostrar que es el usuario que indicó en el paso
anterior.
Por último, el sistema controla que el usuario tiene autorización para
acceder al recurso que solicitó. No todos los usuarios tienen permiso para
acceder a todas las aplicaciones, documentos, etc.
La autenticación puede realizarse de diversas maneras, entre ellas: 4 5’

Demostrando algo que se sabe: Típicamente ingresando una clave.
Demostrar algo que se tiene: Para lo cual se utilizan dispositivos
externos, tales como tarjetas magnéticas, tokens usb, etc.
Demostrar algo que se es: Mediante el uso de técnicas biométricas.
Las técnicas biométricas son métodos automáticos para el


reconocimiento único de personas basados en uno o más rasgos
conductuales o físicos intrínsecos. Ej: análisis de las huellas digitales, el
reconocimiento de la voz, el análisis del iris, etc.
Para aumentar la seguridad en el control de acceso se recomienda
combinar dos de estas tres alternativas.
Dado que el uso de la combinación de usuario y clave es el método 5 5’

mayormente utilizado (en general porque es el más económico), vamos a
conocer las características que debe reunir una contraseña para que sea
segura:
Personal: se debe asignar una contraseña a cada persona que acceda
al sistema.
Secreta: sólo el usuario de la contraseña debe conocerla.
Intransferible: la contraseña no puede ser revelada a ningún tercero
para su uso.
Modificable sólo por el titular: el cambio de contraseña, sea cual fuere
el motivo, debe ser realizado por el usuario titular de la misma y sólo
en casos excepcionales por el administrador, por ejemplo, cuando el
usuario olvida su contraseña (en este caso, el usuario debe cambiarla
inmediatamente después de acceder a su cuenta).
Difícil de averiguar: Al momento de elegir su nueva contraseña, el
usuario debe seguir ciertos lineamientos que impidan la averiguación de
la misma por parte de terceros. Más adelante se verán algunos de estos
lineamientos.
La utilización de claves de acceso, si bien es una solución fácil de 6 5’

implementar, trae aparejada una serie de amenazas, tales como la pérdida
u olvido de las mismas, ataques de terceros para descifrarlas, descuidos de
los usuarios al darlas a conocer, falta de caducidad de las mismas, etc.
Se exponen a continuación, algunas de las técnicas utilizadas para formar 7a8 10’
una clave robusta, que conjugan cierta dificultad para averiguarla con
características que permiten que los usuarios la puedan recordar
fácilmente.
No utilice palabras comunes ni nombres de fácil deducción por terceros
(nombre de mascota, nombre de equipo de fútbol favorito), ya que
estas claves podrían ser obtenidas fácilmente mediante el uso de
técnicas automáticas que prueben acceder a la cuenta del usuario con
palabras extraídas de diccionarios de palabras comunes.
No las vincule a una característica personal, (teléfono, D.N.I., patente
del automóvil, etc.).
No utilice terminología técnica conocida (admin)
Combine caracteres alfabéticos, mayúsculas y minúsculas, números,
caracteres especiales como espacio, guión, símbolo $, etc.
Constrúyalas utilizando al menos 8 caracteres.
Use claves distintas para máquinas diferentes y/o sistemas diferentes.
Use un acrónimo de algo fácil de recordar
Ej: NorCarTren (Norma , Carlos, Tren)
Añada un número al acrónimo para mayor seguridad: NorCarTren09


(Norma, Carlos, Tren, Edad del hijo)
Mejor aún, si la frase origen no es conocida por otros: Verano del 42:
Verdel4ydos
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)
Realice reemplazos de letras por signos o números. (3duard0palmit0)
Elija una clave que no pueda olvidar, para evitar escribirla en alguna
parte. (arGentina6-0)
La importancia que tiene la longitud de la clave seleccionada, como así 9 2’

también el conjunto de caracteres utilizado, son aspectos importantes en la
construcción de claves. Ilustramos para ello con el cuadro de las cantidades
de combinaciones posibles de claves, según su longitud y conjunto de
caracteres incluidos. Cuantas más combinaciones se puedan lograr, más
difícil será su averiguación mediante herramientas de fuerza bruta.
Como podemos apreciar en el cuadro en forma de matriz de datos, donde 10 3’

se conjugan ambas variables (longitud y juego de caracteres utilizado), se
indica en cada caso el tiempo que utilizaría un programa de fuerza bruta
(con acceso a las claves cifradas) para descifrar claves y vulnerarlas.
Vemos que a mayor longitud y cantidad de caracteres que componen las
claves, mayor es el tiempo requerido para averiguarlas, ergo más seguras
serán las mismas.
Se deben establecer normas para el uso adecuado de las contraseñas, de 11 a 10’

forma de prevenir que éstas sean vulneradas y utilizadas por intrusos para 12
acceder a los sistemas de forma no autorizada.
Cuide que no lo vean cuando tipea su clave.
No observe a otros mientras lo hacen.
No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
No comparta su clave con otros.
No pida la clave de otro.
No habilite la opción de “recordar claves” en los programas que utilice.
Si por algún motivo tuvo que escribir la clave, no la deje al alcance de
terceros (debajo del teclado, en un cajón del escritorio) y NUNCA
pegada al monitor.
NUNCA envíe su clave por correo electrónico ni la mencione en una
conversación, ni se la entregue a nadie, aunque sea o diga ser el
administrador del sistema.
No mantenga una contraseña indefinidamente. Cámbiela regularmente,
aunque las políticas de Administración de Claves no lo obliguen.
Asimismo, los administradores de las contraseñas deben seguir ciertas 13 5’

pautas de seguridad.
No debe existir ninguna cuenta sin contraseña. Si se es administrador del
sistema, revisar periódicamente el sistema de claves y utilizar fechas de
vencimiento.
No permitir el uso de las contraseñas que, por defecto, genera y adjudica el
sistema. Obligar al cambio cuando se da de alta al usuario y periódicamente


de acuerdo a las normas vigentes.
No dudar en cambiar las contraseñas, si se sospecha que alguien puede
conocerlas.
La información sensible no sólo es manejada en los sistemas informáticos, 14 a 15’

sino que también se encuentra dispersa en otros medios, como ser papeles, 18
archivos físicos, etc. Es por ello que se deben establecer medidas de
seguridad para la información fuera de los sistemas informáticos.
Plantee el tema de “Escritorio Limpio” indicando el por qué de dicha
práctica y dando consejos para cumplirla.
Durante el día se debe realizar una serie de tareas que se encuentran
enunciadas en la diapositiva número 16. Se debe tener cuidado con la
documentación impresa, según lo indicado en la diapositiva número 17. Por
último, se debe tomar una serie de recaudos al abandonar la oficina al
finalizar el día, siguiendo las recomendaciones de la diapositiva número 18.
El concepto de “Pantalla Blanca” apunta a no exponer en la pantalla 19 5’

información que pueda ser utilizada por personas no autorizadas.
Sugerencia para el expositor: Plantee una situación en la cual dejar la
pantalla desatendida podría ser una amenaza a la seguridad de la
información del usuario y del Organismo. Ej.: que un tercero opere la
Terminal de forma no autorizada.
Indague sobre el sistema operativo utilizado en su Organismo, o el que
mayoritariamente utilizan los usuarios si es que hay más de uno, e indique
cuál es el mecanismo para proteger una terminal desatendida, con dicho
sistema.
PAUSA 15’
Introducimos ahora el concepto de Ingeniería Social. Se trata de un 20 5’

conjunto de técnicas de engaño que se aplican sobre las personas para
obtener de ellas información de interés para el atacante, o para lograr que
efectúen alguna acción deseada por éste.
Generalmente estamos acostumbrados a asociar la seguridad de un sistema 21 5’

con las herramientas informáticas que aplican seguridad, o bien con
controles físicos. Pero olvidamos que los seres humanos se encuentran
directamente relacionados con los sistemas de información, constituyendo
un factor alto de riesgo que también debe ser mitigado. Precisamente la
Ingeniería Social explora el factor más vulnerable de todo sistema: el ser
humano.
Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas de 22 5’
información, se debe primeramente informar a las potenciales víctimas
sobre este tipo de técnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
Aquí se exponen algunas consideraciones a tener en cuenta, a fin de
mitigar los intentos de Ingeniería Social.
De más está decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de técnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habrá cosas nuevas,
etc.)


El Código Malicioso o Programa Malicioso es un programa de computadora 23 10’
escrito para producir inconvenientes, destrucción, o violar la política de
seguridad.
Existen distintos tipos:
Los virus, que generalmente requieren alguna interacción por parte del
usuario (por ejemplo, abrir un archivo adjunto que recibe por correo
electrónico).
Los Caballos de Troya o Troyanos, que son programas que tienen una
funcionalidad conocida (por ejemplo, un juego) pero además tienen
una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario y
mandarlas en un mensaje de correo electrónico al atacante)
Los Gusanos, que se reproducen sin necesidad de interacción de los
usuarios, por ejemplo atacando servicios de red vulnerables (por
ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas
de Windows, siempre y cuando a la máquina no se le haya instalado la
actualización que corrige la vulnerabilidad)
También existen otros tipos, como el spyware que suele recopilar
información sobre una persona, para poder mostrarle publicidad dirigida.
Para disminuir las amenazas que presenta el código malicioso, se suele
utilizar programas antivirus. Sin embargo, es importante resaltar que dichos
programas no son siempre efectivos, ya que suelen detectar el código
malicioso en base a patrones conocidos, es decir que no detectan
automáticamente nuevos programas maliciosos creados por los atacantes.
Por eso, se debe mantener el antivirus actualizado, pero igual no se debe
confiar en que el mismo va a detectar todo el código malicioso que
recibamos.
Resalte el concepto de que algo que diga ser una foto o video, puede en
realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un
mensaje de correo electrónico que incluya una supuesta foto de nuestro
ídolo favorito, pero en realidad el archivo adjunto es un programa que
puede causar un daño.
Para dejar clara la importancia de prevenirse contra el código malicioso, se 24 10’

dan ejemplos de algunas de las cosas que suelen hacer los códigos
maliciosos una vez que se encuentran activos en la máquina victima:
Borrar archivos del disco rígido para que la computadora se vuelva
inoperable.
Infectar una computadora y usarla para atacar a otras.
Obtener información sobre el usuario, los sitios web que visita, sus
hábitos en la computadora.
Capturar las conversaciones activando el micrófono (o viendo al
usuario, con la activación de la webcam).
Ejecutar comandos en la computadora, como si lo hubiera hecho el
usuario.
Robar archivos del equipo, por ejemplo aquellos con información
personal, financiera, números de serie (licencia) de programas
instalados, etc.
Veremos ahora algunas medidas que se deben tener en cuenta para 25 5’


