manual del instructor en seguridad de la...

Manual del INSTRUCTOR en SEGURIDAD de la INFORMACIÓN

Versión 1.0 – Noviembre 2007

“Gran parte del proceso de construcción del conocimiento en las organizaciones tiene que ver con ayudar a la gente a saber lo que sabe,

tanto para que pueda transferirlo como para que pueda cuestionarlo”. E. Gore y M. Vázquez Mazzini: Una introducción a la formación en el trabajo.

Buenos Aires, FCE, 2004, página 172.

Manual del Instructor en Seguridad de la Información

SGP – INAP – ONTI – ArCERT Página: 2 de 86

INDICE LICENCIA DE USO ___________________________________________________ 3 PARTE A – ASPECTOS GENERALES____________________________________ 3

PRESENTACION _________________________________________________________ 3 DESCRIPCIÓN DE LA PROPUESTA ________________________________________ 3 FUNDAMENTACIÓN _____________________________________________________ 3 CONTRIBUCIÓN ESPERADA______________________________________________ 3 DESTINATARIOS ________________________________________________________ 3 OBJETIVOS Y CONTENIDOS______________________________________________ 3

Objetivos Generales del Manual ____________________________________________________3 Objetivos Particulares del Manual ___________________________________________________3 Objetivos y Contenidos Pedagógicos_________________________________________________3

DESCRIPCIÓN DE LA MODALIDAD _______________________________________ 3 ESTRATEGIAS METODOLÓGICAS Y RECURSOS DIDÁCTICOS _____________ 3

Elementos Requeridos para el Dictado _______________________________________________3 EVALUACIÓN DE LOS APRENDIZAJES ____________________________________ 3 MODALIDADES DE DESARROLLO ________________________________________ 3 PROGRAMA EXTENDIDO_________________________________________________ 3

Reunión 1 – Fundamentos de la Seguridad de la Información______________________________3 Reunión 2 – Seguridad de la Información en las Tareas Cotidianas _________________________3 Reunión 3 – Amenazas y Herramientas de Seguridad ____________________________________3

PROGRAMA REDUCIDO__________________________________________________ 3 Reunión Única - Fundamentos de la Seguridad de la Información __________________________3

ESTRUCTURA DE LAS REUNIONES _______________________________________ 3 Objetivos ______________________________________________________________________3 Contenidos _____________________________________________________________________3 Actividades ____________________________________________________________________3 Duración de cada reunión _________________________________________________________3 Cantidad de participantes por curso__________________________________________________3 Guías para la exposición __________________________________________________________3

PARTE B – ASPECTOS PEDAGÓGICOS _________________________________ 3 REUNIÓN 1 ______________________________________________________________ 3

Instrumentos para la evaluación de la actividad_________________________________________3 Desarrollo de la propuesta _________________________________________________________3 Preguntas para reflexionar sobre mi tarea como instructor ________________________________3 Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos_______________3 Bibliografía consultada ___________________________________________________________3

REUNIÓN 2 ______________________________________________________________ 3 La exposición oral _______________________________________________________________3 Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos_______________3

REUNIÓN 3 ______________________________________________________________ 3 Evaluación en capacitación laboral __________________________________________________3 Bibliografía sugerida _____________________________________________________________3

PARTE C – CONTENIDOS TÉCNICOS___________________________________ 3 REUNIÓN 1 – FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN ___ 3

Contenidos _____________________________________________________________________3 Apertura _______________________________________________________________________3



Desarrollo _____________________________________________________________________3 Cierre _________________________________________________________________________3 Bibliografía de referencia _________________________________________________________3

REUNIÓN 2 – SEGURIDAD DE LA INFORMACIÓN EN LAS TAREAS COTIDIANAS ____________________________________________________________ 3

Contenidos _____________________________________________________________________3 Apertura _______________________________________________________________________3 Desarrollo _____________________________________________________________________3 Cierre _________________________________________________________________________3 Bibliografía de referencia _________________________________________________________3

REUNIÓN 3 – AMENAZAS Y HERRAMIENTAS DE SEGURIDAD ______________ 3 Contenidos _____________________________________________________________________3 Apertura _______________________________________________________________________3 Desarrollo _____________________________________________________________________3 Cierre y evaluación de la actividad __________________________________________________3 Bibliografía de referencia _________________________________________________________3

PROGRAMA REDUCIDO__________________________________________________ 3 REUNIÓN ÚNICA – FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN __________________________________________________________ 3

Contenidos _____________________________________________________________________3 Desarrollo _____________________________________________________________________3 Cierre _________________________________________________________________________3 Bibliografía de referencia _________________________________________________________3

PARTE D – PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN ___________ 3 CÓMO COMPLETAR EL INSTRUMENTO “COMPONENTES PARA LA PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN” ________________________ 3 BIBLIOGRAFÍA __________________________________________________________ 3

PARTE E – BIBLIOGRAFÍA____________________________________________ 3 BIBLIOGRAFÍA PARA LOS CONTENIDOS INFORMÁTICOS _________________ 3 BIBLIOGRAFÍA PARA LOS CONTENIDOS PEDAGÓGICOS __________________ 3



LICENCIA DE USO El presente Manual se distribuirá con la siguiente licencia:

1. OBJETO DE LA LICENCIA. El LICENCIANTE confiere al LICENCIATARIO una licencia que permite la utilización del “Manual del Instructor en Seguridad de la Información” a título gratuito y por tiempo indeterminado, destinado a facilitar la transmisión de conceptos esenciales en materia de seguridad de la información con arreglo a las condiciones que siguen a continuación.

2. DERECHOS DEL LICENCIATARIO. El LICENCIANTE faculta al LICENCIATARIO en forma no exclusiva a realizar los siguientes actos:

a. Usar, copiar, modificar y distribuir el “Manual del Instructor en Seguridad de la Información”.

b. Hacer obras derivadas del “Manual del Instructor en Seguridad de la Información”.

3. OBLIGACIONES DEL LICENCIATARIO. Los derechos mencionados en la cláusula 2º se otorgan bajo las siguientes condiciones:

a. Mencionar en todo momento, inclusive en los trabajos derivados, que la obra es de titularidad de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS y que la misma ha sido desarrollada por el personal de ArCERT de la OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN y del INSTITUTO NACIONAL DE LA ADMINISTRACIÓN PÚBLICA.

b. No usar, copiar, distribuir o realizar cualquier acto con el “Manual del Instructor en Seguridad de la Información” con fines comerciales.

c. Distribuir las eventuales obras derivadas del “Manual del Instructor en Seguridad de la Información” con una licencia idéntica a la presente e informando a los nuevos usuarios que se trata de una obra derivada.

d. Notificar a los eventuales nuevos usuarios los términos y condiciones de esta licencia al momento de ejercer cualquiera de los derechos conferidos en la cláusula 2º.

e. No borrar, alterar u ocultar las indicaciones de Copyright existentes en el “Manual del Instructor en Seguridad de la Información”.

El incumplimiento de las condiciones estipuladas extinguirá automáticamente los derechos surgidos de esta licencia.

4. ACTOS VEDADOS AL LICENCIATARIO. El LICENCIANTE se reserva todas las facultades autorales no licenciadas explícitamente.

5. FORMA DE ACEPTACIÓN. Está legalmente prohibido usar, copiar, modificar o distribuir la obra a menos que se acepten los términos y condiciones de la presente licencia. Por lo anterior, del acto de usar, copiar, modificar o distribuir la obra se presume la aceptación de los términos y condiciones de la presente licencia.



PARTE A – ASPECTOS GENERALES

PRESENTACION

Estimado/a colega:

Usted está recibiendo un material elaborado con el propósito de ayudarlo/a a implementar una propuesta de capacitación en seguridad de la información.

Las organizaciones dependen cada vez más del procesamiento de su información, y por otra parte, el Estado viene desarrollando desde hace tiempo iniciativas sobre Gobierno Electrónico y sobre Seguridad de los Sistemas de Información.

Sobre este último punto, la Jefatura de Gabinete de Ministros ha requerido, a través de la Decisión Administrativa Nº 669/2004, la redacción de políticas de seguridad de la información en los organismos de la Administración Pública Nacional. Estas incluyen un capítulo de seguridad del personal, donde se establece la necesidad de capacitar a todo el personal sobre cuestiones vinculadas con la seguridad de la información, el uso correcto de la información que se administra, etc.

A los fines de sensibilizar sobre la importancia de la seguridad de la información y de difundir herramientas que contribuyan a instalar buenas prácticas al respecto, hemos tomado la estrategia de la formación de instructores: es decir, formar a usuarios avanzados en los organismos que puedan replicar actividades de sensibilización y capacitación en esta temática.

El material fue elaborado conjuntamente por dos Oficinas de la Subsecretaría de la Gestión Pública:

la Oficina Nacional de Tecnología de la Información (ONTI), con la participación del equipo de Coordinación de Emergencias en Redes Teleinformáticas (ArCERT), unidad que entiende sobre la problemática de la seguridad en los Organismos de la Administración Pública Nacional y

el Instituto Nacional de la Administración Pública (INAP) que es el organismo especializado en temas de capacitación en el sector público, con la participación del equipo de la Dirección del Sistema Nacional de Capacitación.

En el marco de la estrategia de formación de instructores, le proponemos este Manual porque entendemos que:

facilita la sistematización del trabajo de formación de instructores;

ofrece al futuro instructor un conjunto de estrategias para planificar e implementar su práctica de capacitación;

promueve en el futuro instructor un sentimiento de mayor seguridad al ofrecerle los elementos necesarios para desarrollar su actividad.

Son propósitos de este Manual que usted logre:

fortalecer sus conocimientos de herramientas de seguridad de la información,

valorar la importancia de socializar conocimientos sobre seguridad de la información,

aplicar herramientas teóricas y prácticas para diseñar e implementar actividades de capacitación en temas de seguridad de la información.

Finalmente, este Manual del Instructor es el resultado de la experiencia del ArCERT en la temática de seguridad de la información, del INAP en materia de formación de formadores y del trabajo compartido que el INAP y la ONTI vienen desarrollando.



DESCRIPCIÓN DE LA PROPUESTA Nuestra propuesta lo invita a transitar por contenidos informáticos y pedagógicos que hemos seleccionado en función de su relevancia para el desarrollo de las competencias propias del instructor en seguridad de la información. Este recorrido va a estar acompañado de:

desarrollo de contenidos informáticos,

sugerencias para el instructor,

actividades y recursos para la enseñanza,

actividades de reflexión sobre la tarea del instructor,

lecturas sugeridas para ampliar el conocimiento de los contenidos informáticos y

lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos.

A continuación hemos incorporado el programa que desplegaremos, en el cual están separados los temas de informática (que usted deberá enseñar en su actividad de capacitación) de los temas pedagógicos; esta separación responde fundamentalmente a criterios organizativos ya que ambos tipos de contenidos serán abordados conjuntamente a lo largo del Manual.

El Manual contempla el dictado en dos formatos: uno breve, con fines de concientización, con una duración estimada de 4 horas y uno más amplio, destinado a la capacitación en seguridad informática, a dictarse en tres medias jornadas.

FUNDAMENTACIÓN

El uso intensivo de las herramientas informáticas es una realidad actual en todas las organizaciones. Ello trae aparejado innumerables beneficios, pero también surgen nuevas problemáticas como la aparición de fallas de seguridad informática, algunas relacionadas con aspectos técnicos y otras con cuestiones humanas, operativas, etc. De esta nueva realidad surgen riesgos que deben ser mitigados.

Existe entonces la necesidad de preservar la seguridad de la información, es decir, su disponibilidad, confidencialidad e integridad.

A todo esto, no se deben dejar de lado las normas establecidas, muchas de las cuales comienzan a incorporar temas del área informática.

Por otra parte, el avance de las iniciativas de Gobierno Electrónico, hace que los organismos del Estado estén inmersos en planes de apertura de sus sistemas hacia la comunidad.

Los puntos anteriores refieren a un estado de situación en materia de seguridad informática que exige que los usuarios de diferentes herramientas conozcan y utilicen principios y normas que les permitan evitar o saber manejarse frente a los incidentes de seguridad más frecuentes.

CONTRIBUCIÓN ESPERADA

A través de una actividad de formación de instructores en seguridad de la información, se espera que los organismos cuenten con personal competente para difundir y capacitar a distintos usuarios de informática, en materia de normas y buenas prácticas en seguridad de la información.

Asimismo, se espera que en los organismos se observe un aumento de la eficacia en el uso de las herramientas informáticas y disminuyan las situaciones que se originan en prácticas que no responden a los principios de la seguridad informática.



DESTINATARIOS

El presente Manual fue desarrollado como una herramienta para el personal de la Administración Pública a quien se le asigne la tarea de dictar un taller en seguridad de la información para los usuarios de su organismo, pudiendo asimismo ser utilizado por otras organizaciones que lo consideren de interés.

Perfil requerido para la postulación:

Los siguientes puntos refieren al uso de este Manual por parte del personal de Organismos Públicos.

Formación

Acreditar capacitación o formación en temas relacionados con la docencia o en la conducción de equipos de trabajo, de liderazgo, de manejo de las relaciones interpersonales.

Experiencia laboral

Desempeñarse como agente del organismo en el cual será instructor.

Acreditar experiencia en la conducción/coordinación de equipos o áreas de trabajo en el sector público (no excluyente).

En relación con la docencia: experiencia en capacitación y/o educación de adultos, especialmente en educación no formal (no excluyente).

Acreditar experiencia como usuario avanzado de sistemas informáticos, particularmente en:

• Manejo avanzado de Sistemas Operativos (Windows, Linux, etc.) y herramientas de Oficina.

• Experiencia avanzada en el uso de Internet.