navegar en Internet de forma segura.
A veces un link (enlace) puede ser engañoso y llevar al usuario a acceder a
una página diferente a la que aparentemente lo lleva (en función al texto
del enlace). Para evitar caer en esta trampa se debe:
1) Verificar el destino de los enlaces con la opción “Propiedades”
(normalmente utilizando el botón derecho del Mouse) para corroborar
que sea el mismo que se menciona en el texto del enlace (esto se
puede mostrar directamente con un navegador).
2) No acceder directamente al enlace haciendo clic sobre el mismo, sino
que se aconseja copiar el texto del enlace y pegarlo en la barra de
dirección del navegador.
Algunas otras medidas para evitar ataques durante la navegación son: 26 10’
1) Evitar acceder a sitios desconocidos o no confiables, ya que los mismos
pueden contener contenido malicioso que permita descargar y ejecutar
programas maliciosos en su estación de trabajo.
2) Asegurarse de que el navegador no acepte la instalación de software
descargado de Internet en forma automática
3) No descargar de Internet archivos ejecutables
4) No introducir información sensible en sitios o foros
5) Si se necesita introducir información sensible en un sitio web,
asegurarse de que la página es segura (https) y verificar que el
certificado que presenta la misma es válido:
Correspondencia entre el nombre de dominio del certificado y el
nombre del sitio web al que se accede.
Vigencia.
Autoridad Certificante confiable.
6) El administrador de la red muchas veces conoce valores de
configuración que hacen que la navegación por Internet sea más
segura.
Acá se muestra como se ve en el navegador el acceso a un sitio seguro, 27 2’

tanto en lo que respecta a la barra de direcciones del navegador (empieza
con https://) como el candadito en la parte inferior. Es importante destacar
que algunos navegadores pueden tener el indicador de sitio seguro
(candado amarillo) ubicado en otro lugar. Por ejemplo, Internet Explorer 7
lo muestra en el costado derecho de la barra de direcciones.
En esta pantalla se aprecian las propiedades del certificado. Se puede 28 2’

observar el nombre del sitio para el que el certificado fue emitido
(www.arcert.gov.ar), el nombre de la autoridad certificante, y la fecha de
emisión y vencimiento del certificado.
Los mensajeros instantáneos son un conjunto de programas que sirven 29 5’

para enviar y recibir mensajes instantáneos con otros usuarios conectados
a Internet u otras redes; además permiten saber cuando están disponibles
para hablar. Se diferencia del correo electrónico en que las conversaciones
se realizan en tiempo real. El usuario tiene una lista de contactos
autorizados, y puede solicitar a otra persona que lo acepte como contacto.
Existen diversos sistemas de mensajería instantánea como MSN Messenger,
ICQ, Yahoo Messenger o Google Talk. La mayoría tiene funcionalidades


adicionales, como la posibilidad de transferir archivos, enviar mensajes
aunque el destinatario no se encuentre conectado, etc.
Desde el punto de vista de seguridad, los mensajeros instantáneos pueden 30 5’

presentar varios problemas. Los mensajes suelen viajar por la red sin cifrar,
por lo que podrían ser vistos por un atacante, comprometiendo la
confidencialidad. Además, brindan funcionalidad que puede estar prohibida
por la política de seguridad del organismo, como por ejemplo la
transferencia de archivos. También pueden facilitar la descarga y ejecución
de código malicioso, ya sea a través de la transferencia de archivos
maliciosos, o a través de enlaces que recibe un usuario por parte de otro
(muchas veces sin que el remitente se entere) y que conducen a una
página web con programas maliciosos. Además, podemos agregar un
contacto pensando que es una persona, cuando en realidad se trata de otra
persona. Esta podría luego intentar engañarnos mediante técnicas de
ingeniería social.
Otra tecnología que presenta amenazas a la seguridad son las redes P2P. 31 5’
Este tipo de redes se caracterizan por constituirse por un conjunto de
equipos donde ninguno es cliente y ninguno es servidor, sino que todos
comparten uno o más servicios o funcionalidades. Algunos ejemplos son las
redes conformadas para sistemas de telefonía y videoconferencia (Skype,
etc.), y el software para compartir archivos de todo tipo (música, películas,
programas de televisión, software, juegos, libros digitales) a través de
Internet. (Ej.: Emule, BitTorrent, etc.).
Si bien estas redes aparentan proveer sólo facilidades y ventajas, presentan 32 10’
también riesgos para la seguridad de la información.
Las estaciones de trabajo están más expuestas, por que pueden dar a
conocer su dirección IP y muchas veces deben tener un puerto de red
“abierto” desde afuera hacia adentro (es decir desde Internet hacia la red
interna del organismo) para funcionar correctamente. Además, estos
programas suelen usar distintas técnicas para saltear los mecanismos de
protección impuestos por la organización (firewall, Proxy), sin medir las
consecuencias desde el punto de vista de la seguridad de la organización.
Por ejemplo, estas redes se caracterizan por consumir mucho ancho de
banda, tanto para descargar archivos como para compartir archivos que el
usuario ya tiene. Esto puede significar que no se pueda utilizar la conexión
a Internet para los usos legítimos, por falta de disponibilidad del recurso.
Por otra parte, el usuario puede estar compartiendo archivos que no
deseaba compartir, y eso puede incluir archivos confidenciales.
Además, se puede incurrir en un delito cuando se descarga material
protegido por las leyes de propiedad intelectual (por ejemplo, al descargar
música o películas).
Otro punto importante es que muchas veces, cuando se descargan
programas, juegos, etc., los mismos han sido modificados para contener
código malicioso, que permite al atacante tomar el control del sistema
infectado. Existen estimaciones que hablan de que uno de cada diez
programas descargados mediante estas redes puede contener código
malicioso.

Cierre
Realice la siguiente ACTIVIDAD GRUPAL – UN DIA EN LA VIDA DE JUAN:
El objetivo es que los participantes adquieran conciencia sobre la posibilidad de ser víctimas de
ataques de phishing.
Esta actividad se realiza con anterioridad a la exposición de parte de

los temas de seguridad, que serán abordados en la reunión 3.
Caso “Un día en la vida de Juan”

sugerido
personas próximas.
Entrégueles una copia del caso “Un día en la vida de Juan” ( caso-r2b.pdf)
Solicite que lean el documento entero y asigne el tiempo sugerido para que escriban 15’
una puesta en común sobre la consigna del caso.
ANÁLISIS 10’
Solución
1) Juan utiliza la cuenta de correo institucional para actividades personales. Esto no es
adecuado, ya que el correo institucional es propiedad del organismo y debe ser empleado sólo
para actividades laborales.
2) El Administrador de Sistemas sabe de las actividades extra-laborales de Juan en Internet, y no
toma ninguna acción al respecto por amiguismo.
3) Al leer el supuesto mensaje de la empresa PayPal accede al link para “Donar” dinero, cuando
no es aconsejable acceder a enlaces desde mensajes de correo electrónico.
4) Juan no verifica la dirección adonde lleva dicho enlace.
5) Juan ingresa sus datos personales (incluyendo los de su tarjeta de crédito) en una página
desconocida, sin siquiera verificar que se trate de una página segura.
6) Probablemente en un futuro cercano, Juan sea víctima de lo siguiente:
uso indebido de sus datos personales
spam
operaciones no autorizadas con su tarjeta de crédito

http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas, Subsecretaría
de Gestión Pública.
http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones para el uso
seguro del correo electrónico, ArCERT, Subsecretaría de la Gestión Pública, 2006.
http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones para evitar
ser victima del "phishing", ArCERT, Subsecretaría de la Gestión Pública, 2006.
Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999.

REUNIÓN 3 – AMENAZAS Y HERRAMIENTAS DE SEGURIDAD
Contenidos
Firma Digital: funcionamiento y beneficios
Apertura
sugerido
Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la 5’
reunión anterior.
Presente los temas que se tratarán en esta reunión. 5’
Desarrollo
Realice la siguiente ACTIVIDAD GRUPAL – PEDRO Y LA FIRMA DIGITAL
El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las
tareas cotidianas y se introduzcan en el tema de firma digital.
Esta actividad se realiza con anterioridad a la exposición de los temas

de seguridad. La idea es retomar más adelante esta misma actividad y
verificar si los participantes incorporaron los conceptos desarrollados.
Caso “Pedro y la firma digital”

sugerido
personas próximas.
Entrégueles una copia del caso “Pedro y la firma digital” ( caso-r3.pdf)
Solicite que lean el documento completo y asigne el tiempo sugerido para que escriban 15’
una puesta en común sobre la consigna del caso.
ANÁLISIS 10’

Solución

1) Se plantea que el área de informática genere el par de claves de los usuarios y luego se las
comunique, cuando cada usuario debe ser responsable de generar sus propias claves en
forma personal.
2) El Gerente General no evalúa lo propuesto por el Gerente de Sistemas acerca de la
implementación de Firma Digital y sus procedimientos de uso.
3) Se enviaron las claves a los usuarios por mail (medio inseguro).
4) Se consulta a los usuarios sobre el medio donde almacenar sus claves, cuando esto debe ser
una disposición establecida como resultado de un análisis de personal con conocimientos
específicos.
5) La mayoría de las claves se almacenan en las PCs sin protección.
6) Algunos usuarios almacenaron sus claves en disquetes, junto con otra información. Esta
opción no es segura.
7) Algunos usuarios de niveles superiores solicitaron que se instale sus claves en las PCs de las
secretarias para su uso, cuando las claves son personales e intransferibles.
8) La “Sensibilización” dictada a los usuarios se centró en la parte operativa de firma digital, y
no mencionó temas de cultura de uso, beneficios, objetivos de la firma digital,
responsabilidades de usuarios, etc.
9) El “Procedimiento interno” de uso de firma digital fue redactado por el Administrador de Red,
sin tener en cuenta las necesidades de los usuarios.
10) Existe una resistencia al uso de la firma digital por parte de los usuarios debido a una
capacitación y sensibilización inadecuadas.
11) No se efectuaron controles posteriores a la implementación de firma digital para verificar si su
uso y funcionamiento son correctos.
Utilizando el Archivo “curso-r3.ppt”, como base para la presentación, desarrolle la

siguiente EXPOSICIÓN
Descripción Número Tiempo

sugerido
Estas diapositivas corresponden a la carátula y al índice de la Reunión 1y2 2'
Vamos a referirnos a las amenazas existentes en el manejo del correo 3 5’

electrónico.
El correo electrónico es un medio de comunicación muy útil, pero también
es un medio por el cual podemos recibir mensajes no solicitados (spam),
engaños (hoaxs) y otros tipos de amenazas.
Por ejemplo, los mensajes de correo electrónico pueden ser falsificados
fácilmente. Tenga en cuenta que un atacante podría generar mensajes
que parezcan ser originados por algún tercero en el cual Ud. confía.
Además, se debe tener especial cuidado con los archivos adjuntos y los
enlaces a páginas web, ya que pueden incluir código malicioso.
Los correos electrónicos son un medio ampliamente utilizado para la 4a5 10’


sugerido
propagación de virus y troyanos mediante archivos adjuntos. Es por ello
que deben tenerse en cuenta ciertas medidas de seguridad para
manipular archivos adjuntos, especialmente cuando no son archivos que
se esperan y no están directamente relacionados con cuestiones
laborales. Las buenas prácticas incluyen:
No abrir archivos adjuntos de origen desconocido o que no estén
relacionados con nuestras tareas en el organismo.
No abrir archivos adjuntos que no esperamos recibir, aunque nos
parezca que su origen es conocido.
No abrir adjuntos que tengan extensiones ejecutables.
No abrir adjuntos que tengan más de una extensión.
Chequear con el remitente, en caso de dudas, la razón por la cual nos
envió un archivo adjunto.
Una de las operaciones más frecuentes es el reenvío de mensajes. Esta 6a7 10’
operación involucra la utilización de un mensaje recibido como base para
el envío de uno nuevo a otros destinatarios.
Generalmente, por omisión, el cliente de correo electrónico (Outlook,
Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta
razón, el nuevo destinatario recibirá información acerca del autor y los
destinatarios originales, sin poder estos controlar el destino del mensaje
enviado, que a su vez suele ser reenviado sucesivamente.
Esto no sólo presenta una amenaza a la confidencialidad de la información
contenida en el mensaje, sino que además facilita la propagación de virus
(ya que al reenviar un mail conteniendo un virus el mismo será recibido
por otros usuarios) y promueve el envío de “correo no solicitado” (en caso
de reenvíos masivos)
Cuando sea necesario reenviar un mensaje, elimine los datos del emisor 8 5’
original (si corresponde, a menos que necesite hacer mención explícita y
textual del mensaje original, por ejemplo en el seguimiento de un tema en
un ambiente colaborativo), o copie el contenido en uno nuevo.
Si envía un mensaje a más de una persona, agregue las direcciones como
“CCO” o copia oculta, para evitar que cada receptor vea las direcciones de
correo del resto de los destinatarios.
Ante la duda, no debe reenviar mensajes, ya que colabora con el aumento 9 5’

del correo no solicitado, y se pierde tiempo (de los usuarios que reciben el
mensaje) y recursos (espacio en disco rígido, tiempo de procesamiento,
ancho de banda).
Una de las técnicas conocidas para fomentar los reenvíos de mensajes, 10 5’

obtener direcciones de correo y armar bases de datos con las mismas, es
la conocida “cadena de correos electrónicos”.
En estas cadenas, se apela a la solidaridad del receptor, solicitando el
reenvío con fines benéficos, o se advierte sobre ciertas cuestiones,
pidiendo que se retransmita dicha alerta.
Las “colecciones” de direcciones de correo electrónico incluidas en los
mensajes, suelen ser utilizadas para formar parte de bases de datos que
luego son empleadas para enviar información no solicitada (Spam) o
pueden ser capturadas por virus informáticos, como fuente de direcciones


sugerido
válidas a las cuales reenviarse.
Debemos pensar acerca de cambiar nuestro hábito de reenviar 11 5’

“compulsivamente” los mensajes recibidos.
Este comportamiento habitual tiende a desarrollarse, dado que es común
pensar que reenviar un mensaje no tiene costo alguno (en comparación
con una llamada telefónica o un envío postal). Sin embargo debemos
pensar que estamos comprometiendo datos de terceros, tiempo propio y
de los destinatarios y recursos de la organización.
Los “engaños” o “Hoax” son mensajes fraudulentos conteniendo 12 5’

información inexacta o falsa, que inducen al receptor a reenviar el
mensaje, a fin de difundir su contenido o a realizar acciones que muy
probablemente le ocasionaran problemas (Ej.: “borre el archivo XXX”, el
usuario lo hace y su máquina deja de funcionar! ).
Aquí presentamos algunas características comunes de los engaños 13 5’

(Hoax), que deben ser tenidas en cuenta cada vez que se reciben este
tipo de mensajes.
Debemos pensar que difícilmente se pueda hacer una campaña de junta
de firmas o recaudación de donaciones por esta vía.
Si el receptor está interesado en colaborar, o se hace eco del mensaje, se
le recomienda que se dirija a la página web oficial de la organización que
está mencionada. Un mensaje que no es Hoax, invita a una página oficial,
donde se pueden constatar cantidad de visitas o donde se puede dejar un
mensaje de adhesión.
Pero nunca se debe creer en supuestos “beneficios” que se otorguen por
el mero reenvío de un mail y generalmente, si es un hecho verídico, se
utilizan otros medios de difusión, como por ejemplo, la prensa.
También se debe evitar visitar el enlace que está incluido en el mensaje
ya que generalmente, es mediante ese mecanismo que se produce el
engaño.
Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente 14 5’

desconocida, brindándonos información que no solicitamos. Estos
mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas
veces contienen información falsa o engañosa. Algunas de las técnicas
que utilizan los spammers (es decir, aquellos que envían mensajes no
solicitados por motus propia o para terceros) para obtener direcciones
válidas de correo electrónico, incluyen:
Búsqueda de direcciones en páginas web y foros.
Captura de direcciones en cadenas de correo.
Listado de suscriptores a Listas de correo.
Compra de bases de datos de direcciones de correo.
Acceso no autorizado en servidores de correo.
Es conveniente tener en cuenta algunas reglas de comportamiento con 15 10’

respecto a estos envíos de mensajes no solicitado:
No deje su dirección de correo electrónico en cualquier formulario o
foro de Internet.


sugerido
No responda los correos no solicitados. Bórrelos. Es lo más seguro.
En general, no conviene enviar respuesta a la dirección que figura
para evitar envíos posteriores.
Configure filtros o reglas de mensaje en el programa de correo para
filtrar mensajes de determinadas direcciones.
No configure “respuesta automática” para los pedidos de acuse de
recibo.
No responda los pedidos de acuse de recibo de orígenes dudosos.
Otra de las amenazas que frecuentemente se advierten en la recepción de 16 5’

correo electrónico, es el fraude para obtener información confidencial.
Generalmente utilizando imágenes y tipografía de una empresa conocida
(Banco, Tarjeta de Crédito, Proveedor de Internet, etc.) llega un mensaje
solicitando datos personales, como el número de tarjeta de crédito para
validar al usuario, o usuario y clave de acceso a algún sistema de
información.
A esta técnica se la conoce como “Phishing” (del inglés fish=pescar) y es
un claro ejemplo de “Ingeniería Social”, de la cual se habló anteriormente.
Para prevenir ser víctimas del phishing, en caso de recibir pedidos de 17 5’

información confidencial, es recomendable:
Comunicarse telefónicamente con la Empresa que supuestamente nos
contactó, para confirmar el pedido. No se debe llamar al teléfono que
figura en el mensaje recibido, sino que se debe obtener el número de
una fuente confiable (como por ejemplo del resumen de cuenta que
recibe por correo postal).
Nunca enviar por correo información confidencial sin cifrar.
Verificar el origen del correo, aunque tenga en cuenta que el mismo
puede estar falsificado.
Verificar el destino de los enlaces, es decir, si realmente corresponden
con el sitio al que dicen dirigir.
PAUSA 15’
Vamos a abordar ahora el tema de Firma Digital. La definición aquí 18 5’

incluida es una descripción funcional, que no busca detallar los aspectos
técnicos de esta tecnología. La Firma Digital es un Conjunto de datos
expresados en formato digital, utilizados como método de identificación
de un firmante y de verificación de la integridad del contenido de un
documento digital, que cumpla con los siguientes requisitos:
haber sido generado exclusivamente por su titular utilizando una clave
que se encuentre bajo su absoluto y exclusivo control
ser susceptible de verificación
estar vinculado a los datos del documento digital poniendo en
evidencia su alteración
Para firmar digitalmente el firmante deberá generar previamente su par 19 10’

de claves (una pública y una privada), relacionadas matemáticamente
entre sí.


sugerido
La clave privada deberá quedar siempre bajo su exclusivo control por ser
el elemento que utilizará para producir su firma digital.
La clave pública, junto a sus datos personales, estará contenida en un
certificado digital emitido por un certificador licenciado de acuerdo a la
normativa vigente, y será utilizada para verificar su firma digital.
Una firma electrónica carece de algún requisito exigido por la normativa
vigente para las firmas digitales (por ejemplo, que el certificado no fue
emitido por una autoridad certificante licenciada).
Ante la aparición de nuevas tecnologías, es común encontrar que mucha 20 10’

gente desconoce el significado real de ciertos términos asociados así
como sus verdaderos usos y prestaciones.
Para desechar los preconceptos que pudiera haber entre los participantes,
comenzaremos por indicar una serie de “mitos” sobre la tecnología de
Firma Digital, también llamada “de claves públicas”. Luego nos
adentraremos en su definición, tecnología y posibles usos.
“Con la tecnología de firma digital se solucionan todos los
problemas de seguridad”
Ya vimos a lo largo de las charlas, que los aspectos vinculados con la
seguridad de la información son muchos, y que no hay una sola solución a
aplicar. La tecnología de Firma Digital proporciona los elementos técnicos
para garantizar la AUTENTICIDAD e INTEGRIDAD de un
mensaje/documento y evitar el repudio de la información firmada.
“La tecnología de Firma Digital es difícil de utilizar”
Esto es un mito creado por aquellos que no se interiorizaron del
mecanismo que emplea la firma digital. Una vez instalado el mecanismo,
sólo se requiere una simple capacitación sobre cómo utilizarlo y el usuario
ya estará listo para emplear este mecanismo.
“Todavía no hay estándares de Firma Digital”
Existen estándares aplicables a la tecnología de firma digital ampliamente
aceptados y utilizados a nivel internacional. A nivel nacional, la Decisión
Administrativa nro. 6/07 establece los estándares tecnológicos y
operativos para la infraestructura de firma digital de la República
Argentina.
“La tecnología de Firma Digital es sólo un tema técnico”
El empleo de la tecnología de firma digital debe ser una decisión
estratégica dentro del marco del resguardo de la información. Los
sistemas o entornos donde implementarla deben escogerse
cuidadosamente, en función a la criticidad de la información manejada. La
etapa de implementación de la Firma Digital es la única que consiste en
un proceso técnico. Finalmente, el uso de Firma Digital se encuentra
destinado a todos los usuarios, como una mejora a los procesos
cotidianos.
Como vimos al comienzo de estas charlas, el objeto a asegurar es la 21 15’

información. Concretamente, las propiedades de disponibilidad, integridad
y confidencialidad, dentro de las principales. Veamos cómo puede
utilizarse la tecnología de Firma Digital para contribuir en este sentido.
“Identificación de Usuarios”
El uso de certificados digitales proporciona un mecanismo para identificar
a su poseedor, pudiendo dicho mecanismo ser utilizado por aplicaciones,