Características personales

Comprobada capacidad de escucha y de diálogo.

Actitud reflexiva frente a los problemas de la práctica laboral.

Disposición a compartir conocimientos.

Compromiso con el propio aprendizaje y con el de los demás.

Del curso que dictará el instructor utilizando el Manual

Todos los usuarios del organismo de pertenencia que hacen uso de la herramienta informática.

OBJETIVOS Y CONTENIDOS

Dada la naturaleza de esta propuesta, los contenidos a desarrollar incluyen: saberes informáticos y saberes pedagógicos.

Los contenidos informáticos se organizan en reuniones y las estrategias utilizadas para la enseñanza de estos contenidos, se constituyen en contenidos pedagógicos, así como las lecturas sugeridas.



Objetivos Generales del Manual Que los participantes:

se apropien de conocimientos de seguridad de la información para replicar en sus organismos de pertenencia a través de la capacitación de usuarios;

adquieran herramientas pedagógicas que les permitan transferir conocimientos de seguridad en el campo del tratamiento de la información;

fortalezcan su compromiso y vean facilitada la tarea de capacitación y/o concientización en su organismo.

Objetivos Particulares del Manual

Fundamentos de la Seguridad de la Información

Objetivos

Que los participantes logren:

Conocer las amenazas que atentan contra la seguridad de la información.

Comprender la necesidad de implementar medidas de seguridad.

Comprender los conceptos de disponibilidad, confidencialidad e integridad.

Comprender el concepto de incidente de seguridad.

Comprender la importancia y la función de una política de seguridad de la información en toda organización.

Conocer el marco legal vigente en relación con las Tecnologías de la Información y las Comunicaciones (TIC).

Seguridad de la Información en las Tareas Cotidianas Objetivos


Conocer las buenas prácticas para el uso seguro de la tecnología.

Desarrollar una actitud favorable para la aplicación de dichas prácticas.

Comprender los recaudos a tomar para garantizar el uso efectivo de claves de acceso.

Adquirir técnicas para prevenir el acceso de terceros a información confidencial.

Reconocer situaciones donde se violan medidas de seguridad a través de técnicas de ingeniería social.

Entender la problemática del código malicioso.

Comprender las amenazas que acarrean los sistemas de mensajería instantánea y las redes P2P.

Amenazas y Herramientas de Seguridad

Objetivos


Aplicar normas de seguridad en el intercambio de mensajes de correo electrónico.

Conocer la firma digital como herramienta para asegurar la información.

Comprender la necesidad de detectar y reportar incidentes.



Objetivos y Contenidos Pedagógicos

Objetivos Que los participantes logren:

Ubicar la actividad de capacitación en el marco de las necesidades de capacitación en el organismo.

Compartir experiencias de la práctica como instructores y reflexionar sobre la estrategia utilizada para la enseñanza de contenidos informáticos.

Caracterizar al adulto en situación de aprendizaje en el ámbito laboral.

Valorar la importancia del diseño como una herramienta para guiar la implementación de actividades de capacitación en seguridad de la información.

Intercambiar las experiencias y apreciaciones sobre la elaboración del propio diseño.

Reconocer los momentos de un encuentro de capacitación, apertura, desarrollo y cierre y seleccionar estrategias adecuadas a los mismos.

Comprender las funciones de la evaluación.

Conocer las técnicas apropiadas para la evaluación de actividades de capacitación en seguridad de la información.

Contenidos

La capacitación como una herramienta para atender necesidades de gestión: fundamentación y contribución esperada.

El diseño como herramienta que orienta la acción formativa en diferentes dimensiones: personal, institucional, interpersonal, didáctica y ética.

Las Técnicas y recursos para la presentación de contenidos informáticos: presentaciones, exposición dialogada, situación problemática, análisis de casos, demostración. Para qué, cuándo, cómo y dónde utilizarlas.

El uso de la evaluación para comprender, para reflexionar y para mejorar.

Las técnicas de evaluación en actividades de capacitación en informática: resolución de casos; análisis de situaciones problemáticas; pruebas de ejecución; otras.

DESCRIPCIÓN DE LA MODALIDAD

Modalidad no presencial. Se entrega este material a los participantes con desarrollo de contenidos informáticos y pedagógicos y con propuesta de actividades para el diseño y la implementación de una actividad de capacitación en seguridad de la información en sus organismos de pertenencia.

ESTRATEGIAS METODOLÓGICAS Y RECURSOS DIDÁCTICOS Las estrategias metodológicas se derivan de la modalidad no presencial. Se espera que los participantes lean los materiales, resuelvan las actividades que figuran en el mismo, completen el instrumento para diseñar actividades de capacitación de acuerdo con la modalidad de desarrollo elegida (actividad de capacitación o actividad de sensibilización)

Se entregará a cada participante un material con el desarrollo de contenidos informáticos y pedagógicos y propuestas detalladas para implementar actividades de sensibilización o capacitación en seguridad de la información en los organismos de pertenencia de los participantes.



Los recursos a utilizar incluyen básicamente presentaciones, casos de estudio, actividades de reflexión y de evaluación; recomendaciones para el instructor y lecturas y sugerencias de bibliografía para ampliar conocimientos pedagógicos.

Elementos Requeridos para el Dictado PC con visualizador de archivos PPT (Ms PowerPoint) y PDF instalado.

Proyector para PC.

Pizarra o rotafolios y marcadores.

Material del curso impreso según clase.

Pantalla para proyección (preferentemente).

Aula con instalaciones que permitan el trabajo en grupo.

EVALUACIÓN DE LOS APRENDIZAJES

Evaluación de contenidos informáticos. Se realizarán auto evaluaciones:

de proceso, a través de las actividades planteadas en el material y

de producto, a través de la realización de un trabajo práctico final de integración, también planteado en el material.

Evaluación de los contenidos pedagógicos. Se realizarán auto evaluaciones:

de proceso, a través de responder a las preguntas formuladas en el material en relación con los contenidos pedagógicos y

de producto, a través de la elaboración del diseño, sobre la base del presente Manual, de una actividad breve (de sensibilización) y/o extendida (de capacitación) en el tema de seguridad de la información.

IMPORTANTE: En el caso de los/as agentes instructores que se desempeñen en organismos comprendidos en el Sistema Nacional de Capacitación:

MODALIDADES DE DESARROLLO Este Manual le presenta dos opciones para desarrollar actividades de capacitación en seguridad de la información según dos propósitos diferenciados:

a) Promover el conocimiento y utilización de herramientas de seguridad de la información en las distintas áreas del organismo,

b) Sensibilizar sobre la importancia de tomar precauciones tendientes a preservar la seguridad de la información.

Para la evaluación final de aprobación del taller no presencial, el diseño elaborado deberá responder a las pautas del instrumento “Componentes para la presentación de diseños de capacitación” y deberá ser acreditado por INAP.



¿En qué casos usted implementaría actividades tendientes al logro de objetivos de conocimiento y utilización de herramientas de seguridad de la información? ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿En qué casos usted implementaría actividades tendientes al logro de objetivos de sensibilización en temas de seguridad de la información? ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ Ahora, le ofrecemos en el siguiente cuadro las situaciones o casos que identificamos nosotros. Establezca propósitos para promover el conocimiento y utilización de herramientas de Seguridad de la Información cuando:

Establezca propósitos para sensibilizar sobre temas de Seguridad de la Información cuando:

Hay disponibilidad de tiempo (12 a 15 horas) y la organización plantea el objetivo de instalar la cultura de la Seguridad Informática.

Es posible armar grupos de hasta 30 personas.

El organismo está comprometido con la adquisición y aplicación eficaz de herramientas de SI.

_________________________________

_________________________________

_________________________________

_________________________________

Hay baja disponibilidad de tiempo. El público es muy numeroso y el tiempo

disponible para el instructor es breve (3 ó 4 horas).

La organización plantea una actividad inicial, masiva, a partir de la cual instalar la preocupación de la SI.

Los destinatarios de la actividad son directivos del organismo que tienen la responsabilidad de generar compromiso con la SI en las áreas que conducen.

_________________________________

_________________________________

_________________________________

Agregue en las líneas vacías de las columnas anteriores aquellos casos o situaciones que escribió anteriormente y que no están contempladas en las ya enunciadas.

¿Cuáles son los propósitos para su actividad de capacitación? ¿Sensibilización? ¿Difusión de herramientas? Anótelas [Estas preguntas están destinadas a promover un espacio de reflexión para el instructor, para que piense acerca de la tarea que va a desarrollar y determine sus objetivos.] ___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



Ahora le ofrecemos un esquema de dos recorridos posibles según los propósitos identificados.

Propósitos de promover el conocimiento y utilización de herramientas de seguridad de la información

PROGRAMA EXTENDIDO Pág. 13

Propósitos de sensibilizar sobre la importancia de tomar precauciones tendientes a preservar la seguridad de la información.

PROGRAMA REDUCIDO Pág. 14



PROGRAMA EXTENDIDO

Reunión 1 – Fundamentos de la Seguridad de la Información

Objetivos



Comprender la necesidad de implementar seguridad.

Comprender los conceptos de disponibilidad, confidencialidad e integridad.

Comprender el concepto de incidente de seguridad.

Comprender la importancia y la función de una Política de Seguridad de la Información en toda organización.

Conocer el marco legal vigente en relación con las TIC.

Contenidos

Amenazas a la Seguridad de la Información

Confidencialidad

Integridad

Disponibilidad

Incidentes de seguridad

Políticas de Seguridad de la Información

Normas vigentes

Reunión 2 – Seguridad de la Información en las Tareas Cotidianas

Objetivos


Conocer las buenas prácticas para el uso seguro de la tecnología.


Comprender los recaudos a tomar para garantizar el uso efectivo de claves de acceso.

Adquirir técnicas para prevenir el acceso de terceros a información confidencial.

Reconocer situaciones donde se violan medidas de seguridad a través de técnicas de ingeniería social.

Entender la problemática del código malicioso.

Comprender las amenazas que acarrean los sistemas de mensajería instantánea y las redes P2P.



Contenidos

Mecanismos de control de acceso a los sistemas de información

Administración de claves de acceso

Política de pantalla y de escritorios limpios

Ingeniería Social

Código Malicioso

Amenazas en la navegación por Internet

Mensajería Instantánea y Redes P2P

Reunión 3 – Amenazas y Herramientas de Seguridad

Objetivos


Aplicar normas de seguridad en el intercambio de mensajes de correo electrónico.


Comprender la necesidad de detectar y reportar incidentes.

Contenidos

Uso seguro del correo electrónico

Firma Digital: funcionamiento y beneficios

Reporte de incidentes de seguridad

PROGRAMA REDUCIDO

Reunión Única - Fundamentos de la Seguridad de la Información

Objetivos Que los participantes logren:


Comprender la necesidad de implementar seguridad.

Comprender la importancia y la función de una Política de Seguridad de la Información en toda organización.

Conocer las buenas prácticas para el uso seguro de la tecnología (correo electrónico, Internet, etc.).



Comprender la necesidad de detectar y reportar incidentes informáticos.



Contenidos Amenazas a la Seguridad de la Información

Confidencialidad

Integridad

Disponibilidad


Normas vigentes




Ingeniería Social

Código Malicioso




ESTRUCTURA DE LAS REUNIONES

Le ofrecemos una propuesta de doce horas de duración, para el programa extendido, con una distribución de tres reuniones de cuatro horas cada una, preferentemente con una frecuencia de una vez por semana. En el caso del programa reducido, se propone una sola reunión de cuatro horas de duración.

Se trata de una planificación con objetivos, contenidos y actividades para cada una de las reuniones.

Objetivos

Son los logros de aprendizaje que se esperan obtener de los participantes.

Contenidos

Son los temas correspondientes a cada reunión.

Actividades

Comprenden actividades a realizar por el instructor y actividades grupales propuestas para los participantes.

Cada reunión se organiza en tres momentos: apertura, desarrollo y cierre. Usted encontrará actividades específicas para cada uno.

Apertura Actividades que deberá desarrollar el instructor al inicio de la reunión. Puede tratarse de la presentación del curso, de la presentación de las actividades del día, de la recuperación de temas de reuniones anteriores, etc.

Desarrollo



Guía para el desarrollo de la clase. Incluye descripción y contenido de las actividades, de las presentaciones y los ejercicios prácticos. Muchos de los puntos incluirán referencias para ampliar la información de ciertos temas.

Cierre Actividades del cierre de la reunión, reflexiones sobre lo visto hasta allí, encuestas y espacio de preguntas de los participantes.

Duración de cada reunión Para cada diapositiva y actividad, se sugieren tiempos estimados de duración. Estas estimaciones deben tomarse como sugerencias, recomendándose su ajuste en función de la cantidad y las características de los participantes.

Cantidad de participantes por curso Para el Programa extendido, se sugieren grupos de entre 20 y 30 personas. Para el reducido, grupos de no más de 50 personas. Las estimaciones de tiempo para cada actividad se basan en grupos de los tamaños referidos.

Guías para la exposición Para cada diapositiva se sugiere un texto mínimo a presentar. A los fines de la exposición, este texto deberá ser adaptado a la realidad del organismo y ampliado en base a la bibliografía sugerida.

NOTA: En cada uno de estos segmentos, Ud. encontrará iconos que indicarán:

Desarrollo de contenidos con exposición dialogada (normalmente Diapositivas).

Actividad grupal (en plenario y en pequeños grupos).

Trabajo con documento de texto.

Recomendaciones/Sugerencias.



PARTE B – ASPECTOS PEDAGÓGICOS

REUNIÓN 1 En esta sección encontrará guías pedagógicas para la preparación y el dictado del curso, así como lecturas sugeridas.