sugerido
ya que sólo el propietario de la clave privada correspondiente al
certificado puede firmar un mensaje o documento, con lo cual se verifica
su identidad.
“Privacidad de Comunicaciones”
Por ejemplo, en el caso de servidores web con certificados de sitio seguro
(generalmente aparece el candado cerrado en el navegador), dado que
cuando el cliente se conecta, el navegador presenta el certificado digital
del sitio web con el cual se cifrará la comunicación con el usuario.
“Privacidad de Datos”
Así como los certificados digitales son utilizados como parte del proceso
de firma también pueden ser utilizados para cifrar información, para lo
cual se debe disponer del certificado digital del destinatario. Como
consecuencia de este último caso, es posible guardar o enviar datos
sensibles por cualquier medio, con la garantía de que éstos serán
“ilegibles” por cualquier tercero ajeno a la comunicación.
“Integridad de los Datos”
La Firma Digital es una herramienta que permite garantizar la integridad
del documento firmado, ya que si es alterado luego de haber sido
firmado, dicha firma no podrá verificarse, evidenciando que se ha
producido algún cambio.
“Repudio en términos legales”
En nuestro país existe un marco legal vigente, a partir de la Ley 25.506 y
sus normas complementarias, que permite atribuir a una firma digital, los
mismos efectos que tiene una firma manuscrita, siempre que se sigan los
procedimientos establecidos a tal efecto. De esta manera, se presume que
un documento electrónico firmado digitalmente, pertenece al titular del
certificado digital que se utilizó en el proceso de firma y que su contenido
no ha sido alterado desde el momento en que fue firmado.
Por otra parte, y para no malinterpretar los alcances de esta herramienta,
comentaremos brevemente qué cosas no resuelve la utilización de Firma
Digital.
“Resguardo de la Información”
Si bien se puede asegurar la autoría e integridad (con la firma) y la
confidencialidad (con el cifrado) de la información, esta condición no es
suficiente para garantizar su disponibilidad, exactitud y usabilidad.
“Autorización de Usuarios”
Como mencionamos anteriormente, la tecnología puede ser utilizada para
identificar y autenticar a un usuario, pero no basta por sí sola para
autorizar accesos a recursos. En este caso, se deberán arbitrar otras
condiciones adicionales para la autorización.
“Disponibilidad de la Información”
Dado que la disponibilidad tiene que ver con la garantía del acceso a los
usuarios autorizados a la información de que se trate y ésta depende de
un conjunto amplio de factores, no podemos afirmar que esta tecnología
por sí misma brinde alguna facilidad para asegurar la disponibilidad de la
información.
El uso de esta herramienta, aporta muchos beneficios pero requiere tener 22 5’

en cuenta las siguientes consideraciones:
“El titular del certificado es responsable del secreto de su clave
privada”


sugerido
Aludimos a esta responsabilidad no sólo en el aspecto de privacidad y
confidencialidad que debe respetarse (ya que esto es válido para
cualquier clave de acceso de que disponga el usuario) sino con relación al
tipo de procedimiento asociado a la solicitud de Certificados Digitales, ya
que no hay intervención del Área de Sistemas en la generación de claves
privadas. Posibilitar el acceso de terceros a las claves privadas permitiría
que éstos firmen a nombre del titular o accedan a información destinada
sólo a él.
“El Área de Sistemas no puede solucionar la pérdida o el
compromiso de la clave”
En caso de pérdida de la clave de protección, o de la clave privada, o de
suponer que está comprometida su confidencialidad, el Área de Sistemas
no puede modificar los datos del Certificado Digital. Por lo tanto se deberá
revocar el Certificado y tramitar uno nuevo. Tampoco puede habilitar o
cambiar contraseñas definidas por el usuario para proteger su clave
privada.
Hasta ahora hemos tratado temas vinculados a la tecnología de Firma 23 5’

Digital o de claves públicas, y cuáles son los beneficios para usuarios y
técnicos, tanto como sus respectivas responsabilidades.
Pero una firma digital no es un tema exclusivamente tecnológico.
Para su implementación es necesaria la existencia de una Infraestructura
de Firma Digital compuesta por un conjunto de elementos, a saber:
Equipamiento (Hardware)
Aplicaciones (Software)
Canales de comunicación
Políticas y Procedimientos
Recursos Humanos entrenados
etc.
Estos elementos se conjugan para brindar un marco de seguridad para los

documentos electrónicos que permitan:
Crear
Administrar
Almacenar
Distribuir
Revocar
Certificados Digitales de Clave Pública, que son la herramienta necesaria

para firmar documentos digitales o electrónicos.
Veamos entonces algunos ejemplos de documentos digitales sobre los que 24 5’

se puede aplicar una Firma Digital.
Un mensaje de correo electrónico
Datos ingresados mediante un formulario Web
Los valores insertados en una BD


sugerido
Una transacción bancaria
Una imagen (scan) de un documento en papel
Una grabación digital de audio o video
Un archivo cualquiera de la PC
El contenido de un CD-ROM, etc.
La mayoría de los navegadores y sistemas de administración de correo 25 5’

electrónico permiten firmar y cifrar documentos y mensajes de correo
electrónico.
Puede obtener más información en http://www.pki.gov.ar, donde también
puede solicitar participar del Laboratorio de Firma Digital, en el cual se
explica más exhaustivamente el funcionamiento de la tecnología de firma
digital y su uso cotidiano.
Para obtener un certificado de firma digital se puede acceder al sitio
http://ca.sgp.gov.ar y mediante un trámite guiado y sencillo se obtendrá
un certificado digital.
Ese certificado emitido según la política establecida por la autoridad que
lo emitió, solo valida la dirección de “correo electrónico” del solicitante.
Esto permitirá utilizar la tecnología y enviar mensajes de correo
electrónicos firmados y/o cifrados (si se dispone del certificado del
destinatario) asegurando que el emisor (o mejor dicho su casilla de
correo) es de quien dice ser.
Si en cambio se desea obtener un certificado digital personal, se deberá
iniciar el trámite en el sitio http://ca.pki.gov.ar y continuarlo
personalmente en las oficinas del Proyecto de Firma Digital de la Oficina
Nacional de Tecnologías de Información (ONTI) de la Subsecretaría de la
Gestión Pública o bien en las Autoridades de Registro creadas en algunos
organismos, que están listados en el sitio http://ca.pki.gov.ar.
Recordamos la definición que ya vimos de Incidente. 26 a 27 5’
Nota: Para el desarrollo de esta diapositiva se recomienda seguir los 28 5’

lineamientos establecidos en la política de seguridad de la información del
organismo, y/o en los procedimientos asociados. En caso de no existir, se
pueden utilizar los siguientes conceptos:
Es necesario que los usuarios identifiquen y avisen de los incidentes que
perciban. Incluso en aquellos casos en que no estuvieran seguros de que
se trate de un incidente. Para ello se deben utilizar los canales de
comunicación establecidos dentro del organismo.
La seguridad de un sistema de información, es tan débil como el más
débil de los eslabones que conforman la cadena de todos los procesos y
recursos involucrados.
Es por eso que todos debemos estar alertas y colaborar para evitar que se
produzcan y/o propaguen los incidentes.
Reportar los incidentes es mucho más importante de lo que Ud. imagina. 29 5’

Se debe recalcar el tema de que todos somos necesarios, que se puede
aprender de los incidentes y así evitar a futuro pérdidas mayores (menor
tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten


sugerido
los incidentes.
Se deben reportar siguiendo el procedimiento que tenga establecido el
organismo (averiguar previamente cual es dicho procedimiento) y a los
canales definidos en el mismo. Adicionalmente, o si el organismo no tiene
un procedimiento para reportar incidentes, puede entonces reportar el
mismo al ArCERT, previo contacto con el responsable de seguridad o los
administradores de la red.
Para más información sobre cómo reportar incidentes, consulte en
www.arcert.gov.ar
Para poder informar de un incidente, es necesario que se registre y 30 5’

transmita la mayor cantidad de detalles que se puedan observar, para lo
cual se deberán anotar los mensajes que pudieran aparecer en la pantalla,
la hora de ocurrencia del evento, etc.
Por otra parte, se deberán llevar a cabo las medidas establecidas para una
primera atención del incidente.
Por último, se deberá dar aviso a quien corresponda, en función a los
procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable
del Activo, Autoridad inmediata superior, etc.
Los usuarios NO deben efectuar ninguna acción fuera de los 31 5’

procedimientos establecidos, aún aunque supongan que se trata de
acciones correctas, a favor de la solución del incidente, como ser:
manipular el software que suponen está originando o está siendo
víctima del incidente
efectuar pruebas para verificar la existencia de una vulnerabilidad
tratar de solucionar por su cuenta el problema.
Cierre y evaluación de la actividad

Realice la siguiente actividad de integración y evaluación. Se trata de una actividad grupal:
Sugerido
Realice una sola de las siguientes actividades: 15’
Forme grupos de 4 ó 5 personas y solicíteles que elaboren una lista de distintos
incidentes de seguridad que se hayan registrado en sus lugares de trabajo y cuáles
fueron las acciones que se realizaron para mitigarlos.
Forme grupos de 4 ó 5 personas y solicíteles que elaboren una lista para su grupo de
trabajo donde se mencionen las medidas preventivas en el manejo del correo
electrónico.
Puesta en común. Solicite a los grupos que expongan sus listados. Realice un 10’
resumen en la pizarra para analizar coincidencias y diferencias.
Luego solicite a los grupos que respondan la encuesta sobre sus impresiones 10’
generales de ésta capacitación.

http://www.arcert.gov.ar, sitio de ArCERT (Coordinación de Emergencias en Redes
Teleinformáticas) Subsecretaría de Gestión Pública.
http://www.pki.gov.ar, sitio de Firma Digital de la República Argentina, Subsecretaría de la
Gestión Pública.
Ley Nº 25.506, Firma Digital, 11/12/2001.
Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002.
Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital,
08/06/2006

PROGRAMA REDUCIDO
REUNIÓN ÚNICA – FUNDAMENTOS DE LA SEGURIDAD DE LA

INFORMACIÓN
Contenidos
Confidencialidad
Integridad
Disponibilidad
Normas vigentes
Ingeniería Social
Código Malicioso
Desarrollo
Desarrolle la siguiente EXPOSICION ( Utilice el Archivo curso-reducido.ppt )
Descripción número Tiempo
Estas diapositivas corresponden a la carátula y al índice de la Reunión. 1y2 2'

Recorra rápidamente los temas a tratar durante el curso.
La información es un activo valioso de la Organización, dado que de ella 3 5’

dependen sus actividades y básicamente su subsistencia. Es por ello que,
como el resto de los activos, la información debe resguardarse.
En particular, para los organismos públicos, se deberá tener en cuenta
también, que existen políticas y lineamientos gubernamentales tendientes
a poner cada vez más información a disposición del ciudadano. Estas
acciones se enmarcan en lo que se conoce como “Gobierno Electrónico”.
Este proceso, que produce una mejora en los servicios y en la gestión del
Estado, trae aparejado un aumento del riesgo de seguridad de la
información que manejan los organismos públicos, por lo que se torna
indispensable que se adopten las medidas adecuadas para su tratamiento
y resguardo.
Entendiendo que la información debe preservarse, deberemos entender 4 2’

con respecto a qué es preciso resguardarla. Esto es, conocer las
amenazas que atentan contra la seguridad de la información. Podemos

encontrar amenazas de origen natural o humano, deliberadas o fortuitas,

etc.
Estas amenazas existen a partir de vulnerabilidades y pueden generar 5 2’

graves consecuencias para la organización.
Se entiende por vulnerabilidad como una debilidad en un activo.
Ya mencionamos que tanto la información, como los programas y recursos
informáticos como el equipamiento, los insumos, etc., se consideran
activos de una organización, por lo que su pérdida puede traer
consecuencias graves.
Por otra parte, una amenaza es una violación potencial de la seguridad.
No es necesario que la violación ocurra para que la amenaza exista. Las
amenazas surgen a partir de la existencia de vulnerabilidades.
En el siguiente cuadro se expone una forma de clasificar las amenazas
existentes.
En este cuadro vemos que las amenazas pueden tener un origen natural o 6 5’
humano. Dentro de las amenazas provocadas por el hombre,
encontramos que estas pueden ser maliciosas (deliberadas) por un lado y
no maliciosas (no intencionales) por el otro.
Las amenazas maliciosas comprenden las actividades propiamente
delictivas, de intrusión (ingresar sin autorización a un sitio o sistema
privado), fraude, sabotaje, etc.
Las no maliciosas de origen humano involucran a las operaciones que, por
desconocimiento, impericia o negligencia, provocan algún incidente de
seguridad. Este curso intenta impartir conocimientos de seguridad sobre
los sistemas de información, de manera de minimizar los incidentes que
pudieran ocasionarse en forma no intencional.
Por último mencionamos las amenazas de origen natural, generalmente
desastres naturales como inundaciones o terremotos, aunque también hay
que tener en cuenta el corte de servicios (energía eléctrica, conectividad,
etc.).
Cuando hablamos de preservar la información, nos referimos a algunas de 7 2’