Instrumentos para la evaluación de la actividad Encuesta para la evaluación de reacción, elaborada por INAP. Después de haber leído el programa del taller no presencial y para que usted tenga una primera aproximación a los contenidos, le presentamos el siguiente esquema conceptual: obsérvelo atentamente y responda las preguntas que aparecen a continuación.

CONTEXTO INSTITUCIONAL ¿Qué reflexiones puede hacer acerca del esquema anterior? ¿Qué le interesa más en relación con los contenidos del esquema? Escriba a continuación sus respuestas a estas preguntas. ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



Desarrollo de la propuesta

A lo largo del Manual, usted encontrará una secuencia de contenidos y actividades que deberá replicar en la actividad de capacitación en seguridad de la información que realizará en su organismo.

La tarea a emprender constituye un desafío importante para usted en relación con su rol en el organismo y para éste, un aporte vinculado con las prácticas de preservación de la información. Le proponemos algunas preguntas sobre estas cuestiones.

Piense acerca de ellas y escriba las respuestas debajo de cada una.

¿Por qué mi organismo necesita realizar esta capacitación en seguridad de la información? ¿Para qué se realiza? ¿Qué cambios pueden ocurrir a partir de la actividad de capacitación en seguridad de la información?

¿Qué áreas de la organización se beneficiarán más con esta actividad de capacitación en seguridad de la información?

¿Cómo me veo a mí mismo/a como instructor/a en temas de seguridad de la información?

¿Cuáles son mis expectativas en relación con la actividad y en relación con el desempeño de mi rol de instructor?

Puede profundizar las reflexiones anteriores en “Preguntas para reflexionar sobre mi tarea como instructor”.



Preguntas para reflexionar sobre mi tarea como instructor Adaptado de: Fierro, C. y otras: Transformando la práctica docente. México, Paidós, 1999.

1. ¿Cómo llegué a ser instructor en seguridad de la información? ¿A través de qué recorridos personales y profesionales? ¿Qué factores intervinieron para que me iniciara en este rol?

2. ¿A qué figuras de mi biografía educativa y de mi trayectoria profesional he recurrido como modelos para construir este rol de instructor en seguridad de la información?

3. ¿De cuáles traté de apartarme?

4. ¿Qué características destaco en unos y en otros?

5. ¿Con qué experiencias se relacionan mis mejores momentos como instructor o como docente?

6. ¿Qué lugar ocupa mi función de instructor en seguridad de la información en el conjunto de mi actividad profesional? ¿Estoy conforme con ese lugar? ¿Deseo ampliarlo o reducirlo? ¿Por qué? ¿Qué debería hacer para darle ese lugar a mi rol de instructor?

7. ¿Qué aprecio más de mi trabajo como instructor en seguridad de la información?

Registre las reflexiones que promovieron las preguntas anteriores: _________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos

La autorregulación del aprendizaje Fuente: ROMERO, Claudia: “Los docentes, adultos que aprenden”. En: Novedades educativas, Año 14, Nº 143, noviembre 2002, pág. 24.

Trabajos de investigación recogidos por Marcelo García (Formación del profesorado para el cambio educativo: Barcelona, 1995), dedicados a estudiar las características del aprendizaje en los adultos y en particular el desarrollo cognitivo de los profesores, identifican algunos factores que caracterizan el aprendizaje adulto:

Los adultos se comprometen a aprender cuando las metas y objetivos se consideran realistas e importantes y se perciben con utilidad inmediata.

Los adultos desean tener autonomía y ser el origen de su propio aprendizaje, quieren implicarse en la selección de objetivos, contenidos, actividades y evaluación.

Los adultos se resisten a aprender en situaciones que son impuestas o creen que ponen en cuestión su competencia.

Reconocer la importancia de la autorregulación del aprendizaje adulto implica reconocer la responsabilidad del adulto sobre su propio aprendizaje y comprender el requerimiento de autoeficacia que le imprime.

Reflexione sobre el curso de capacitación de instructores que está realizando y responda las siguientes preguntas:

¿Qué metas u objetivos les propuse a los participantes para que se sientan comprometidos con la seguridad de la información? ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Qué estoy haciendo para que los participantes perciban que en este taller no se están cuestionando sus prácticas en el manejo de la información? ___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

El método de casos

¿En qué consiste?

Este método fue desarrollado por Christopher Langdell, de la Facultad de Derecho de la Universidad de Harvard hacia fines del siglo XIX.

El caso consiste en el relato escrito con fines educativos, de una experiencia real o ficticia.



Se trata pues de hacer estudiar a un grupo, durante un número determinado de clases, situaciones-problema concretas presentadas con sus detalles reales. El objetivo es provocar, a partir del análisis de la situación, una toma de conciencia exacta y ajustada de la misma, una conceptualización “experiencial” y finalmente, una búsqueda de soluciones eficaces, mediante la discusión y el diálogo grupal.

¿Para qué se utiliza?

Su uso es recomendable en situaciones de aprendizaje dado que:

Posibilita la interacción entre todos los integrantes de un grupo y favorece el trabajo en equipo, considerando y valorando los aportes de cada uno de los miembros.

Ayuda a comprender los problemas en su complejidad y múltiples interrelaciones.

Estimula la “flexibilidad mental”, ya que para la resolución de un caso nunca existe una única alternativa.

Permite capitalizar al máximo las experiencias de los participantes a través de un método de aprendizaje cooperativo y un proceso de reflexión crítica.

Presenta la posibilidad de identificar una serie de problemas representativos de una profesión, otorgando a sus miembros legitimidad y familiaridad profesional.

Involucra personalmente al estudiante en el caso, de tal manera que su resolución lo lance simultáneamente hacia la investigación activa.

Es útil para la formación en diagnóstico y toma de decisiones.

Procura combinar de manera eficiente la adquisición de conocimientos teóricos y el desarrollo de una experiencia profesional útil.

¿Existen diferentes tipos de casos?

Sí, y es bueno que los conozca para poder elegir entre la variedad existente, cuál se ajusta mejor a la madurez del grupo, a los conocimientos previos del mismo, a los contenidos a trabajar, y a la finalidad que se desee alcanzar.

Caso Harvard: Este caso, el original, es extremo y complejo. Contiene abundante información que permite enmarcar de modo adecuado el problema, obligando al estudiante a sistematizar y vincular hechos, reconocer subproblemas y generar soluciones.

El caso problema: Contiene información previamente seleccionada en función de un propósito principal. Puede ser elaborado por el equipo instructor e interpretado sin dificultad por los participantes.

El caso grabado: Supone la presentación oral del material sustituyendo la escritura por la voz, dotando de características más reales a la interacción.

El caso presencial: Apunta al análisis de un problema real, ocurrido en alguna institución concreta. La presentación del caso está a cargo de un integrante de la organización en la que tuvo lugar el problema y que esté involucrado en la situación.

El caso episodio: Conocido también como proceso incidente, consiste en presentar en forma breve un episodio extraído de una situación cotidiana de trabajo. Es así como a través del trabajo tanto individual como grupal, el estudiante desarrolla su capacidad de ordenar el razonamiento de forma lógica y progresiva de identificar qué información útil se desconoce.



¿Qué supuestos subyacen a esta metodología?

Como Ud. sabe, toda metodología explícita o implícitamente supone concepciones previas sobre el proceso de enseñar, aprender y sobre los contenidos a tratar.

El método de casos, en la medida que presenta a los participantes oportunidades para incorporar componentes cognitivos y afectivos propios del ejercicio profesional para el que se están formando, requiere del participante un rol a veces alternativo al vigente. Lo mismo sucede con respecto al rol del instructor y a la interacción entre ambos.

Ahora bien, cabe entonces el siguiente interrogante: ¿Qué tipo de aprendizajes supone y promueve el método de casos?

Es probable que a lo largo de su experiencia como instructor, Ud. se haya encontrado con algunas dificultades a la hora de pedirle a los participantes que interpreten, analicen críticamente o identifiquen los datos de una situación.

Seguramente la mayoría de dichos inconvenientes obedecen entre otras causas, a que los participantes han tenido pocas oportunidades de participar durante su escolaridad en situaciones de aprendizaje que significaran algo más que la memorización y la repetición de información.

Es bueno prevenirlo --aunque seguramente Ud. ya lo ha notado-- que los participantes con dificultades para interpretar, sintetizar, o reflexionar sobre una situación deberán sortear mayores obstáculos a la hora de resolver un caso, simplemente porque no han sido entrenados en este tipo de aprendizajes.

En el contexto de la resolución de casos, aprender no es solamente adquirir información. Para que se produzcan verdaderos aprendizajes es necesario un proceso de comprensión que permita relacionar el nuevo conocimiento con los anteriores, diferenciarlo, e incluirlo en categorías conceptuales que el participante ya posea o crear las necesarias, si se trata de un tema totalmente desconocido por él.

Desde esta perspectiva, el error y la duda son valorados como puntos de partida del aprendizaje, disparadores de reflexión y de acción. No olvidemos que quien duda es porque se pregunta y desde esa pregunta tiende a darse nuevas respuestas. En el método de casos, la posibilidad de reexaminar las situaciones y la manera cómo se las encaró (a través del intercambio con el instructor y los compañeros) contribuye a no sacar consecuencias erróneas de la experiencia.

En general, como instructores, frente al error de nuestros participantes no vacilamos en darles las respuestas que consideramos correctas. Es importante aclarar que para trabajar con casos el profesor deberá “armarse de paciencia” y esperar el momento oportuno para corregir lo que considera desacertado. No se trata de “todo vale”, pero habrá que estar atentos, pues una información dada por el instructor fuera de tiempo, puede apresurar la resolución del caso de modo tal que quien termine por resolverlo sea en definitiva el profesor y no el estudiante.

¿Cuál es el papel del instructor y del participante al trabajar con esta metodología?

El método de casos supone un participante activo, interesado, capaz de plantearse interrogantes y con deseos de aprender.

Dado que es muy probable que, como ya dijimos, los participantes no estén entrenados en el uso de esta metodología, es esperable que cuando Ud. presente un caso por primera vez la reacción de los estudiantes sea de indiferencia o de resistencia, al descubrir que ellos se convierten en el eje de su propio proceso de aprender.

Para trabajar con el método de casos es necesario que el participante cuente con ciertas habilidades cognitivas tales como comparar, clasificar, identificar conceptos clave, enumerar ejemplos, analizar supuestos, etc. El participante debe ser capaz de percibir la situación total,



no confundir lo esencial con lo accesorio y accidental; comprender la estructura del problema y tomar distancia para poder separar sus apreciaciones personales.

Esto constituye un verdadero desafío para el instructor que deberá ofrecer a los estudiantes las condiciones necesarias para que se desencadenen y estimulen los procesos cognitivos enunciados precedentemente. Tarea nada sencilla pero necesaria si deseamos que nuestros participantes aprendan verdadera y significativamente.

A continuación le ofrecemos algunas sugerencias acerca de cómo favorecer estas tareas. Es muy importante que los participantes realicen diferentes actividades con el material propuesto, a saber:

Llevar a cabo una primera aproximación a través de una lectura global del caso.

Realizar una lectura comprensiva, pausada, para poder distinguir palabras claves en el texto, es decir aquellas palabras o frases que constituyen partes esenciales del material.

Organizar el material partiendo de dichas palabras claves, y realizar cuadros para clasificar jerárquicamente la información. (redes conceptuales)

Una vez seguidos estos pasos preliminares, será más sencilla la identificación del problema en cuestión, la búsqueda de alternativas y la elaboración de las soluciones pertinentes al caso.

Esta estrategia puede ser enseñada y guiada por el instructor, debido a que difícilmente los participantes puedan adquirirla espontáneamente. Como ya señaláramos, es probable que existan resistencias de los participantes para asumir un rol más activo, especialmente en aquellos grupos acostumbrados a recibir clases magistrales donde el conocimiento ya viene elaborado. Es necesario entonces, buscar vías que permitan superar dichas resistencias, evitando así situaciones de confusión o frustración que pueden darse cuando la actividad no es guiada y orientada apropiadamente.

Si los participantes nunca han trabajado con este método, le recomendamos que antes de analizar por primera vez un caso, dedique un tiempo considerable a la realización de las siguientes tareas:

Graduar la complejidad de los casos, comenzando por un caso problema o episodio.

Definir en qué consiste un caso, cuáles son sus partes (qué es un problema, un dato, un supuesto, etc.)

Recuerde que será siempre muy orientador para el participante explicitar claramente los objetivos de la tarea a realizar, las estrategias que deben ponerse en juego en la resolución del caso, los contenidos que se están trabajando, la finalidad, los criterios con los que se evaluará, etc.

El método de casos requiere del participante no sólo el dominio de ciertas habilidades cognitivas sino además que posea capacidad para escuchar, compartir puntos de vista y que pueda valerse con criterio propio. Por tal motivo, consideramos que el trabajo en sugbrupos es una instancia propicia para fomentar este tipo de actitudes. Aquí, la controversia no es vista como “desorden” sino como el punto de partida de un conflicto conceptual que a través del intercambio de opiniones y su debida fundamentación, puede ser resuelto y generar cuestionamientos acerca de ideas y puntos de vista propios.

A continuación le brindamos una serie de Pautas que lo ayudarán a orientar adecuadamente el trabajo en grupos:

En cuanto a la selección de los integrantes del grupo, puede organizarlos según su parecer, dado que conoce a sus participantes y sabe cómo pueden responder. Se puede proponer formar grupos heterogéneos según las actividades laborales de los estudiantes, su nivel de conocimientos o bien darles libertad para que se agrupen por afinidad.



Es muy importante evaluar conjuntamente con los participantes cómo funciona cada subgrupo y analizar la posibilidad - en caso de ser necesario - de realizar rotaciones.

Es conveniente que los grupos se conformen con un número reducido de participantes y proponer que asuman roles diversos según sus inclinaciones.

Es necesario explicitar claramente las tareas a realizar durante el trabajo en subgrupos, y así mismo, el tiempo disponible para llevarlas a cabo.

Es esperable que el instructor asuma durante el trabajo grupal un rol de orientador del trabajo de cada subgrupo.

Realizar una puesta en común registrando lo que cada subgrupo aporta.

Extraer conclusiones generales; analizar la información obtenida; decidir si es necesario recurrir a fuentes bibliográficas para fundamentar las opiniones; confrontar conceptos con hechos o datos, estableciendo una relación fluida entre teoría y práctica.

Evaluar la dinámica abordada en conjunto con todo el grupo.

Ahora bien, creemos oportuno hacer una breve aclaración: si bien es cierto que el trabajo en grupos resulta sumamente apropiado para la resolución de casos, ello de ninguna manera significa que no sean necesarios momentos de aprendizaje individual. Es el instructor el indicado para decidir en qué situaciones conviene implementar una u otra modalidad.

Recomendamos incluir durante el proceso de aprendizaje, casos que los participantes deban resolver individualmente.

Por lo visto hasta aquí, para llevar a cabo esta metodología es necesario tener en cuenta que tanto el instructor como el participante intervienen activamente en la tarea. Ya no son suficientes un instructor que sólo transmite información y participantes que la reciben pasivamente. El objetivo primordial del profesor debe ser lograr que los participantes piensen, constituyéndose en un facilitador de los aprendizajes de los participantes.

El instructor como experto puede tener una visión más acabada de la situación, su percepción se extiende a aspectos menos visibles del problema, a elementos sobre los que aún los estudiantes no disponen de información. El conocimiento anticipado del caso como su experiencia, le dan elementos importantes para poder distinguir lo accesorio de lo esencial, y comprender la estructura de significación del conjunto que examina.

Para concluir, transcribimos una afirmación de C. Coll (pedagogo español contemporáneo), cuyo mensaje probablemente comparta con nosotros:

“Los métodos de enseñanza no son buenos o malos, adecuados o inadecuados en términos absolutos, sino en función de que la ayuda pedagógica que ofrezcan esté ajustada a las necesidades de los participantes....” (1990)

Las partes de un caso y los momentos en su desarrollo

Generalmente, en un caso se observan las siguientes partes: título, descripción de la situación y consignas.

Como dijimos más arriba, es importante que los participantes descubran por sí mismos las cuestiones más significativas del caso. Para promover un análisis rico y profundo del caso, es recomendable seguir algunos pasos.

Se redacta el caso, preferentemente no demasiado extenso, con la información necesaria para encontrar los elementos significativos en el análisis posterior. La situación planteada puede ser tomada de la vida real o construida asociando material impreso, experiencias y observaciones del instructor o de los participantes.

Se redactan los objetivos del caso o las especificaciones sobre lo que se espera de los participantes.



Se redactan las consignas o las preguntas en relación con la situación descripta en el caso.

Se lee el caso en forma individual o en pequeños grupos. Para esto es necesario entregar un ejemplar del caso a cada participante.

Se analiza el caso en forma individual o en grupos, tomando en cuenta los objetivos, las especificaciones y las consignas formuladas.

Se hace la puesta en común de las elaboraciones de los pequeños grupos. Se analizan las diferentes respuestas y se elaboran conclusiones.

Se analiza el funcionamiento grupal.

Es conveniente que el instructor le indique a los grupos que:

busquen el problema respondiendo a preguntas tales como: qué, quién, cómo, cuándo, dónde, por qué;

reúnan los hechos eliminando las conjeturas;

evalúen los hechos;

desarrollen posibles soluciones;

seleccionen la mejor solución y describan su aplicación

Bibliografía consultada

COLL, C. y otros: Desarrollo Psicofísico y Educación II. Madrid, Alianza, 1990.

CUELLAR : El método de casos en la preparación de profesores.

N.C.A.E.: El sistema de casos en la formación de administradores.

NOVAK Y GOWIN: Aprendiendo a pensar. Barcelona, Martinez Roca, 1989

PERRET CLERMONT: Interactuar y conocer. Madrid, Miño, 1988

POZO, J.: Teorías cognitivas del aprendizaje. Madrid, Morata, 1989.

RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formación de instructores. Mc Graw-Hill, México, 1990, cap. 4.

NICKERSON y PERKINS: Enseñar a pensar. Barcelona, Paidós, 1987.



REUNIÓN 2

Revise la clase en que se utiliza el caso “Un día en la vida de Evaristo” y responda las siguientes preguntas:

¿El caso “Un día en la vida de Evaristo” se encuadra en alguno de los tipos de casos que presenta el artículo o reúne características de algunos de ellos? ¿Por qué?

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Qué ideas del artículo le resultan útiles para utilizar en la aplicación del caso “Un día en la vida de Evaristo”?

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

¿Qué otras preguntas agregaría para mejorar el análisis del caso “Un día en la vida de Evaristo”?

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

La exposición oral

Debido a que buena parte de las reuniones del curso de seguridad de la información que debe dictar se desarrolla sobre la base de la exposición oral, le sugerimos la lectura de este documento.

Definición

Consiste en una charla o presentación verbal dada por el instructor o expositor ante un público. Su objetivo es que el conferencista transmita aspectos de sus conocimientos al grupo, del cual se espera que los asimile y retenga.

Estructura

a) Comienzo o introducción

b) Centro o núcleo central

c) Conclusión



a) Comienzo Conviene señalar:

Quién es usted (el conferencista)

Para qué está allí

Su autoridad (competencias, antecedentes) para dirigirse al grupo

Objetivos de la presentación

Estructura de la exposición

Definiciones técnicas (o explicitación de marcos conceptuales)

Antecedentes del tema

Justificación de la importancia del tema para los participantes

b) Centro o núcleo Debe incluir:

Puntos clave analizados consecutivamente

Comparaciones entre diferentes enfoques del problema o tema de la exposición

Ejemplos o anécdotas personales que ilustren el tema

Planteo de preguntas

Síntesis parciales

Solicitud de comentarios a los asistentes (para evaluar el grado de asimilación de los contenidos)

c) Conclusión Se recomienda:

Hacer un repaso de la información presentada

Recalcar los principales mensajes o puntos del aprendizaje

Hacer una recapitulación vinculada al futuro o a la evolución de la problemática tratada en el futuro

Formular aplicaciones posibles del tema a diversas áreas de actividad

Comparar los resultados con los objetivos planteados

Ventajas

Permite concentrar grandes cantidades de información en poco tiempo

Es una forma directa de enseñanza

Si el expositor está abierto y dispuesto, permite registrar el grado de comprensión y atención con que los participantes siguen la exposición

Es aplicable tanto a grupos grandes como a grupos pequeños

Desventajas

La participación activa se reduce

El nivel de retención tiende a disminuir a medida que avanza la exposición

No permite atender las diferencias individuales

Utilizada en exceso, resulta aburrida



Recomendaciones para su aplicación

Establecer una comunicación abierta y franca para la creación de un clima de confianza

Combinarla con otras técnicas

Elaborar un guión de la exposición y pensar preguntas que se harán a los participantes

Hacer preguntas para chequear la comprensión a medida que se desarrolla la exposición

Usar un lenguaje claro y adecuado a los participantes

Mantenerse en un lugar visible

Bibliografía

FOLLARI, Roberto; SOMS, Esteban: La práctica en la formación profesional. Bs. As., Humanitas, 1994.

LEIGH, David: Como entrenar un grupo eficiente. Bogotá, Legis, 1992.

O´CONNOR, Joseph; SEYMOUR, John: PNL para formadores. Barcelona, Urano, 1992.

Lecturas sugeridas para ampliar el conocimiento de los contenidos pedagógicos

A continuación encontrará dos artículos: “Estrategias para formar grupos de aprendizaje” y “Diez alternativas para elegir a los líderes de los grupos y designar otros roles”. Se los ofrecemos con la finalidad de que conozca otras alternativas para armar grupos y para hacerlos trabajar asignando roles específicos a algunos de los miembros. Esto enriquece la propuesta del Manual en relación con la constitución de grupos para el análisis de los casos. También le ofrecemos una selección de técnicas que puede utilizar en su estrategia metodológica.

Estrategias para formar grupos de aprendizaje Adaptado de: SILBERMAN, Mel: Aprendizaje activo. Editorial Troquel.

El trabajo con grupos pequeños es una parte significativa del aprendizaje activo. Es importante formar grupos rápida y eficientemente y, al mismo tiempo, variar la composición y, en ocasiones, el tamaño de los grupos en el transcurso de un encuentro de capacitación de adultos. Las siguientes son alternativas interesantes para permitir que los participantes elijan sus propios grupos o dividirlos en una cantidad de equipos designada por el instructor.

Tarjetas de agrupación

Determinar cuántos participantes hay en el aula y cuántas agrupaciones distintas se desea hacer durante la sesión. Por ejemplo, en una grupo de veinte, una actividad puede requerir cuatro subgrupos de cinco integrantes; otra, cinco grupos de cuatro; una tercera, seis grupos de tres con dos observadores.

Nombrar los equipos usando puntos de colores (rojo, azul, verde y amarillo para cuatro grupos), etiquetas decorativas (con temas distintos para cinco grupos, por ejemplo: poetas, novelistas, cineastas, directores de cine y escultores) y un número (del 1 al 6 para seis grupos). Preparar una tarjeta para cada participante con un número, un color y una etiqueta al azar, y distribuirlas entre los asistentes. Cuando haya que formar los grupos, identificar el código empleado y pedir a los alumnos que se unan a sus



respectivos grupos en un lugar designado. De este modo se ahorra tiempo y se evitan confusiones. Para que el proceso sea todavía más eficiente, se pueden colocar señales indicando las distintas áreas de encuentro de los grupos.

Rompecabezas

Comprar rompecabezas o crear los propios con imágenes de revistas: se pegan sobre un cartón y se cortan con la forma y el tamaño que se desee. El número de rompecabezas debe coincidir con la cantidad de grupos que se quieran formar.

Separar los juegos, mezclar las piezas y entregar una pieza a cada participante. Cuando haya que formar los grupos, pedir a los participantes que encuentren a los compañeros con las piezas necesarias para completar un rompecabezas.

Encontrar amigos y familiares famosos y ficticios

Crear una lista de familiares y amigos famosos y ficticios, en grupos de tres o cuatro (por ejemplo Bart, Lisa, Marge y Homero Simpson; Roxy, Panigassi, Jorge y Felicidad; Diego Maradona, Claudia, Dalma y Yanina; Mafalda, Susanita, Manolito y Felipe; Patoruzú, Ña Chacha, Upa y Patora). Escoger tantos personajes de ficción como cursantes haya. Escribir los nombres ficticios en tarjetas, uno por cada una, para crear una familia de tarjetas.

Cuando esté listo para formar los grupos, pida a los participantes que encuentren a los otros miembros de su “familia”. Una vez que esté completo el grupo famoso, podrán encontrar un lugar donde congregarse.

Etiquetas con nombres

Utilizar etiquetas con nombres de distintas formas y/o colores para designar los diferentes grupos.

Cumpleaños

Pedir a los asistentes que se ordenen según sus fechas de cumpleaños y luego dividirlos en la cantidad de grupos que se necesiten para una actividad en particular. Con grupos numerosos, formar subgrupos según el mes de nacimiento. Por ejemplo, 60 alumnos pueden repartirse en tres grupos de aproximadamente el mismo tamaño, formados por nacidos en (1) enero, febrero, marzo y abril; (2) mayo, junio, julio y agosto; (3) septiembre, octubre, noviembre y diciembre.

Naipes

Utilizar un mazo de naipes para designar a los grupos. Por ejemplo, con sotas, reinas, reyes y ases se pueden formar cuatro grupos de cuatro integrantes. Mezclar los naipes y repartir uno a cada participante. Luego, pedirles que ubiquen a los de su misma clase para formar un grupo.

Extraer números

Determinar el número y el tamaño de los grupos que se deseen formar; colocar papeles con números dentro de una caja, Los asistentes extraen un número que les indica el grupo al cual pertenecen. Por ejemplo, si desea formar cuatro equipos de cuatro, tendrá que preparar dieciséis papeles con números del 1 al 4.



Sabores

Distribuir golosinas de distintos sabores para indicar los grupos. Por ejemplo, los equipos pueden ser: limón, uva, cereza y menta.

Material impreso

El material impreso que se reparte entre los participantes puede estar codificado con clips de colores, folletos con distintas tonalidades o etiquetas pegadas sobre las carpetas. De ese modo quedarán predeterminados los grupos.

Diez alternativas para elegir a los líderes de los grupos y designar otros roles Fuente: Silberman, Mel: Aprendizaje activo. Editorial Troquel.

Una manera de facilitar el aprendizaje activo en grupos pequeños es asignar roles a algunos integrantes, por ejemplo: líder, facilitador, cronometrista, portavoz, observador del proceso o administrador del material impreso. En ocasiones, sólo habrá que pedir voluntarios que asuman estas responsabilidades, pero algunas veces es divertido y eficiente utilizar una estrategia de selección creativa.

1. Designación por orden alfabético. Identificar los roles necesarios y designarlos por orden alfabético según el nombre de pila. En un grupo que trabaja a largo plazo, los roles pueden rotar siguiendo este orden.

2. Designación por fecha de cumpleaños. Distribuir los roles en orden cronológico.

3. Números de lotería. Pedir a los participantes que se numeren y que escriban su número en un papel. Coloque los papeles en una bolsa de papel y elija a la persona para cada rol.

4. Lotería de colores. Elegir un color para cada rol. La persona que vista algo con cierto color es la designada para ese rol.