sus cualidades. Entre éstas, podemos citar principalmente:
CONFIDENCIALIDAD: Se garantiza que la información se encuentre
accesible sólo a aquellas personas autorizadas.
Pensemos qué podría ocurrir si en la dependencia donde trabajamos,
alguien accediera a la información personal que se tiene de los
ciudadanos o de los empleados del organismo (por ejemplo, ingresos
anuales, deudas impositivas, domicilio, historia clínica), sin la debida
autorización.
INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la 8 2’

información y de los métodos de procesamiento y transmisión.
Qué ocurriría si se alteran los datos contenidos en nuestras PC, o se
cambiara su configuración, sin la debida directiva o autorización.
Seguramente en muchos casos, esto tendría graves consecuencias para
nosotros, para el organismo y/o para terceros.
DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen 9 2’

acceso a la información y a los recursos relacionados, toda vez que lo

requieran
Supongamos que un organismo publica información importante en su sitio
web, como por ejemplo vencimientos de pagos o instrucciones para
realizar un trámite complicado, presentación en línea de declaraciones
juradas, y alguien impide que se pueda acceder a dicho sitio.
Las organizaciones deben gestionar los riesgos a que se encuentran 10 a 10’

expuestas, realizando las tareas necesarias para garantizar los niveles de 12
seguridad considerados aceptables en su ámbito. La seguridad de sus
sistemas de información debe ser entendida como un proceso y basarse
en un documento denominado Política de Seguridad de la Información
(PSI).
Una PSI constituye un marco general que define las pautas que deben
cumplirse para preservar la seguridad de la información de una
organización.
Esto les permite planificar las actividades a realizar, planteando el
escenario completo de los aspectos a custodiar.
Una Política consiste entonces en una serie de condiciones para garantizar
la seguridad de la información. Luego se deberá profundizar el nivel de
detalle en normas y procedimientos que indiquen cómo implementar
dichas disposiciones.
Asimismo, y como la seguridad de la información debe ser considerada un
proceso, debe contemplarse la realización de revisiones periódicas de la
Política, garantizando su adaptación a la realidad y a los cambios
tecnológicos.
Por último, se debe asegurar el cumplimiento de toda la normativa
vigente.
Actualmente en nuestro país, así como en el resto del mundo, existen 13 5’

normas que regulan el uso de los recursos informáticos y de la
información.
La Decisión Administrativa Nº 669 de diciembre de 2004 establece para
los organismos de la Administración Pública Nacional la obligatoriedad de
redactar, aprobar e implementar una Política de Seguridad de la
Información que se maneja en su ámbito, de designar un responsable de
seguridad y de convocar un Comité conformado por Directores de áreas
sustantivas, para el tratamiento de los temas vinculados a la seguridad de
la información.
La política de seguridad de la información de cada organismo debe
basarse en el modelo aprobado por la ONTI mediante la Disposición Nº
06/2005. Su implementación se lleva a cabo mediante procedimientos
formalizados, referidos al tratamiento de la información, su
confidencialidad, etc.
Un aspecto importante a tener en cuenta es la clasificación de la
información y el inventario de los recursos de información. Conocer los
recursos con los que se cuenta y el tipo de información que se maneja y
establecer su criticidad permite identificar los riesgos y, en base a ello,

establecer las medidas que se adoptarán para su protección.

(Se recomienda en esta sección realizar una referencia a las
políticas y procedimientos de seguridad aprobados en el
organismo)
Existen además otras normas vigentes en nuestro país que regulan 14 5´

aspectos vinculados con el uso de la información y de los recursos
informáticos.
Respecto al uso de la información en el Estado, la Ley 25.164 establece
deberes para todos los funcionarios públicos, es decir, para todas
aquellas personas que prestan servicios para el Estado
independientemente del estado de revista. Entre estos deberes se
encuentra el de observar el deber de fidelidad que se derive de la índole
de las tareas que le fueron asignadas y guardar la discreción
correspondiente o la reserva absoluta, en su caso, de todo asunto del
servicio que así lo requiera.
Respecto al uso de los recursos informáticos en la Administración Pública,
la ley 25.164 prohíbe a los funcionarios públicos hacer uso indebido o con
fines particulares del patrimonio estatal (computadoras, impresoras,
software, etc.)
Con el mismo alcance y finalidad, la ley 25.188 dispone la obligación para 15 5´

todos los funcionarios públicos de abstenerse a utilizar información
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de
intereses privados.
Las normas mencionadas precedentemente alcanzan también a la
información que se procesa en una computadora, cualquiera sea su
formato o soporte (papel, un disco rígido, un diskette, un archivo adjunto
a un mensaje de correo electrónico, etc.).
Esta ley también establece la obligación de proteger y conservar la
propiedad del Estado y sólo emplear dichos recursos con los fines
autorizados.
Dentro del universo de información que se genera, procesa y transmite en 16 10´

el Estado, encontramos un subconjunto compuesto por los datos
personales, es decir, aquellos datos que refieren a una persona.
El derecho a la protección de los datos personales adquirió jerarquía
constitucional en la reforma del año 1994.
Debido a su sensibilidad, estos datos gozan de un régimen particular, el
que viene a complementar a las leyes mencionadas. Así, la ley 25.326 y
sus normas complementarias buscan proteger los datos personales y el
derecho de sus titulares a conocer y en su caso, actualizar, modificar o
suprimir aquellos que sean inexactos.
La ley establece que los datos personales no pueden procesarse sin el
consentimiento expreso del titular, salvo contadas excepciones. Todo
aquel que adquiera, procese o ceda datos personales sin el
consentimiento del titular estará realizando una actividad ilícita susceptible
de ser sancionada. Por lo tanto, queda más que claro que la cesión de

datos personales o de bases de datos que los contengan constituye un

delito.
La Dirección Nacional de Protección de Datos Personales del Ministerio de
Justicia y Derechos Humanos es la Autoridad de Aplicación. Todos los
organismos públicos y las entidades privadas deben registrar sus bases de
datos y cumplir con las medidas de seguridad y confidencialidad
establecidas.
Por otro lado, el software es considerado una obra intelectual que goza de 17 10´
la protección de la Ley 11.723. Esta ley permite que la explotación de la
propiedad intelectual sobre los programas de computación se realice
mediante licencias para su uso o reproducción. Por tal motivo, toda
conducta que vaya en contra de lo dispuesto en dichas licencias violará
los derechos del autor de la obra y genera responsabilidad administrativa,
civil y penal.
Instalar un programa sin contar con la debida licencia, puede traer
consecuencias legales tanto para el organismo como para quien lo instala.
La ley 25.506 habilita el uso del documento electrónico, la firma 18 a 5´

electrónica y la firma digital. Esta última, bajo determinadas condiciones, 19
produce los mismos efectos legales que la firma manuscrita.
Vamos a introducir ahora el tema de Firma Digital. La definición aquí
incluida es una descripción funcional, que no busca detallar los aspectos
técnicos de esta tecnología. La Firma Digital es un Conjunto de datos
expresados en formato digital, utilizados como método de identificación
de un firmante y de verificación de la integridad del contenido de un
documento digital, que cumpla con los siguientes requisitos:
haber sido generado exclusivamente por su titular utilizando una
clave que se encuentre bajo su absoluto y exclusivo control
ser susceptible de verificación
estar vinculado a los datos del documento digital poniendo en
evidencia su alteración
El acceso a los sistemas de información normalmente se realiza mediante 20 5’

la identificación del usuario que lo requiere. Para ello se solicita el ingreso
de una identificación de usuario, esto es un nombre o un código que
identifique a la persona que solicita el acceso (Ej.: gomez, aperez, etc.) o
a la función que esta cumple (Ej.: administrador, operador, etc.).
El sistema necesita validar al usuario que desea acceder, para lo cual
necesita verificar que éste sea quien dice ser. Para ello, el usuario deberá
autenticarse, esto es demostrar que es el usuario que indicó en el paso
anterior.
Por último, el sistema controla que el usuario tiene autorización para
acceder al recurso que solicitó. No todos los usuarios tienen permiso para
acceder a todas las aplicaciones, documentos, etc.
La autenticación puede realizarse de diversas maneras, entre ellas: 21 5’

Demostrando algo que se sabe: Típicamente ingresando una
clave.
Demostrar algo que se tiene: Para lo cual se utilizan dispositivos
externos, tales como tarjetas magnéticas, tokens usb, etc.

Demostrar algo que se es: Mediante el uso de técnicas

biométricas. Las técnicas biométricas son métodos automáticos para
el reconocimiento único de personas basados en uno o más rasgos
conductuales o físicos intrínsecos. Ej.: análisis de las huellas digitales,
el reconocimiento de la voz, el análisis del iris, etc.
Para aumentar la seguridad en el control de acceso se recomienda
combinar dos de estas tres alternativas.
Dado que el uso de la combinación de usuario y clave es el método 22 5’

mayormente utilizado (en general porque es el más económico), vamos a
conocer las características que debe reunir una contraseña para que sea
segura:
Personal: se debe asignar una contraseña a cada persona que acceda
al sistema.
Secreta: sólo el usuario de la contraseña debe conocerla.
Intransferible: la contraseña no puede ser revelada a ningún tercero
para su uso.
Modificable sólo por el titular: el cambio de contraseña, sea cual fuere
el motivo, debe ser realizado por el usuario titular de la misma y sólo
en casos excepcionales por el administrador, por ejemplo, cuando el
usuario olvida su contraseña (en este caso, el usuario debe cambiarla
inmediatamente después de acceder a su cuenta).
Difícil de averiguar: Al momento de elegir su nueva contraseña, el
usuario debe seguir ciertos lineamientos que impidan la averiguación
de la misma por parte de terceros. Más adelante se verán algunos de
estos lineamientos.
Se exponen a continuación, algunas de las técnicas utilizadas para formar 23 a 10’

una clave robusta, que conjugan cierta dificultad para averiguarla con 24
características que permiten que los usuarios la puedan recordar
fácilmente.
No utilice palabras comunes ni nombres de fácil deducción por
terceros (nombre de mascota, nombre de equipo de fútbol favorito),
ya que estas claves podrían ser obtenidas fácilmente mediante el uso
de técnicas automáticas que prueben acceder a la cuenta del usuario
con palabras extraídas de diccionarios de palabras comunes.
No las vincule a una característica personal, (teléfono, D.N.I., patente
del automóvil, etc.).
No utilice terminología técnica conocida (admin).
Combine caracteres alfabéticos, mayúsculas y minúsculas, números,
caracteres especiales como espacio, guión, símbolo $, etc.
Constrúyalas utilizando al menos 8 caracteres.
Use claves distintas para máquinas diferentes y/o sistemas diferentes.
Use un acrónimo de algo fácil de recordar
Ej.: NorCarTren (Norma , Carlos, Tren).
Añada un número al acrónimo para mayor seguridad: NorCarTren09
(Norma, Carlos, Tren, Edad del hijo).
Mejor aún, si la frase origen no es conocida por otros: Verano del 42:

Verdel4ydos.
Elija una palabra sin sentido, aunque pronunciable. (galpo-glio).
Realice reemplazos de letras por signos o números. (3duard0palmit0).
Elija una clave que no pueda olvidar, para evitar escribirla en alguna
parte. (arGentina6-0).
Se deben establecer normas para el uso adecuado de las contraseñas, de 25 a 10’

forma de prevenir que éstas sean vulneradas y utilizadas por intrusos para 26
acceder a los sistemas de forma no autorizada.
Cuide que no lo vean cuando tipea su clave.
No observe a otros mientras lo hacen.
No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
No comparta su clave con otros.
No pida la clave de otro.
No habilite la opción de “recordar claves” en los programas que
utilice.
Si por algún motivo tuvo que escribir la clave, no la deje al alcance de
terceros (debajo del teclado, en un cajón del escritorio) y NUNCA
pegada al monitor.
NUNCA envíe su clave por correo electrónico ni la mencione en una
conversación, ni se la entregue a nadie, aunque sea o diga ser el
administrador del sistema.
No mantenga una contraseña indefinidamente. Cámbiela
regularmente, aunque las políticas de Administración de Claves no lo
obliguen.
PAUSA 10’
La información sensible no sólo es manejada en los sistemas informáticos, 27 a 10’

sino que también se encuentra dispersa en otros medios, como ser 29
papeles, archivos físicos, etc. Es por ello que se deben establecer medidas
de seguridad para la información fuera de los sistemas informáticos.
Plantee el tema de “Escritorio Limpio” indicando el por qué de dicha
práctica y dando consejos para cumplirla.
Durante el día se debe realizar una serie de tareas que se encuentran
enunciadas en la diapositiva número 27. Se debe tener cuidado con la
documentación impresa, según lo indicado en la diapositiva número 28.
Por último, se debe tomar una serie de recaudos al abandonar la oficina al
finalizar el día, siguiendo las recomendaciones de la diapositiva número
29.
El concepto de “Pantalla Blanca” apunta a no exponer en la pantalla 30 2’

información que pueda ser utilizada por personas no autorizadas.
Sugerencia para el expositor: Plantee una situación en la cual dejar la
pantalla desatendida podría ser una amenaza a la seguridad de la
información del usuario y del Organismo. Ej.: que un tercero opere la
Terminal de forma no autorizada.
Indague sobre el sistema operativo utilizado en su Organismo, o el que

mayoritariamente utilizan los usuarios si es que hay más de uno, e indique

cuál es el mecanismo para proteger una terminal desatendida, con dicho
sistema.
Introducimos ahora el concepto de Ingeniería Social. Se trata de un 31 2’

conjunto de técnicas de engaño que se aplican sobre las personas para
obtener de ellas información de interés para el atacante, o para lograr que
efectúen alguna acción deseada por éste.
Generalmente estamos acostumbrados a asociar la seguridad de un
sistema con las herramientas informáticas que aplican seguridad, o bien
con controles físicos. Pero olvidamos que los seres humanos se
encuentran directamente relacionados con los sistemas de información,
constituyendo un factor alto de riesgo que también debe ser mitigado.
Precisamente la Ingeniería Social explora el factor más vulnerable de todo
sistema: el ser humano.
Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas 32 2’
de información, se debe primeramente informar a las potenciales víctimas
sobre este tipo de técnicas, de forma que se encuentren prevenidas y
puedan reaccionar con el objeto de rechazar estos ataques.
Aquí se exponen algunas consideraciones a tener en cuenta, a fin de
mitigar los intentos de Ingeniería Social.
De más está decir que continuamente se ingenian nuevas estrategias, por
lo que insistimos con ser precavidos y estar alertas. (ya que siempre se
puede armar un manual de técnicas conocidas, lo que no se puede
asegurar es que sirva para todos los casos, que no habrá cosas nuevas,
etc.)
El Código Malicioso o Programa malicioso es un programa de 33 10’

computadora escrito para producir inconvenientes, destrucción, o violar la
política de seguridad.
Existen distintos tipos:
Los virus, que generalmente requieren alguna interacción por parte
del usuario (por ejemplo, abrir un archivo adjunto que recibe por
correo electrónico).
Los Caballos de Troya o Troyanos, que son programas que tienen una
funcionalidad conocida (por ejemplo, un juego) pero además tienen
una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario
y mandarlas en un mensaje de correo electrónico al atacante)
Los Gusanos, que se reproducen sin necesidad de interacción de los
usuarios, por ejemplo atacando servicios de red vulnerables (por
ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas
de Windows, siempre y cuando a la máquina no se le haya instalado
la actualización que corrige la vulnerabilidad)
También existen otros tipos, como el spyware que suele recopilar
información sobre una persona, para poder mostrarle publicidad dirigida.
Para disminuir las amenazas que presenta el código malicioso, se suele
utilizar programas antivirus. Sin embargo, es importante resaltar que
dichos programas no son siempre efectivos, ya que suelen detectar el
código malicioso en base a patrones conocidos, es decir que no detectan
automáticamente nuevos programas maliciosos creados por los atacantes.
Por eso, se debe mantener el antivirus actualizado, pero igual no se debe

confiar en que el mismo va a detectar todo el código malicioso que

recibamos.
Resalte el concepto de que algo que diga ser una foto o video, puede en
realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un
mensaje de correo electrónico que incluya una supuesta foto de nuestro
ídolo favorito, pero en realidad el archivo adjunto es un programa que
puede causar un daño.
Para dejar clara la importancia de prevenirse contra el código malicioso, 34 5’

se dan ejemplos de algunas de las cosas que suelen hacer los códigos
maliciosos una vez que se encuentran activos en la máquina victima:
Borrar archivos del disco rígido para que la computadora se vuelva
inoperable.
Infectar una computadora y usarla para atacar a otras.
Obtener información sobre el usuario, los sitios web que visita, sus
hábitos en la computadora.
Capturar las conversaciones activando el micrófono (o viendo al
usuario, con la activación de la webcam).
Ejecutar comandos en la computadora, como si lo hubiera hecho el
usuario.
Robar archivos del equipo, por ejemplo aquellos con información personal,
financiera, números de serie (licencia) de programas instalados, etc.
Veremos ahora algunas medidas que se deben tener en cuenta para 35 2’

navegar en Internet de forma segura.
A veces un link (enlace) puede ser engañoso y llevar al usuario a acceder
a una página diferente a la que aparentemente lo lleva (en función al
texto del enlace). Para evitar caer en esta trampa se debe:
a) Verificar el destino de los enlaces con la opción “Propiedades”
(normalmente utilizando el botón derecho del Mouse) para corroborar
que sea el mismo que se menciona en el texto del enlace (esto se
puede mostrar directamente con un navegador).
b) No acceder directamente al enlace haciendo clic sobre el mismo, sino
que se aconseja copiar el texto del enlace y pegarlo en la barra de
dirección del navegador.
Algunas otras medidas para evitar ataques durante la navegación son: 36 10’
1. Evitar acceder a sitios desconocidos o no confiables, ya que los
mismos pueden contener contenido malicioso que permita descargar y
ejecutar programas maliciosos en su estación de trabajo.
2. Asegurarse de que el navegador no acepte la instalación de software
descargado de Internet en forma automática.
3. No descargar de Internet archivos ejecutables.
4. No introducir información sensible en sitios o foros.
5. Si se necesita introducir información sensible en un sitio web,
asegurarse de que la página es segura (https) y verificar que el
certificado que presenta la misma es válido:
Correspondencia entre el nombre de dominio del certificado y el

nombre del sitio web al que se accede.

Vigencia.
Autoridad Certificante confiable.
6. El administrador de la red muchas veces conoce valores de
configuración que hacen que la navegación por Internet sea más
segura.
Vamos a referirnos a las amenazas existentes en el manejo del correo 37 5’

electrónico.
El correo electrónico es un medio de comunicación muy útil, pero también
es un medio por el cual podemos recibir mensajes no solicitados (spam),
engaños (hoaxs) y otros tipos de amenazas.
Por ejemplo, los mensajes de correo electrónico pueden ser falsificados
fácilmente. Tenga en cuenta que un atacante podría generar mensajes
que parezcan ser originados por algún tercero en el cual Ud. confía.
Además, se debe tener especial cuidado con los archivos adjuntos y los
enlaces a páginas web, ya que pueden incluir código malicioso.
Los correos electrónicos son un medio ampliamente utilizado para la 38 10’

propagación de virus y troyanos mediante archivos adjuntos. Es por ello
que deben tenerse en cuenta ciertas medidas de seguridad para
manipular archivos adjuntos, especialmente cuando no son archivos que
se esperan y no están directamente relacionados con cuestiones
laborales. Las buenas prácticas incluyen:
No abrir archivos adjuntos de origen desconocido o que no estén
relacionados con nuestras tareas en el organismo.
No abrir archivos adjuntos que no esperamos recibir, aunque nos
parezca que su origen es conocido.
No abrir adjuntos que tengan extensiones ejecutables.
No abrir adjuntos que tengan más de una extensión.
Chequear con el remitente, en caso de dudas, la razón por la cual nos
envió un archivo adjunto.
Una de las operaciones más frecuentes es el reenvío de mensajes. Esta 39 5’

operación involucra la utilización de un mensaje recibido como base para
el envío de uno nuevo a otros destinatarios.
Generalmente, por omisión, el cliente de correo electrónico (Outlook,
Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta
razón, el nuevo destinatario recibirá información acerca del autor y los
destinatarios originales, sin poder estos controlar el destino del mensaje
enviado, que a su vez suele ser reenviado sucesivamente.
Esto no sólo presenta una amenaza a la confidencialidad de la información
contenida en el mensaje, sino que además facilita la propagación de virus
(ya que al reenviar un mail conteniendo un virus el mismo será recibido
por otros usuarios) y promueve el envío de “correo no solicitado” (en caso
de reenvíos masivos).
Cuando sea necesario reenviar un mensaje, elimine los datos del emisor
original (si corresponde, a menos que necesite hacer mención explícita y
textual del mensaje original, por ejemplo en el seguimiento de un tema en

un ambiente colaborativo), o copie el contenido en uno nuevo.