5. Prendas de vestir. Designar responsabilidades eligiendo las prendas correspondientes, por ejemplo gafas, joyas de plata, un suéter o zapatos negros.

6. Votación. Pedir a los miembros del grupo que voten por la persona que ocupará el rol. Un método popular es indicar a la gente que señale a la persona por quien vota. El que es señalado por más participantes ocupa el cargo.

7. Designación al azar. Pedir a cada miembro que calcule y diga la suma de los últimos cuatro dígitos de su número telefónico (por ejemplo, 9999 suma 36). Anunciar un número del 1 al 36. La persona del grupo cuya suma se acerque más a ese número será la que ocupe el puesto.

8. Aficionados a las mascotas. Asignar determinada tarea a la persona con mayor cantidad de mascotas.

9. Tamaño de la familia. Asignar determinada tarea a la persona con más (o menos) hermanos.

10. Premios. Antes del encuentro, colocar una etiqueta identificando a un miembro del grupo. Éstas pueden adherirse a una identificación, a un asiento o escritorio, a un folleto, etc. La persona que recibe la etiqueta es “premiada” con un puesto específico en el grupo. Para premiar con varios cargos, utilice etiquetas de distintos colores.



A continuación le ofrecemos algunas técnicas que pueden resultar de su interés a la hora de introducir innovaciones en las estrategias del taller.

Técnica Descripción Utilidad

MESA REDONDA

Un equipo de expertos que sostienen puntos de vista divergentes sobre un mismo tema, exponen ante el grupo en forma sucesiva.

Cuando se desea dar a conocer puntos de vista divergentes o contradictorios sobre un mismo tema.

PANEL Un equipo de expertos discute un tema en forma de diálogo o conversación ante un grupo.

Ídem al anterior.

(Tiene la ventaja de que al ser una conversación básicamente informal, ofrece mayores posibilidades de mantener la atención del auditorio).

DEBATE DIRIGIDO O DISCUSIÓN GUIADA

Un grupo reducido trata un tema en discusión informal con la ayuda activa y estimulante de un coordinador.

Promueve el intercambio de ideas e información sobre un tema, bajo la conducción de una persona (docente) que hace de guía e interrogador.

Cuando se desea promover el intercambio y elaboración de ideas e información sobre un tema pasible de diversos enfoques e interpretaciones.

Cuando se desea desarrollar la capacidad de análisis, comprensión de ideas y conceptos, o ciertas actitudes como la tolerancia.

Después de una conferencia, clase magistral o exhibición de un material audiovisual, para promover el intercambio de ideas y la elaboración de la información suministrada.

PEQUEÑO GRUPO DE DISCUSIÓN

Un grupo reducido trata un tema o problema en discusión libre e informal, guiado por un coordinador. El clima es informal, existiendo un mínimo de normas. El intercambio de ideas sigue un cierto orden lógico y el coordinador ordena la discusión y señala oportunamente el cumplimiento de las normas que el grupo hubiese establecido para trabajar.

Ídem anterior.

(La diferencia entre una y otra técnica radica en que la primera exige un coordinador que estimule y oriente la discusión sobre la base de interrogantes previamente establecidos. En esta técnica, en cambio, el clima es más informal y permisivo y el coordinador solamente orienta al grupo en cuanto a su funcionamiento y plan de trabajo):

PHILLIPS 66 Un grupo grande se subdivide en subgrupos de seis personas para discutir durante seis minutos un tema y llegar a una conclusión. De los informes de todos los subgrupos se extrae la conclusión general. (En sí misma no es una técnica de aprendizaje)

Cuando se desea facilitar la confrontación de ideas o puntos de vista.

Cuando se desea obtener rápidamente opiniones elaboradas por subgrupos, acuerdos parciales, decisiones de procedimientos, sugerencias de actividades.



CUCHICHEO En un grupo, los miembros dialogan simultáneamente de a dos para discutir un tema o problema del momento. Todo el grupo trabaja simultáneamente sobre un mismo asunto. Se emplean pocos minutos para resolver una pregunta formulada al conjunto

Para obtener conclusiones, compartir la impresión obtenida individualmente por cada alumno, detectar intereses sobre un tema, conocer la opinión de los miembros del grupo.

PROCESO INCIDENTE

Un grupo analiza a fondo un problema o incidente real, expuesto en forma muy escueta y objetiva.

Cuando se desea desarrollar la habilidad para la resolución de problemas de la vida diaria o laboral y para la adopción de buenas decisiones.

ROLE-PLAYING

Dos o más personas representan situaciones de la vida real (personal o laboral), asumiendo los roles del caso, con el objeto de que pueda ser mejor comprendida y tratada por el grupo.

Cuando se desea trabajar sobre situaciones surgidas de la vida de relación en los distintos espacios del ámbito laboral.

La demostración

Mediante esta estrategia, el instructor desarrolla un tema, acompañando su explicación verbal con la realización de movimientos, presentación de gráficos, manejo de equipos o aparatos, empleo de medios audiovisuales diversos.

Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para explicar principios científicos y el movimiento o relación de las piezas de una herramienta o mecanismo.

Actualmente, con el desarrollo de la Informática, la demostración ha resultado una de las estrategias más empleadas, fundamentalmente para la presentación de productos y para mostrar contenidos de tipo procedimental.

La demostración habrá de completarse con la práctica del participante, a fin de que pueda adquirir la destreza o habilidad implícita en el objetivo.

Algunas sugerencias para su realización

Es necesario que se planifique cuidadosamente. Es conveniente que la demostración tenga dos momentos: uno en el que la tarea se realiza a velocidad normal y otro en el que se realiza más lentamente para mostrar los aspectos más complejos de la actividad. Al planificar, hay que cerciorarse de que se contará con los elementos necesarios en el momento de realizar la demostración y que todos funcionarán correctamente. Suele ser de ayuda “ensayar” antes de realizar la demostración; esto permite anticipar problemas y ganar seguridad en el manejo de la técnica.

Un aspecto importante a tener en cuenta es el espacio disponible y la ubicación de los materiales y de los asientos ya que es fundamental que todos los participantes tengan una visión directa de la demostración.

Es importante comunicar los objetivos de la demostración y de la práctica posterior a los participantes.

En la demostración, conviene considerar los siguientes pasos:

• explicar en forma general las actividades a realizar;



• realizar la actividad explicando brevemente cómo se realiza y los cuidados que se requieren;

• reconstruir la actividad mediante una breve recapitulación de lo realizado.

La duración de la demostración no debe ser muy prolongada para no agotar la atención de los participantes;

Durante la práctica de los participantes, es conveniente hacer correcciones y retroalimentar sobre su desempeño;

Es recomendable combinar la técnica de la demostración con otras, tales como una breve exposición oral o un intercambio de preguntas con los participantes. Algunas preguntas a formular a los participantes pueden ser: ¿qué riesgos identifica en la realización de esta actividad?; ¿cómo se siente realizando esta actividad?; ¿qué otras cosas haría?; ¿qué considera que no debe hacerse?; ¿qué cuidados considera importantes para la realización de la actividad?

FUENTE: “Estrategias metodológicas”. Separata de: RUBBO, Elsa; LEMOS, Elisa: Manual del formador. Buenos Aires, INAP, DNC, 1995.

¿Qué ideas, prácticas, técnicas puede extraer de los documentos anteriores que le sirvan para incorporar en su propio diseño?

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



REUNIÓN 3

A continuación encontrará un texto sobre el tema de la evaluación en capacitación laboral. Le sugerimos su lectura para enriquecer su actividad de capacitación incorporando criterios y técnicas en el ítem “evaluación”.

Evaluación en capacitación laboral

“La evaluación siempre consiste en una determinación de los méritos y los defectos. A veces, es mucho más, pero su función esencial es la de establecer el mérito de algo. Ésta es su finalidad primera. Ésta es su definición…”

STAKE, Robert: Evaluación comprensiva. 1ª. ed., Barcelona, Graó, 2006.

En capacitación laboral, la evaluación constituye, al igual que en el sistema educativo, una preocupación muy importante. Debemos tener en cuenta que cuando evaluamos en capacitación, hay al menos tres dimensiones que considerar: la de los aprendizajes de los participantes; la de la satisfacción de estos con la actividad desarrollada y la de los resultados esperados en la organización.

Como instructores, tenemos responsabilidad sobre las tres, aunque diferentes.

Evaluación de los aprendizajes Podemos reconocer cuatro aspectos: evaluación del aprendizaje, evaluación para el aprendizaje, evaluación como aprendizaje y evaluación desde el aprendizaje1.

En la evaluación del aprendizaje nos preocupamos por conocer qué aprendieron los participantes, si lograron los objetivos de aprendizaje, si se apropiaron de los contenidos, si adquirieron capacidades previstas en el diseño de la actividad de capacitación.

Ejemplo: los casos para resolver durante el taller de instructores en seguridad informática o la actividad final de evaluación e integración planteada al finalizar el mismo.

La evaluación para el aprendizaje se refiere al aprovechamiento que de ella tienen los participantes y los instructores. Aquí interesa el uso de los resultados de la evaluación como retroalimentación para los participantes y para el instructor en el marco de un diálogo constructivo. Este diálogo debe girar alrededor de las fortalezas y debilidades en el proceso de aprendizaje y de las alternativas para superar estas últimas y para fortalecer las primeras. Para el instructor, supone tomar información sobre su propia estrategia de enseñanza y sus efectos.

Ejemplo: a partir de las respuestas dadas en la actividad de evaluación integradora, se puede desarrollar un diálogo acerca de qué nociones y qué procedimientos los participantes pudieron aplicar más fácilmente para resolver la actividad, qué temas es necesario revisar porque se comprendieron superficialmente, cómo llegaron a resolver la actividad, si se observó en la resolución la integración de saberes previos con los nuevos contenidos de aprendizaje.

La evaluación como aprendizaje remite al análisis y a la reflexión que pueden hacer los sujetos acerca de las prácticas evaluativas que han realizado en el marco de la propuesta de capacitación. Este aspecto es muy importante si tenemos en cuenta que, en capacitación laboral, la situación de evaluación puede activar recuerdos y/o

1 BARBERÁ, Elena: “Aportaciones de la tecnología a la e-Evaluación”. En RED. Revista de Educación a Distancia: http://www.um.es/ead/red/M6



experiencias negativas de la historia escolar de los sujetos; experiencias en las cuales la sensación de fracaso y de incompetencia pudieron haber dejado marcas importantes para toda la vida. Asimismo, la evaluación como aprendizaje puede servir como instancia de reflexión sobre la ayuda que provee la situación de evaluación para la transferencia de los aprendizajes al puesto de trabajo.

Ejemplo: Luego de la actividad de evaluación puede realizarse el siguiente análisis. ¿Qué experimentaron durante la realización de la actividad de evaluación? ¿Cómo se sintieron en la situación? ¿Qué expectativas tenían: pensaban que podrían resolverla o que no lo lograrían? ¿Por qué? ¿Qué piensan que aprendieron de este ejercicio de evaluación? ¿De qué manera este ejercicio los prepara para usar los nuevos conocimientos en sus lugares de trabajo?

La evaluación desde el aprendizaje se relaciona con los conocimientos previos que traen los participantes sobre la temática a desarrollar. Este reconocimiento es necesario (también es conocido como evaluación diagnóstica) porque es a partir de los saberes y experiencias que traen las personas que se pueden realizar los nuevos aprendizajes.

Ejemplo: Cuando comienza la actividad de capacitación, preguntarle a las personas qué saben sobre el tema de seguridad de la información, qué tipo de medidas se toman en el organismo, qué cuidados tienen ellos en el manejo de sus PCs. También se puede tomar como ejemplo de evaluación desde el aprendizaje, la información que surge de la resolución del primer caso de estudio y analizar si utilizaron información previa y/o nueva información (trabajada en la reunión) para resolver el caso.

A continuación le ofrecemos algunas técnicas que puede utilizar para realizar evaluaciones durante y al finalizar la actividad de capacitación en seguridad de la información.

Técnica: Debate individual o grupal

Descripción El docente y los cursantes debaten sobre un tema determinado, aportando información, analizando aspectos principales y secundarios y emitiendo opiniones personales sobre el mismo, a partir de los conocimientos construidos durante la actividad. El docente controla los tiempos y la pertinencia de las intervenciones.

Aplicaciones Se recomienda cuando: El tema o problema en análisis puede ser analizado desde varios puntos de vista.

Ventajas Permite captar matices no accesibles a través de otros procedimientos. Favorece la participación, el intercambio de ideas y el hábito de escuchar.

Limitaciones Requiere un ajustado manejo de los tiempos. Requiere habilidad del docente para coordinar pequeños grupos. Requiere entrenamiento del grupo en este tipo de actividades

Observaciones Si bien también se emplea como técnica de enseñanza, es posible, a través de ella, obtener información sobre el logro de los objetivos, la obtención de resultados y la evolución del proceso.

Técnica: Situación Problemática

Descripción Se describe un problema y se entrega material informativo de base, sobre el que el cursante habrá de ir resolviendo el problema

Aplicaciones Es necesario comprobar: integración de conocimientos; aplicación de



información desarrollada teóricamente; elaboración de respuestas alternativas frente a un problema complejo; el desarrollo del pensamiento crítico

Ventajas Posibilita evaluar varios resultados de aprendizaje simultáneamente. Permite evaluar el nivel de elaboración de uno o varios temas simultáneamente. Presenta un alto grado de participación del cursante por el tipo de procesos y actuaciones que exige.

Limitaciones Requiere una elaboración previa de materiales y casos o problemas que es más compleja que la confección de preguntas.

Técnica: Estudio de casos

Descripción Se realiza como los casos que se diseñan como estrategia para la enseñanza de un tema. Es necesario describir la situación; en esto se diferencia de la técnica anterior (situación problemática), en la cual se plantea brevemente la situación a resolver.

Ventajas Para el taller de capacitación en seguridad informática es una técnica muy adecuada: primero, porque los participantes tienen ya experiencia en haber resuelto casos y segundo, porque permite reproducir situaciones de la realidad laboral de los participantes, de modo que puedan anticipar la aplicación de los conocimientos a sus puestos de trabajo.

Limitaciones La limitación que puede señalarse es el tiempo que insume pero, al ser tan indicada para los contenidos en seguridad informática, conviene invertir el tiempo en aplicar esta técnica.

Técnica: Discusión de dilemas

Descripción Se plantea un dilema, por ej.: “dicen que las medidas para proteger la seguridad de la información son necesarias para evitar que se produzcan incidentes, pero en mi trabajo se aplican y los incidentes no disminuyen”. Luego se propone la reflexión por pequeños grupos o por parejas, que deberán argumentar a favor o en contra de la afirmación, fundamentando en los contenidos aprendidos durante el taller.

Ventajas También es una técnica adecuada para el taller de seguridad de la información ya que permite integrar contenidos y aplicarlos en el análisis de una afirmación relacionada con los temas tratados.

Limitaciones Es necesario construir cuidadosamente las afirmaciones y definir los contenidos que se espera que los participantes utilicen en el análisis.

Técnica: Pruebas prácticas o de ejecución

Esta técnica es apropiada para evaluar la ejecución de una actividad. Cuando se utiliza, el instructor observa al participante mientras efectúa la actividad que le ha sido solicitada y evalúa su ejecución. Se evalúa el nivel de ejecución de acuerdo a los objetivos de aprendizaje y es conveniente observar tanto el proceso como el producto, para lo cual se recomienda utilizar una lista de control con la cual registrar el cumplimiento de los pasos requeridos y una escala (preferentemente ordinal) con la cual registrar el nivel de corrección en la realización de los pasos.

Evaluación de satisfacción

Con esta evaluación obtenemos información sobre la opinión que se llevan los participantes acerca del desarrollo del curso; por ejemplo: el tratamiento y la utilidad



de los contenidos, las técnicas y recursos utilizados en la estrategia metodológica; el desempeño docente; el clima grupal, los materiales entregados, etc.

Existen numerosos instrumentos que pueden aplicarse en forma pura o adaptada. Sugerimos que consulte con el área de capacitación de su organismo para diseñar un instrumento que resulte adecuado a sus necesidades y a las características del taller que va a implementar.

Asimismo, más abajo le ofrecemos algunos títulos que puede consultar para la ampliar sus conocimientos sobre el tema de evaluación en capacitación y donde también encontrará una selección de estos instrumentos:

Evaluación de los resultados esperados en la organización

Esta evaluación hace referencia a los cambios que se esperan en la organización una vez que los participantes han finalizado el proceso de capacitación y regresan a sus puestos de trabajo.

En el caso del taller de seguridad de la información, un resultado esperado puede ser: “disminución de los incidentes reportados originados en incumplimiento de las normas de seguridad de la información”.

Para construir este ítem, usted debe completar los puntos 1. Fundamentación y 2. Contribución esperada del documento Componentes para la presentación de diseños de actividades de capacitación.

De esta manera, a partir de las necesidades organizacionales que generan la demanda de un taller en seguridad de la información, usted podrá identificar los resultados esperados, que le servirán de guía para la evaluación de resultados de la capacitación.

Bibliografía sugerida

LE BOTERF, Guy: Ingeniería de las competencias. 1ª. ed., Coed. Epise, Training Club y Gestión 2000, Barcelona, 2001.


GORE, Ernesto; VAZQUEZ MAZZINI, Marisa: Una introducción a la formación en el trabajo. Buenos Aires, FCE, 2004.

PAÍN, Abraham: Cómo evaluar las acciones de capacitación. Buenos Aires, Granica, 1993.

RODRIGUEZ ESTRADA, Mauro; AUSTRIA TORRES, Honorata: Formación de instructores. México, D.F., Mc Graw-Hill, 1990.

STAKE, Robert: Evaluación comprensiva. 1ª. ed., Barcelona, Graó, 2006

ZABALZA, Miguel A. Diseño y desarrollo curricular. 6ª ed., Madrid, Narcea, 1995.



PARTE C – CONTENIDOS TÉCNICOS

REUNIÓN 1 – FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN

Contenidos


Confidencialidad

Integridad

Disponibilidad

Incidentes de seguridad


Normas vigentes

Apertura

Descripción de la actividad Tiempo sugerido

Preséntese y dé la bienvenida a los participantes. Diga su nombre, qué tareas desempeña en el organismo y para qué está Ud. allí.

5’

Pida a los participantes que se presenten: que digan su nombre, el área a la que pertenecen y que se caractericen brevemente como usuarios de sistemas informáticos.

10’

Presente el programa del curso. Entregue una copia impresa del programa a cada participante y solicite que lo lean en forma individual.

5’

Pregunte a los participantes qué les parece el programa y si responde a las expectativas que tienen sobre el curso.

5’

Registre las expectativas que traen los participantes. Aclare los propósitos y temas del curso cuando las expectativas no se correspondan con el mismo. Esto es importante para evitar equívocos con respecto al curso.

Registre a medida que los participantes se caracterizan como usuarios de sistemas informáticos. Esto le ayudará a tener una visión de la experiencia de los participantes en relación con el tema.



Desarrollo

Realice la siguiente ACTIVIDAD GRUPAL: “EL VALOR DE LOS ACTIVOS”

El objetivo de esta actividad es introducir a los participantes en el concepto de la información como activo de la organización. Para ello plantearemos un ejercicio con los bienes inventariables del organismo y trataremos de establecer similitudes con respecto a la información, en cuanto a controles de acceso, uso, etc.


Forme grupos de cuatro o cinco personas y anote la siguiente pregunta en la pizarra:

¿Qué procedimientos deben seguirse cuando se ingresa o retira un bien del organismo o cuando se asignan a una oficina?

Pida a los grupos que respondan esta pregunta y traten de describir el procedimiento.

15’

Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. Registre todas las respuestas.

10’

Pregunte a los participantes en general, qué conclusiones se pueden extraer a partir de las respuestas obtenidas.

5’

Pregunte a los participantes en general, si puede establecerse una relación entre la preservación (registro y cuidado patrimonial) de los bienes materiales y la preservación de la información del organismo. Anote las conclusiones en la pizarra.

5’

Fin actividad grupal

Utilizando el Archivo “curso-r1.ppt”, como base para la presentación, desarrolle la siguiente EXPOSICIÓN

Descripción número tiempo

Estas diapositivas corresponden a la carátula y al índice de la Reunión. Recorra rápidamente los temas a tratar durante la reunión.

1 y 2 2'

Como concluimos en la actividad grupal realizada, la información es un activo valioso de la Organización, dado que de ella dependen sus actividades y básicamente su subsistencia. Es por ello que, como el resto de los activos, la información debe resguardarse.

En particular, para los organismos públicos, se deberá tener en cuenta también, que existen políticas y lineamientos gubernamentales tendientes a poner cada vez más información a disposición del ciudadano. Estas acciones se enmarcan en lo que se conoce como “Gobierno Electrónico”. Este proceso, que produce una mejora en los servicios y en la gestión del Estado, trae aparejado un aumento del riesgo de seguridad de la información que manejan los organismos públicos, por lo que se torna indispensable que se adopten las medidas adecuadas para su tratamiento y resguardo.

3 5’

Entendiendo que la información debe preservarse, deberemos entender con respecto a qué es preciso resguardarla. Esto es, conocer las amenazas que atentan contra la seguridad de la información. Podemos encontrar amenazas de origen natural o humano, deliberadas o fortuitas,

4 5’




etc.

Estas amenazas existen a partir de vulnerabilidades y pueden generar graves consecuencias para la organización.

Se entiende por vulnerabilidad como una debilidad en un activo.

Ya mencionamos que tanto la información, como los programas y recursos informáticos como el equipamiento, los insumos, etc., se consideran activos de una organización, por lo que su pérdida puede traer consecuencias graves.

Por otra parte, una amenaza es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas surgen a partir de la existencia de vulnerabilidades.

A continuación veremos una forma de clasificar las amenazas existentes

5 5’

En este cuadro vemos que las amenazas pueden tener un origen natural o humano. Dentro de las amenazas provocadas por el hombre, encontramos que estas pueden ser maliciosas (deliberadas) por un lado y no maliciosas (no intencionales) por el otro.

Las amenazas maliciosas comprenden las actividades propiamente delictivas, de intrusión (ingresar sin autorización a un sitio o sistema privado), fraude, sabotaje, etc.

Las no maliciosas de origen humano involucran a las operaciones que, por desconocimiento, impericia o negligencia, provocan algún incidente de seguridad. Este curso intenta impartir conocimientos de seguridad sobre los sistemas de información, de manera de minimizar los incidentes que pudieran ocasionarse en forma no intencional.

Por último mencionamos las amenazas de origen natural, generalmente desastres naturales como inundaciones o terremotos, aunque también hay que tener en cuenta el corte de servicios (energía eléctrica, conectividad, etc.).

6 10’

Cuando hablamos de preservar la información, nos referimos a algunas de sus cualidades. Entre éstas, podemos citar principalmente:

CONFIDENCIALIDAD: Se garantiza que la información se encuentre accesible sólo a aquellas personas autorizadas.

Pensemos qué podría ocurrir si en la dependencia donde trabajamos, alguien accediera a la información personal que se tiene de los ciudadanos o de los empleados del organismo (por ejemplo, ingresos anuales, deudas impositivas, domicilio, historia clínica), sin la debida autorización.

7 5’

INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la información y de los métodos de procesamiento y transmisión.

Qué ocurriría si se alteran los datos contenidos en nuestras PC, o se cambiara su configuración, sin la debida directiva o autorización. Seguramente en muchos casos, esto tendría graves consecuencias para nosotros, para el organismo y/o para terceros.

8 5’

DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados, toda vez que lo requieran.

Supongamos que un organismo publica información importante en su sitio

9 5’




web, como por ejemplo vencimientos de pagos o instrucciones para realizar un trámite complicado, presentación en línea de declaraciones juradas, y alguien impide que se pueda acceder a dicho sitio.

Habiendo establecido la necesidad de preservar la información, conocido el origen de las amenazas y sabiendo las características principales que se deben asegurar, podemos presentar la definición de incidente.

INCIDENTE: Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras.

Puede ser causado por una falla en algún mecanismo de seguridad, un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc.

Nótese que se indica que “un intento” de romper un mecanismo de seguridad también es considerado un incidente, ya que muchas veces los intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen revisar su confiabilidad.

10 5’

En este cuadro se presentan algunos incidentes de seguridad, indicando en cada caso, qué propiedad de la información está comprometiendo.

1) En este caso, la información no llega a los usuarios autorizados, por lo tanto se compromete la DISPONIBILIDAD

2) En este caso, la información llega al destinatario autorizado, pero también es captada por alguien no autorizado, por lo cual se compromete la CONFIDENCIALIDAD

3) Aquí vemos que el usuario destinatario de la información, no la recibe en el estado original, sino modificada por un tercero, comprometiendo su INTEGRIDAD. Al ser interceptada la información, también se compromete la CONFIDENCIALIDAD.

4) Por último, vemos el caso en que un usuario recibe información que no ha sido generada por una fuente válida, por lo tanto su contenido no respeta la condición de INTEGRIDAD.

11 10’

Las amenazas existentes aumentan a lo largo del tiempo. Esto compromete a los sistemas de información que cada vez son más imprescindibles y de los cuales depende la continuidad de las actividades de las organizaciones.

Hablaremos brevemente de algunas de las causas del incremento de las amenazas (encontrará más información más adelante en este documento bajo el título: “Algunas causas del aumento de las amenazas”).

12 a 13 10’

Como ya vimos en el segmento anterior, estas amenazas exponen a las organizaciones a riesgos y pueden provocar vulnerabilidades en sus sistemas y recursos informáticos, con graves consecuencias para su actividad.

RIESGO: Se entiende por riesgo la probabilidad o posibilidad de que ocurra un acontecimiento indeseado o se realice una acción no deseada de modo que afecte negativamente a la organización, a sus activos y/o a la consecución de sus fines, objetivos y resultados.

14 5

PAUSA (Duración total desde su inicio hasta el reinicio de la exposición) 15’

Finalmente hablaremos de la Política de Seguridad de la Información 15 a 18 15’




(PSI).

Las organizaciones deben gestionar los riesgos a que se encuentran expuestas, realizando las tareas necesarias para garantizar los niveles de seguridad considerados aceptables en su ámbito. La seguridad de sus sistemas de información debe ser entendida como un proceso y basarse en un documento denominado Política de Seguridad de la Información (PSI).

Una PSI constituye un marco general que define las pautas que deben cumplirse para preservar la seguridad de la información de una organización.

Esto les permite planificar las actividades a realizar, planteando el escenario completo de los aspectos a custodiar.

Una Política consiste entonces en una serie de condiciones para garantizar la seguridad de la información. Luego se deberá profundizar el nivel de detalle en normas y procedimientos que indiquen cómo implementar dichas disposiciones.

Asimismo, y como la seguridad de la información debe ser considerada un proceso, debe contemplarse la realización de revisiones periódicas de la Política, garantizando su adaptación a la realidad y a los cambios tecnológicos.

Por último, se debe asegurar el cumplimiento de toda la normativa vigente.

Actualmente en nuestro país, así como en el resto del mundo, existen normas que regulan el uso de los recursos informáticos y de la información.