Si envía un mensaje a más de una persona, agregue las direcciones como
“CCO” o copia oculta, para evitar que cada receptor vea las direcciones de
correo del resto de los destinatarios.
Una de las técnicas conocidas para fomentar los reenvíos de mensajes, 40 5’

obtener direcciones de correo y armar bases de datos con las mismas, es
la conocida “cadena de correos electrónicos”.
En estas cadenas, se apela a la solidaridad del receptor, solicitando el
reenvío con fines benéficos, o se advierte sobre ciertas cuestiones,
pidiendo que se retransmita dicha alerta.
Las “colecciones” de direcciones de correo electrónico incluidas en los
mensajes, suelen ser utilizadas para formar parte de bases de datos que
luego son empleadas para enviar información no solicitada (Spam) o
pueden ser capturadas por virus informáticos, como fuente de direcciones
válidas a las cuales reenviarse.
Debemos pensar acerca de cambiar nuestro hábito de reenviar 41 2’

“compulsivamente” los mensajes recibidos.
Este comportamiento habitual tiende a desarrollarse, dado que es común
pensar que reenviar un mensaje no tiene costo alguno (en comparación
con una llamada telefónica o un envío postal). Sin embargo debemos
pensar que estamos comprometiendo datos de terceros, tiempo propio y
de los destinatarios y recursos de la organización.
Los “engaños” o “Hoax” son mensajes fraudulentos conteniendo 42 2’

información inexacta o falsa, que inducen al receptor a reenviar el
mensaje, a fin de difundir su contenido o a realizar acciones que muy
probablemente le ocasionaran problemas (Ej.: “borre el archivo XXX”, el
usuario lo hace y su máquina deja de funcionar! ).
Aquí presentamos algunas características comunes de los engaños 43 5’

(Hoax), que deben ser tenidas en cuenta cada vez que se reciben este
tipo de mensajes.
Debemos pensar que difícilmente se pueda hacer una campaña de junta
de firmas o recaudación de donaciones por esta vía.
Si el receptor está interesado en colaborar, o se hace eco del mensaje, se
le recomienda que se dirija a la página oficial de la organización que está
mencionada. Un mensaje que no es Hoax, invita a una página oficial,
donde se pueden constatar cantidad de visitas o donde se puede dejar un
mensaje de adhesión.
Pero nunca se debe creer en supuestos “beneficios” que se otorguen por
el mero reenvío de un mail y generalmente, si es un hecho verídico, se
utilizan otros medios de difusión, como por ejemplo, la prensa.
También se debe evitar visitar el enlace que está incluido en el mensaje
ya que generalmente, es mediante ese mecanismo que se produce el
engaño.
Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente 44 5’

desconocida, brindándonos información que no solicitamos. Estos
mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas
veces contienen información falsa o engañosa. Algunas de las técnicas
que utilizan los spammers (es decir, aquellos que envían mensajes no

solicitados por motus propia o para terceros) para obtener direcciones

válidas de correo electrónico, incluyen:
Búsqueda de direcciones en páginas web y foros.
Captura de direcciones en cadenas de correo.
Listado de suscriptores a Listas de correo.
Compra de bases de datos de direcciones de correo.
Acceso no autorizado en servidores de correo.
Es conveniente tener en cuenta algunas reglas de comportamiento con 45 10’

respecto a estos envíos de mensajes no solicitado:
No deje su dirección de correo electrónico en cualquier formulario o
foro de Internet.
No responda los correos no solicitados. Bórrelos. Es lo más seguro.
En general, no conviene enviar respuesta a la dirección que figura
para evitar envíos posteriores.
Configure filtros o reglas de mensaje en el programa de correo para
filtrar mensajes de determinadas direcciones.
No configure “respuesta automática” para los pedidos de acuse de
recibo.
No responda los pedidos de acuse de recibo de orígenes dudosos.
Otra de las amenazas que frecuentemente se advierten en la recepción de 46 2’

correo electrónico, es el fraude para obtener información confidencial.
Generalmente utilizando imágenes y tipografía de una empresa conocida
(Banco, Tarjeta de Crédito, Proveedor de Internet, etc.) llega un mensaje
solicitando datos personales, como tarjeta de crédito para validar al
usuario, o usuario y clave de acceso a algún sistema de información.
A esta técnica se la conoce como “Phishing” (del inglés fish=pescar) y es
un claro ejemplo de “Ingeniería Social”, de la cual se habló anteriormente.
Para prevenir ser víctimas del phishing, en caso de recibir pedidos de 47 2’

información confidencial, es recomendable:
Comunicarse telefónicamente con la Empresa que supuestamente nos
contactó, para confirmar el pedido. No se debe llamar al teléfono que
figura en el mensaje recibido, sino que se debe obtener el número de
una fuente confiable (como por ejemplo del resumen de cuenta que
recibe por correo postal).
Nunca enviar por correo información confidencial sin cifrar.
Verificar el origen del correo, aunque tenga en cuenta que el mismo
puede estar falsificado.
Verificar el destino de los enlaces, es decir, si realmente corresponden
con el sitio al que dicen dirigir.
INCIDENTE: Un incidente de seguridad, es un evento adverso que puede 48 5’

afectar a un sistema o red de computadoras.
Puede ser causado por una falla en algún mecanismo de seguridad,
un intento o amenaza (concretada o no) de romper mecanismos de

seguridad, etc.
Nótese que se indica que “un intento” de romper un mecanismo de
seguridad también es considerado un incidente, ya que muchas veces los
intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen
revisar su confiabilidad.
Nota: Para el desarrollo de esta diapositiva se recomienda seguir los 49 5’

lineamientos establecidos en la política de seguridad de la información del
organismo, y/o en los procedimientos asociados. En caso de no existir, se
pueden utilizar los siguientes conceptos:
Es necesario que los usuarios identifiquen y avisen de los incidentes que
perciban. Incluso en aquellos casos en que no estuvieran seguros de que
se trate de un incidente. Para ello se deben utilizar los canales de
comunicación establecidos dentro del organismo.
La seguridad de un sistema de información, es tan débil como el más
débil de los eslabones que conforman la cadena de todos los procesos y
recursos involucrados.
Es por eso que todos debemos estar alertas y colaborar para evitar que se
produzcan y/o propaguen los incidentes.
Reportar los incidentes es mucho más importante de lo que Ud. imagina. 50 5’

Se debe recalcar el tema de que todos somos necesarios, que se puede
aprender de los incidentes y así evitar a futuro pérdidas mayores (menor
tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten
los incidentes.
Se deben reportar siguiendo el procedimiento que tenga establecido el
organismo (averiguar previamente cual es dicho procedimiento) y a los
canales definidos en el mismo. Adicionalmente, o si el organismo no tiene
un procedimiento para reportar incidentes, puede entonces reportar el
mismo al ArCERT, previo contacto con el responsable de seguridad o los
administradores de la red.
Para más información sobre cómo reportar incidentes, consulte en
www.arcert.gov.ar
Para poder informar de un incidente, es necesario que se registre y 51 2’

transmita la mayor cantidad de detalles que se puedan observar, para lo
cual se deberán anotar los mensajes que pudieran aparecer en la pantalla,
la hora de ocurrencia del evento, etc.
Por otra parte, se deberán llevar a cabo las medidas establecidas para una
primera atención del incidente.
Por último, se deberá dar aviso a quien corresponda, en función a los
procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable
del Activo, Autoridad inmediata superior, etc.
Los usuarios NO deben efectuar ninguna acción fuera de los 52 5’

procedimientos establecidos, aún aunque supongan que se trata de
acciones correctas, a favor de la solución del incidente, como ser:
manipular el software que suponen está originando o está siendo
víctima del incidente.
efectuar pruebas para verificar la existencia de una vulnerabilidad.

tratar de solucionar por su cuenta el problema.
Cierre
Realice la siguiente actividad de evaluación.

Sugerido
Solicite a los grupos que respondan la encuesta sobre sus impresiones generales de 15’
esta capacitación.
http://www.pki.gov.ar/, sitio de Firma Digital de la República Argentina, Subsecretaría de la
Gestión Pública, 2006.
Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital,
08/06/2006

PARTE D – PRESENTACIÓN DE DISEÑOS DE

CAPACITACIÓN
A continuación encontrará un documento que le ayudará a completar el instrumento

”COMPONENTES PARA LA PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN”
CÓMO COMPLETAR EL INSTRUMENTO “COMPONENTES

PARA LA PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN”
Usted ha leído el Manual del Instructor en Seguridad de la Información y ha recibido los
materiales que le permitirán diseñar e implementar una actividad extendida o una actividad
breve de capacitación para personal del organismo en el que usted trabaja.
En el material que le entregamos, figura el diseño global de la actividad de capacitación; ahora,
usted debe ajustar ese diseño a las especificidades del organismo en que se desempeñará
como instructor. Recuerde que:
Planificar una acción formativa facilita su implementación, ahorra tiempos, previene

inconvenientes y permite tomar decisiones justificadas.
Usted puede usar el diseño básico que figura en los materiales pero ajustándolo a:
los requerimientos de la organización (puntos 1. Fundamentación y 2. Contribución

esperada) y
al perfil de los sujetos que participarán en la actividad de capacitación (punto 3.
Destinatarios). En el documento encontrará algunas orientaciones para completar estos
puntos.
También es recomendable que

revise los objetivos de aprendizaje (punto 4. Objetivos) tratando de incluir aquellos
que usted considere necesarios y que no estén contemplados en el diseño. Recuerde
que:
Un objetivo de aprendizaje consiste en la formulación de lo que esperamos que los

participantes puedan hacer en relación con un contenido de aprendizaje;
ejemplos: “comprender el concepto de incidente de seguridad de la información”; “aplicar
normas de seguridad en el intercambio de mensajes de correo electrónico”.
Los contenidos de aprendizaje son los temas que hemos seleccionado y organizado para
nuestra actividad de capacitación. En este caso, le solicitamos que, tanto para la actividad breve
como para la actividad extendida, respete los contenidos mínimos incluidos en la propuesta del
material.
Usted puede incorporar algunas técnicas en su estrategia metodológica de acuerdo con los
distintos momentos de apertura, de desarrollo o de cierre de cada reunión. Para eso, le
ofrecimos algunas ideas cuando abordamos los contenidos pedagógicos correspondientes a la
Reunión Nº 2. Ahora recuperamos algunas de esas técnicas en el siguiente cuadro2.
2
Fuente: RUBBO, Elsa; LEMOS, Elisa: Manual del Formador. Buenos Aires, INAP, DNC,
1995.

Técnica Descripción Utilidad
CUCHICHEO En un grupo, los miembros dialogan Para obtener conclusiones, compartir la

simultáneamente de a dos para impresión obtenida individualmente por
discutir un tema o problema del cada alumno, detectar intereses sobre
momento. Todo el grupo trabaja un tema, conocer la opinión de los
simultáneamente sobre un mismo miembros del grupo.
asunto. Se emplean pocos minutos
para resolver una pregunta
formulada al conjunto
PROCESO Un grupo analiza a fondo un Cuando se desea desarrollar la habilidad

INCIDENTE problema o incidente real, expuesto para la resolución de problemas de la
en forma muy escueta y objetiva. vida diaria o laboral y para la adopción
de buenas decisiones.
ROLE- Dos o más personas representan Cuando se desea trabajar sobre

PLAYING situaciones de la vida real (personal situaciones surgidas de la vida de
o laboral), asumiendo los roles del relación en los distintos espacios del
caso, con el objeto de que pueda ser ámbito laboral.
mejor comprendida y tratada por el
grupo.
DEBATE Un grupo reducido trata un tema en Cuando se desea promover el

DIRIGIDO O discusión informal con la ayuda intercambio y elaboración de ideas e
DISCUSIÓN activa y estimulante de un información sobre un tema pasible de
GUIADA coordinador. Promueve el diversos enfoques e interpretaciones.
intercambio de ideas e información
Cuando se desea desarrollar la
sobre un tema, bajo la conducción
capacidad de análisis, comprensión de
de una persona (docente) que hace
ideas y conceptos, o ciertas actitudes
de guía e interrogador.
como la tolerancia.
Después de una conferencia, clase
magistral o exhibición de un material
audiovisual, para promover el
intercambio de ideas y la elaboración de
la información suministrada.
PEQUEÑO Un grupo reducido trata un tema o Ídem anterior.