Toda violación a estas disposiciones dará lugar a sanciones administrativas y, según la gravedad del hecho, podrá generar responsabilidad civil y penal.

19 5’

Las Políticas de Seguridad de la Información de las organizaciones sirven además para colaborar con la organización en su alineamiento con dichas normativas, de forma de que puedan ser cumplidas.

Además existen otras normas respecto al tratamiento de la información, como por ejemplo la Ley de Protección de Datos Personales, Ley de Derecho de Autor, de Firma Digital, etc.

En particular la Decisión Administrativa Nº 669 de diciembre de 2004 establece para los organismos de la Administración Pública Nacional la obligatoriedad de redactar, aprobar e implementar una Política de Seguridad de la Información que se maneja en su ámbito, de designar un responsable de seguridad y de convocar un Comité conformado por Directores de áreas sustantivas, para el tratamiento de los temas vinculados a la seguridad de la información.

La política de seguridad de la información de cada organismo debe basarse en el modelo aprobado por la ONTI mediante la Disposición Nº 06/2005. Su implementación se lleva a cabo mediante procedimientos formalizados, referidos al tratamiento de la información, su confidencialidad, etc.

Un aspecto importante a tener en cuenta es la clasificación de la información y el inventario de los recursos de información. Conocer los recursos con los que se cuenta y el tipo de información que se maneja y

20 a 21 20´




establecer su criticidad permite identificar los riesgos y, en base a ello, establecer las medidas que se adoptarán para su protección.

(Se recomienda en esta sección realizar una referencia a las políticas y procedimientos de seguridad aprobados en el organismo)

Existen además otras normas vigentes en nuestro país que regulan aspectos vinculados con el uso de la información y de los recursos informáticos.

Respecto al uso de la información en el Estado, la Ley 25.164 establece deberes para todos los funcionarios públicos, es decir, para todas aquellas personas que prestan servicios para el Estado independientemente del estado de revista. Entre estos deberes se encuentra el de observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.

Respecto al uso de los recursos informáticos en la Administración Pública, la ley 25.164 prohíbe a los funcionarios públicos hacer uso indebido o con fines particulares del patrimonio estatal (computadoras, impresoras, software, etc.)

22 5´

Con el mismo alcance y finalidad, la ley 25.188 dispone la obligación para todos los funcionarios públicos de abstenerse a utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.

Las normas mencionadas precedentemente alcanzan también a la información que se procesa en una computadora, cualquiera sea su formato o soporte (papel, un disco rígido, un disquete, un archivo adjunto a un mensaje de correo electrónico, etc.).

Esta ley también establece la obligación de proteger y conservar la propiedad del Estado y sólo emplear dichos recursos con los fines autorizados.


23 5´

Dentro del universo de información que se genera, procesa y transmite en el Estado, encontramos un subconjunto compuesto por los datos personales, es decir, aquellos datos que refieren a una persona.

El derecho a la protección de los datos personales adquirió jerarquía constitucional en la reforma del año 1994.

Debido a su sensibilidad, estos datos gozan de un régimen particular, el que viene a complementar a las leyes mencionadas. Así, la ley 25.326 y sus normas complementarias buscan proteger los datos personales y el derecho de sus titulares a conocer y en su caso, actualizar, modificar o suprimir aquellos que sean inexactos.

La ley establece que los datos personales no pueden procesarse sin el consentimiento expreso del titular, salvo contadas excepciones. Todo aquel que adquiera, procese o ceda datos personales sin el consentimiento del titular estará realizando una actividad ilícita susceptible

24 a 25

10´




de ser sancionada. Por lo tanto, queda más que claro que la cesión de datos personales o de bases de datos que los contengan constituye un delito.

La Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos es la Autoridad de Aplicación. Todos los organismos públicos y las entidades privadas deben registrar sus bases de datos y cumplir con las medidas de seguridad y confidencialidad establecidas.

Por otro lado, el software es considerado una obra intelectual que goza de la protección de la Ley 11.723. Esta ley permite que la explotación de la propiedad intelectual sobre los programas de computación se realice mediante licencias para su uso o reproducción. Por tal motivo, toda conducta que vaya en contra de lo dispuesto en dichas licencias violará los derechos del autor de la obra y genera responsabilidad administrativa, civil y penal.

Instalar un programa sin contar con la debida licencia, puede traer consecuencias legales tanto para el organismo como para quien lo instala.

26 a 27

10´

La Ley 25.506 habilita el uso del documento digital, la firma electrónica y la firma digital. Define el documento electrónico como la representación digital de actos o hechos con independencia del soporte utilizado para su fijación, almacenamiento o archivo, reconociendo que cumple el requisito de escritura. Por otra parte establece que cuando una norma requiera una firma, esta exigencia queda cumplida cuando se utiliza una firma digital. En otras palabras, una firma digital produce los mismos efectos que una firma manuscrita. Por otro lado, define la firma electrónica como un medio para demostrar la autoría de un documento digital, que carece de alguno de los requisitos que la Ley exige a la firma digital.

28 5´

Cierre

Actividad Grupal El objetivo de esta actividad es que los participantes recapitulen los contenidos presentados y reflexionen sobre ellos.

Descripción de la actividad Tiempo Sugerido

En pequeños grupos, elaboren un listado de los temas tratados que consideren más importantes. Formulen al menos una pregunta y/o sugerencia relacionada con el listado.

10’

Puesta en común. Solicite a los grupos que expongan sus listados. Analice semejanzas y diferencias en los listados y proponga un intercambio de respuestas posibles a las preguntas formuladas. Analice las sugerencias planteadas.

15’

Durante la exposición, formule preguntas sugerentes sobre el tema; invite a los participantes a compartir alguna experiencia relacionada con el tema y a compartir dudas y preguntas.



Recapitulación

Una vez terminada la reunión, escriba los momentos que considera que fueron los más importantes. Registre también la percepción que usted tuvo sobre los intereses de los participantes y su nivel de participación e involucramiento con el tema.

Algunas causas del aumento de las amenazas

Mayor dependencia de los sistemas, servicios de información y de tecnologías asociadas

La mayoría de las organizaciones modernas procesan su información administrativa, contable y de gestión mediante sistemas de información y aprovechan las ventajas de las nuevas tecnologías para el procesamiento de sus transacciones y para una mayor interconexión con sus clientes y proveedores. El uso intensivo de estas tecnologías garantiza la continuidad de sus operaciones, creando una fuerte dependencia hacia sus sistemas, servicios de información y tecnologías asociadas.

Crecimiento exponencial de las redes y usuarios interconectados

Esto implica la multiplicidad de puntos de acceso a una red, dada su relación con otras redes. Por otro lado, las actividades de monitoreo se hacen más complejas y tienden a no realizarse.

Profusión de Bases de Datos On-Line

Cada vez son más las aplicaciones que se publican en la Web y que tienen como soporte una Base de Datos. Esto implica una nueva fuente de amenazas, ya que cada motor tiene su conjunto de vulnerabilidades y aparecen nuevas continuamente.

Inmadurez de las nuevas tecnologías

Constantemente aparecen nuevas tecnologías y nuevos componentes, los cuales son puestos en funcionamiento sin conocerse demasiado su entorno de desarrollo ni características técnicas. Un ejemplo de estos días es el de las comunicaciones inalámbricas (wireless).

Otro caso, es el de los cambios tecnológicos en equipos de tratamiento de datos. Por ejemplo, es posible que muchos de los sitios donde no se permita el ingreso de cámaras de fotos o video, hayan tardado en tener en cuenta el ingreso de celulares con esas características. O por ejemplo, en muchas organizaciones las estaciones de trabajo no poseen o tienen deshabilitadas las disketeras a fin de impedir que se sustraiga información, pero seguramente esas estaciones de trabajo tienen un puerto USB donde conectar un dispositivo de almacenamiento removible que cabe en cualquier bolsillo…

Alta disponibilidad de herramientas automatizadas de ataque

No existe ya la creencia que las personas que pueden vulnerar los controles de seguridad de los equipos de procesamiento de datos de una Organización, son avezados conocedores de tecnologías y expertos en trucos a tal fin. Existen hoy infinidad de sitios donde se pueden descargar herramientas, programas o textos donde se explican distintas formas de aprovecharse de ciertas vulnerabilidades. Por lo tanto cualquier principiante puede apropiarse de estas facilidades.

Nuevas técnicas de ataque distribuido

En la actualidad, los ataques no son necesariamente lanzados desde un sólo equipo, con un intruso detrás comandándolo. Existen muchas técnicas que permiten tomar el control de equipos diseminados por una determinada red (Internet por ejemplo) y coordinar un ataque en conjunto contra un objetivo determinado.



Técnicas de ingeniería social

Es importante concientizar al usuario acerca de que la seguridad de la información se comienza a gestar desde el escritorio mismo de su puesto de trabajo. Por lo tanto es necesario alertar sobre las distintas técnicas de ingeniería social, que sirven para obtener información confidencial de usuarios desprevenidos. Coloquialmente, una de las formas de ingeniería social es el conocido cuento del tío aplicado al ámbito informático.

Bibliografía de referencia

http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas, Subsecretaría de Gestión Pública.

Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005.

Disposición Nº 06/2005, Política de Seguridad de la Información Modelo, 3/08/2005.

Resolución SGP 45/2005, Política de Seguridad de la Información, Subsecretaría de la Gestión Pública, 24/06/2005

Decisión Administrativa 669/2004, Política de Seguridad de la Información, Sector Público Nacional – Adecuación, Jefatura de Gabinete de Ministros, 20/12/2004

http://infoleg.mecon.gov.ar, Información Legislativa - Ministerio de Economía y Producción



REUNIÓN 2 – SEGURIDAD DE LA INFORMACIÓN EN LAS TAREAS COTIDIANAS

Contenidos




Ingeniería Social

Código Malicioso


Mensajería Instantánea y Redes P2P

Apertura


Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la reunión anterior.

5’

Presente los temas que se tratarán en esta reunión. 5’

Desarrollo

Realice la siguiente ACTIVIDAD GRUPAL – UN DIA EN LA VIDA DE EVARISTO:

El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las tareas cotidianas y se introduzcan en el tema de e-mails inseguros e ingeniería social.

Caso “Un día en la vida de Evaristo”


Solicite a los participantes que formen grupos de no más de cuatro integrantes, con las personas próximas. Entrégueles una copia del caso “Un día en la vida de Evaristo” ( caso-r2a.pdf)

5’

Solicite que lean el documento entero y asigne un tiempo para que elaboren por escrito una respuesta a la consigna del caso.

15’

ANÁLISIS Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. Registre todas las respuestas.

10’

Esta actividad se realiza con anterioridad a la exposición de los temas de seguridad. La idea es retomar más adelante esta misma actividad y verificar si los participantes incorporaron los conceptos desarrollados.



Solución A continuación se listan situaciones anómalas que los asistentes deberían identificar:

1) Cuando Evaristo ingresa su clave, utiliza 8 caracteres y recuerda a su hija Florencia, por lo que podemos inferir que su clave es un nombre propio, y además el de un familiar.

2) Deja la máquina desatendida, mientras llegan sus correos a su cuenta de mail, y va a buscar café.

3) Recibe un mail supuestamente de su primo (situación que no verifica) y que contiene un archivo adjunto. Éste a su vez, es un ejecutable (extensión .exe) y por lo que se desprende del texto lo ejecuta para ver de qué se trata.

4) La situación con Paez Umpierrez es en conjunto, un caso de Ingeniería Social. Evaristo no verifica de quién se trata, ni si lo están llamando desde el mismo organismo, y finalmente, accede a entregarle documentación vía correo electrónico.

5) Paez Umpierrez le solicita la documentación a una cuenta de Hotmail, en este caso, tal que ni siquiera valida que se trate de alguien que trabaja en el organismo. Recordemos que finalmente, no debería entregar información confidencial sin la debida autorización.

6) Para “salvar” la situación, intenta ubicar el documento en el equipo de un compañero, cuando no debería guardarse información confidencial en un equipo de escritorio.

7) Para obtener acceso al equipo de un compañero de trabajo, pregunta por la clave de acceso, que es conocida por el resto de la gente de la oficina, y además, es trivial.

8) Para culminar, Evaristo no chequea la información del mail enviado, y equivoca la dirección del supuesto Paez Umpierrez.

Fin Actividad Grupal



Estas diapositivas corresponden a la carátula y al índice de la Reunión 1 y 2 2'

El acceso a los sistemas de información normalmente se realiza mediante la identificación del usuario que lo requiere. Para ello se solicita el ingreso de una identificación de usuario, esto es un nombre o un código que identifique a la persona que solicita el acceso (Ej: gomez, aperez, etc.) o a la función que esta cumple (Ej: administrador, operador, etc.).

El sistema necesita validar al usuario que desea acceder, para lo cual necesita verificar que éste sea quien dice ser. Para ello, el usuario deberá autenticarse, esto es demostrar que es el usuario que indicó en el paso anterior.

Por último, el sistema controla que el usuario tiene autorización para acceder al recurso que solicitó. No todos los usuarios tienen permiso para acceder a todas las aplicaciones, documentos, etc.

3 5’

La autenticación puede realizarse de diversas maneras, entre ellas:

Demostrando algo que se sabe: Típicamente ingresando una clave.

Demostrar algo que se tiene: Para lo cual se utilizan dispositivos externos, tales como tarjetas magnéticas, tokens usb, etc.

Demostrar algo que se es: Mediante el uso de técnicas biométricas. Las técnicas biométricas son métodos automáticos para el

4 5’




reconocimiento único de personas basados en uno o más rasgos conductuales o físicos intrínsecos. Ej: análisis de las huellas digitales, el reconocimiento de la voz, el análisis del iris, etc.