GRUPO DE problema en discusión libre e
(La diferencia entre una y otra técnica radica
DISCUSIÓN informal, guiado por un coordinador.
en que la primera exige un coordinador que
El clima es informal, existiendo un
estimule y oriente la discusión sobre la base
mínimo de normas. El intercambio
de interrogantes previamente establecidos.
de ideas sigue un cierto orden lógico
En esta técnica, en cambio, el clima es más
y el coordinador ordena la discusión
informal y permisivo y el coordinador
y señala oportunamente el
solamente orienta al grupo en cuanto a su
cumplimiento de las normas que el
funcionamiento y plan de trabajo):
grupo hubiese establecido para
trabajar.

PHILLIPS 66 Un grupo grande se subdivide en Cuando se desea facilitar la

subgrupos de seis personas para confrontación de ideas o puntos de
discutir durante seis minutos un vista.
tema y llegar a una conclusión. De
Cuando se desea obtener rápidamente
los informes de todos los subgrupos
opiniones elaboradas por subgrupos,
se extrae la conclusión general. (En
acuerdos parciales, decisiones de
sí misma no es una técnica de
procedimientos, sugerencias de
aprendizaje)
actividades.
LA DEMOSTRACIÓN
Mediante esta estrategia, el instructor desarrolla un tema, acompañando su explicación verbal con la
realización de movimientos, presentación de gráficos, manejo de equipos o aparatos, empleo de
medios audiovisuales diversos.
Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para explicar
principios científicos y el movimiento o relación de las piezas de una herramienta o mecanismo.
Actualmente, con el desarrollo de la Informática, la demostración ha resultado una de las estrategias
más empleadas, fundamentalmente para la presentación de productos y para mostrar contenidos de
tipo procedimental.
La demostración habrá de completarse con la práctica del participante, a fin de que pueda adquirir la
destreza o habilidad implícita en el objetivo.
Para completar este listado se sugiere consultar la siguiente bibliografía.
BIBLIOGRAFÍA
AGUILAR, María José: Cómo animar un grupo. Técnicas grupales. 1ª edición. Buenos
Aires, Kapelusz, 1990.
BRITES, Gladys; ALMOÑA, Ligia: Inteligencias múltiples. Juegos y dinámicas. Buenos
Aires, Bonum, 2004.
FRITZEN, Silvino José: 70 ejercicios prácticos de dinámica de grupo. 3ª edición,
Santander, Sal Terrae, 1988.
LEIGH, David: Como entrenar un grupo eficiente. Métodos prácticos. Bogotá, Legis,
1992.
O´CONNOR, J. SEYMOUR, J.: PNL para formadores. Bs. As., Urano, 1996.
RAE, Leslie: Manual de formación de personal. Técnicas para directivos y profesionales.
Madrid, Díaz de Santos, 1994.
http://www.gerza.com
http://www.formaciondeformadores.com
Con respecto a los recursos didácticos, le sugerimos que utilice los que ha recibido con el
material, también fueron elaborados especialmente para la formación de instructores. Como se
trata básicamente de presentaciones, es importante que los tome como un recurso que lo
ayudará en su exposición oral; y no como el componente esencial de su estrategia.
A los efectos de equilibrar las estrategias y los recursos en su diseño didáctico, tenga en cuenta
las siguientes apreciaciones:
Si solo escucho, puedo olvidar
Si también veo, puedo recordar

Si hago, comprenderé y sabré
La modalidad es presencial, ya sea la versión extendida o la versión breve de la actividad de

capacitación. Esto es así porque el trabajo a desarrollar por los participantes se realizará
durante el/los encuentros presenciales.
En relación con la bibliografía corresponde incluir la que figura en el diseño global del taller.
El perfil del instructor debe completarse en no más de cinco renglones en los que se citen
los antecedentes del instructor que lo habilitan para desempeñarse como capacitador en
Para los ítems de evaluación de los aprendizajes, de evaluación de la actividad y
evaluación de resultados, deberán tomarse en cuenta los contenidos del artículo “La
evaluación en capacitación laboral” entregado con el presente Manual.
En duración en horas deberán consignarse las horas de desarrollo de la actividad en su
conjunto, ya sea la versión extendida o la versión breve.
En cronograma tentativo y lugar de realización se consignarán, respectivamente, las
fechas previstas y la dirección donde se realizará la capacitación.

PARTE E – BIBLIOGRAFÍA
BIBLIOGRAFÍA PARA LOS CONTENIDOS INFORMÁTICOS

Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005,
25/07/2005.
Disposición Nº 06/2005, Política de Seguridad de la Información Modelo, 3/08/2005.
Resolución SGP 45/2005, Política de Seguridad de la Información, Subsecretaría de la
Gestión Pública, 24/06/2005
Decisión Administrativa 669/2004, Política de Seguridad de la Información, Sector
Público Nacional – Adecuación, Jefatura de Gabinete de Ministros, 20/12/2004
http://infoleg.mecon.gov.ar, Información Legislativa - Ministerio de Economía y
Producción
http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones
para el uso seguro del correo electrónico, ArCERT, Subsecretaría de la Gestión Pública,
2006.
http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones
para evitar ser victima del "phishing", ArCERT, Subsecretaría de la Gestión Pública,
2006.
http://www.pki.gov.ar, sitio de Firma Digital de la República Argentina, Subsecretaría
de la Gestión Pública.
Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma
Digital, 08/06/2006
BIBLIOGRAFÍA PARA LOS CONTENIDOS PEDAGÓGICOS

BLAKE, Oscar Juan: La capacitación. Un recurso dinamizador de las organizaciones. 2ª
ed. Buenos Aires, Macchi, 1997.
BRADBURY, Andrew: Técnicas para presentaciones eficaces. Barcelona, Gedisa, 2000.
GORE, Ernesto: La capacitación en la empresa. Buenos Aires, Granica, 1996.
LEIGH: David: Cómo entrenar un grupo eficiente. Bogotá, Legis, 1991.
ORIOL, Amat: Formación de formadores. 2ª ed., Barcelona, Gestión 2000 – Serie Mini-
Empresa, 1997.
RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formación de instructores. Mc Graw-
Hill, México, 1990.
RUBBO, Elsa; LEMOS, Elisa: Manual del formador. Buenos Aires, INAP – Dirección
Nacional de Capacitación, 1995.
Universidad de Buenos Aires, Cátedra Capacitación Laboral: “Taller sobre diseño de
programas de capacitación”, 1995 (mimeo).

Manual Del Instructor SegInf

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual Del Instructor SegInf

Încărcat de

Drepturi de autor:

Formate disponibile

Manual del INSTRUCTOR en

“Gran parte del proceso de construcción del conocimiento en las organizaciones

LICENCIA DE USO ___________________________________________________ 3

SGP – INAP – ONTI – ArCERT Página: 2 de 86

SGP – INAP – ONTI – ArCERT Página: 3 de 86

1. OBJETO DE LA LICENCIA. El LICENCIANTE confiere al LICENCIATARIO una licencia que

3. OBLIGACIONES DEL LICENCIATARIO. Los derechos mencionados en la cláusula 2º se

4. ACTOS VEDADOS AL LICENCIATARIO. El LICENCIANTE se reserva todas las facultades

SGP – INAP – ONTI – ArCERT Página: 4 de 86

PARTE A – ASPECTOS GENERALES

En el marco de la estrategia de formación de instructores, le proponemos este Manual porque

Son propósitos de este Manual que usted logre:

Finalmente, este Manual del Instructor es el resultado de la experiencia del ArCERT en la

SGP – INAP – ONTI – ArCERT Página: 5 de 86

A continuación hemos incorporado el programa que desplegaremos, en el cual están separados

SGP – INAP – ONTI – ArCERT Página: 6 de 86

Perfil requerido para la postulación:

• Manejo avanzado de Sistemas Operativos (Windows, Linux, etc.) y

• Experiencia avanzada en el uso de Internet.

Del curso que dictará el instructor utilizando el Manual

SGP – INAP – ONTI – ArCERT Página: 7 de 86

Objetivos Generales del Manual

Objetivos Particulares del Manual

Fundamentos de la Seguridad de la Información

Seguridad de la Información en las Tareas Cotidianas

Amenazas y Herramientas de Seguridad

SGP – INAP – ONTI – ArCERT Página: 8 de 86

Objetivos y Contenidos Pedagógicos

ESTRATEGIAS METODOLÓGICAS Y RECURSOS DIDÁCTICOS

SGP – INAP – ONTI – ArCERT Página: 9 de 86

Los recursos a utilizar incluyen básicamente presentaciones, casos de estudio, actividades de

Elementos Requeridos para el Dictado

EVALUACIÓN DE LOS APRENDIZAJES

Evaluación de los contenidos pedagógicos. Se realizarán auto evaluaciones:

IMPORTANTE: En el caso de los/as agentes instructores que se desempeñen en

Para la evaluación final de aprobación del taller no presencial,

SGP – INAP – ONTI – ArCERT Página: 10 de 86

¿En qué casos usted implementaría actividades tendientes al logro de objetivos de

¿En qué casos usted implementaría actividades tendientes al logro de objetivos de

Establezca propósitos para promover el Establezca propósitos para sensibilizar sobre

¿Cuáles son los propósitos para su actividad de capacitación? ¿Sensibilización? ¿Difusión

SGP – INAP – ONTI – ArCERT Página: 11 de 86

Propósitos de sensibilizar sobre

SGP – INAP – ONTI – ArCERT Página: 12 de 86

Reunión 1 – Fundamentos de la Seguridad de la Información

Reunión 2 – Seguridad de la Información en las Tareas

SGP – INAP – ONTI – ArCERT Página: 13 de 86

Reunión 3 – Amenazas y Herramientas de Seguridad

Reunión Única - Fundamentos de la Seguridad de la

SGP – INAP – ONTI – ArCERT Página: 14 de 86

ESTRUCTURA DE LAS REUNIONES

SGP – INAP – ONTI – ArCERT Página: 15 de 86

Guía para el desarrollo de la clase. Incluye descripción y contenido de las actividades, de

Duración de cada reunión

Cantidad de participantes por curso

Guías para la exposición

Desarrollo de contenidos con exposición dialogada (normalmente Diapositivas).

Actividad grupal (en plenario y en pequeños grupos).

Trabajo con documento de texto.

SGP – INAP – ONTI – ArCERT Página: 16 de 86

PARTE B – ASPECTOS PEDAGÓGICOS

Instrumentos para la evaluación de la actividad

SGP – INAP – ONTI – ArCERT Página: 17 de 86

¿Por qué mi organismo necesita realizar esta capacitación en seguridad de la información?