Para aumentar la seguridad en el control de acceso se recomienda combinar dos de estas tres alternativas.

Dado que el uso de la combinación de usuario y clave es el método mayormente utilizado (en general porque es el más económico), vamos a conocer las características que debe reunir una contraseña para que sea segura:

Personal: se debe asignar una contraseña a cada persona que acceda al sistema.

Secreta: sólo el usuario de la contraseña debe conocerla.

Intransferible: la contraseña no puede ser revelada a ningún tercero para su uso.

Modificable sólo por el titular: el cambio de contraseña, sea cual fuere el motivo, debe ser realizado por el usuario titular de la misma y sólo en casos excepcionales por el administrador, por ejemplo, cuando el usuario olvida su contraseña (en este caso, el usuario debe cambiarla inmediatamente después de acceder a su cuenta).

Difícil de averiguar: Al momento de elegir su nueva contraseña, el usuario debe seguir ciertos lineamientos que impidan la averiguación de la misma por parte de terceros. Más adelante se verán algunos de estos lineamientos.

5 5’

La utilización de claves de acceso, si bien es una solución fácil de implementar, trae aparejada una serie de amenazas, tales como la pérdida u olvido de las mismas, ataques de terceros para descifrarlas, descuidos de los usuarios al darlas a conocer, falta de caducidad de las mismas, etc.

6 5’

Se exponen a continuación, algunas de las técnicas utilizadas para formar una clave robusta, que conjugan cierta dificultad para averiguarla con características que permiten que los usuarios la puedan recordar fácilmente.

No utilice palabras comunes ni nombres de fácil deducción por terceros (nombre de mascota, nombre de equipo de fútbol favorito), ya que estas claves podrían ser obtenidas fácilmente mediante el uso de técnicas automáticas que prueben acceder a la cuenta del usuario con palabras extraídas de diccionarios de palabras comunes.

No las vincule a una característica personal, (teléfono, D.N.I., patente del automóvil, etc.).

No utilice terminología técnica conocida (admin)

Combine caracteres alfabéticos, mayúsculas y minúsculas, números, caracteres especiales como espacio, guión, símbolo $, etc.

Constrúyalas utilizando al menos 8 caracteres.

Use claves distintas para máquinas diferentes y/o sistemas diferentes.

Use un acrónimo de algo fácil de recordar Ej: NorCarTren (Norma , Carlos, Tren)

Añada un número al acrónimo para mayor seguridad: NorCarTren09

7 a 8 10’




(Norma, Carlos, Tren, Edad del hijo)

Mejor aún, si la frase origen no es conocida por otros: Verano del 42: Verdel4ydos

Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)

Realice reemplazos de letras por signos o números. (3duard0palmit0)

Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina6-0)

La importancia que tiene la longitud de la clave seleccionada, como así también el conjunto de caracteres utilizado, son aspectos importantes en la construcción de claves. Ilustramos para ello con el cuadro de las cantidades de combinaciones posibles de claves, según su longitud y conjunto de caracteres incluidos. Cuantas más combinaciones se puedan lograr, más difícil será su averiguación mediante herramientas de fuerza bruta.

9 2’

Como podemos apreciar en el cuadro en forma de matriz de datos, donde se conjugan ambas variables (longitud y juego de caracteres utilizado), se indica en cada caso el tiempo que utilizaría un programa de fuerza bruta (con acceso a las claves cifradas) para descifrar claves y vulnerarlas.

Vemos que a mayor longitud y cantidad de caracteres que componen las claves, mayor es el tiempo requerido para averiguarlas, ergo más seguras serán las mismas.

10 3’

Se deben establecer normas para el uso adecuado de las contraseñas, de forma de prevenir que éstas sean vulneradas y utilizadas por intrusos para acceder a los sistemas de forma no autorizada.

Cuide que no lo vean cuando tipea su clave.

No observe a otros mientras lo hacen.

No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.

No comparta su clave con otros.

No pida la clave de otro.

No habilite la opción de “recordar claves” en los programas que utilice.

Si por algún motivo tuvo que escribir la clave, no la deje al alcance de terceros (debajo del teclado, en un cajón del escritorio) y NUNCA pegada al monitor.

NUNCA envíe su clave por correo electrónico ni la mencione en una conversación, ni se la entregue a nadie, aunque sea o diga ser el administrador del sistema.

No mantenga una contraseña indefinidamente. Cámbiela regularmente, aunque las políticas de Administración de Claves no lo obliguen.

11 a 12

10’

Asimismo, los administradores de las contraseñas deben seguir ciertas pautas de seguridad.

No debe existir ninguna cuenta sin contraseña. Si se es administrador del sistema, revisar periódicamente el sistema de claves y utilizar fechas de vencimiento.

No permitir el uso de las contraseñas que, por defecto, genera y adjudica el sistema. Obligar al cambio cuando se da de alta al usuario y periódicamente

13 5’




de acuerdo a las normas vigentes.

No dudar en cambiar las contraseñas, si se sospecha que alguien puede conocerlas.

La información sensible no sólo es manejada en los sistemas informáticos, sino que también se encuentra dispersa en otros medios, como ser papeles, archivos físicos, etc. Es por ello que se deben establecer medidas de seguridad para la información fuera de los sistemas informáticos.

Plantee el tema de “Escritorio Limpio” indicando el por qué de dicha práctica y dando consejos para cumplirla.

Durante el día se debe realizar una serie de tareas que se encuentran enunciadas en la diapositiva número 16. Se debe tener cuidado con la documentación impresa, según lo indicado en la diapositiva número 17. Por último, se debe tomar una serie de recaudos al abandonar la oficina al finalizar el día, siguiendo las recomendaciones de la diapositiva número 18.

14 a 18

15’

El concepto de “Pantalla Blanca” apunta a no exponer en la pantalla información que pueda ser utilizada por personas no autorizadas.

Sugerencia para el expositor: Plantee una situación en la cual dejar la pantalla desatendida podría ser una amenaza a la seguridad de la información del usuario y del Organismo. Ej.: que un tercero opere la Terminal de forma no autorizada.

Indague sobre el sistema operativo utilizado en su Organismo, o el que mayoritariamente utilizan los usuarios si es que hay más de uno, e indique cuál es el mecanismo para proteger una terminal desatendida, con dicho sistema.

19 5’

PAUSA 15’

Introducimos ahora el concepto de Ingeniería Social. Se trata de un conjunto de técnicas de engaño que se aplican sobre las personas para obtener de ellas información de interés para el atacante, o para lograr que efectúen alguna acción deseada por éste.

20 5’

Generalmente estamos acostumbrados a asociar la seguridad de un sistema con las herramientas informáticas que aplican seguridad, o bien con controles físicos. Pero olvidamos que los seres humanos se encuentran directamente relacionados con los sistemas de información, constituyendo un factor alto de riesgo que también debe ser mitigado. Precisamente la Ingeniería Social explora el factor más vulnerable de todo sistema: el ser humano.

21 5’

Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas de información, se debe primeramente informar a las potenciales víctimas sobre este tipo de técnicas, de forma que se encuentren prevenidas y puedan reaccionar con el objeto de rechazar estos ataques.

Aquí se exponen algunas consideraciones a tener en cuenta, a fin de mitigar los intentos de Ingeniería Social.

De más está decir que continuamente se ingenian nuevas estrategias, por lo que insistimos con ser precavidos y estar alertas. (ya que siempre se puede armar un manual de técnicas conocidas, lo que no se puede asegurar es que sirva para todos los casos, que no habrá cosas nuevas, etc.)

22 5’




El Código Malicioso o Programa Malicioso es un programa de computadora escrito para producir inconvenientes, destrucción, o violar la política de seguridad.

Existen distintos tipos:

Los virus, que generalmente requieren alguna interacción por parte del usuario (por ejemplo, abrir un archivo adjunto que recibe por correo electrónico).

Los Caballos de Troya o Troyanos, que son programas que tienen una funcionalidad conocida (por ejemplo, un juego) pero además tienen una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario y mandarlas en un mensaje de correo electrónico al atacante)

Los Gusanos, que se reproducen sin necesidad de interacción de los usuarios, por ejemplo atacando servicios de red vulnerables (por ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas de Windows, siempre y cuando a la máquina no se le haya instalado la actualización que corrige la vulnerabilidad)

También existen otros tipos, como el spyware que suele recopilar información sobre una persona, para poder mostrarle publicidad dirigida.

Para disminuir las amenazas que presenta el código malicioso, se suele utilizar programas antivirus. Sin embargo, es importante resaltar que dichos programas no son siempre efectivos, ya que suelen detectar el código malicioso en base a patrones conocidos, es decir que no detectan automáticamente nuevos programas maliciosos creados por los atacantes. Por eso, se debe mantener el antivirus actualizado, pero igual no se debe confiar en que el mismo va a detectar todo el código malicioso que recibamos.

Resalte el concepto de que algo que diga ser una foto o video, puede en realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un mensaje de correo electrónico que incluya una supuesta foto de nuestro ídolo favorito, pero en realidad el archivo adjunto es un programa que puede causar un daño.

23 10’

Para dejar clara la importancia de prevenirse contra el código malicioso, se dan ejemplos de algunas de las cosas que suelen hacer los códigos maliciosos una vez que se encuentran activos en la máquina victima:

Borrar archivos del disco rígido para que la computadora se vuelva inoperable.

Infectar una computadora y usarla para atacar a otras.

Obtener información sobre el usuario, los sitios web que visita, sus hábitos en la computadora.

Capturar las conversaciones activando el micrófono (o viendo al usuario, con la activación de la webcam).

Ejecutar comandos en la computadora, como si lo hubiera hecho el usuario.

Robar archivos del equipo, por ejemplo aquellos con información personal, financiera, números de serie (licencia) de programas instalados, etc.

24 10’

Veremos ahora algunas medidas que se deben tener en cuenta para 25 5’




navegar en Internet de forma segura.

A veces un link (enlace) puede ser engañoso y llevar al usuario a acceder a una página diferente a la que aparentemente lo lleva (en función al texto del enlace). Para evitar caer en esta trampa se debe:

1) Verificar el destino de los enlaces con la opción “Propiedades” (normalmente utilizando el botón derecho del Mouse) para corroborar que sea el mismo que se menciona en el texto del enlace (esto se puede mostrar directamente con un navegador).

2) No acceder directamente al enlace haciendo clic sobre el mismo, sino que se aconseja copiar el texto del enlace y pegarlo en la barra de dirección del navegador.

Algunas otras medidas para evitar ataques durante la navegación son:

1) Evitar acceder a sitios desconocidos o no confiables, ya que los mismos pueden contener contenido malicioso que permita descargar y ejecutar programas maliciosos en su estación de trabajo.

2) Asegurarse de que el navegador no acepte la instalación de software descargado de Internet en forma automática

3) No descargar de Internet archivos ejecutables

4) No introducir información sensible en sitios o foros

5) Si se necesita introducir información sensible en un sitio web, asegurarse de que la página es segura (https) y verificar que el certificado que presenta la misma es válido:

Correspondencia entre el nombre de dominio del certificado y el nombre del sitio web al que se accede.

Vigencia.

Autoridad Certificante confiable.

6) El administrador de la red muchas veces conoce valores de configuración que hacen que la navegación por Internet sea más segura.

26 10’

Acá se muestra como se ve en el navegador el acceso a un sitio seguro, tanto en lo que respecta a la barra de direcciones del navegador (empieza con https://) como el candadito en la parte inferior. Es importante destacar que algunos navegadores pueden tener el indicador de sitio seguro (candado amarillo) ubicado en otro lugar. Por ejemplo, Internet Explorer 7 lo muestra en el costado derecho de la barra de direcciones.

27 2’

En esta pantalla se aprecian las propiedades del certificado. Se puede observar el nombre del sitio para el que el certificado fue emitido (www.arcert.gov.ar), el nombre de la autoridad certificante, y la fecha de emisión y vencimiento del certificado.

28 2’

Los mensajeros instantáneos son un conjunto de programas que sirven para enviar y recibir mensajes instantáneos con otros usuarios conectados a Internet u otras redes; además permiten saber cuando están disponibles para hablar. Se diferencia del correo electrónico en que las conversaciones se realizan en tiempo real. El usuario tiene una lista de contactos autorizados, y puede solicitar a otra persona que lo acepte como contacto. Existen diversos sistemas de mensajería instantánea como MSN Messenger, ICQ, Yahoo Messenger o Google Talk. La mayoría tiene funcionalidades

29 5’




adicionales, como la posibilidad de transferir archivos, enviar mensajes aunque el destinatario no se encuentre conectado, etc.

Desde el punto de vista de seguridad, los mensajeros instantáneos pueden presentar varios problemas. Los mensajes suelen viajar por la red sin cifrar, por lo que podrían ser vistos por un atacante, comprometiendo la confidencialidad. Además, brindan funcionalidad que puede estar prohibida por la política de seguridad del organismo, como por ejemplo la transferencia de archivos. También pueden facilitar la descarga y ejecución de código malicioso, ya sea a través de la transferencia de archivos maliciosos, o a través de enlaces que recibe un usuario por parte de otro (muchas veces sin que el remitente se entere) y que conducen a una página web con programas maliciosos. Además, podemos agregar un contacto pensando que es una persona, cuando en realidad se trata de otra persona. Esta podría luego intentar engañarnos mediante técnicas de ingeniería social.

30 5’

Otra tecnología que presenta amenazas a la seguridad son las redes P2P. Este tipo de redes se caracterizan por constituirse por un conjunto de equipos donde ninguno es cliente y ninguno es servidor, sino que todos comparten uno o más servicios o funcionalidades. Algunos ejemplos son las redes conformadas para sistemas de telefonía y videoconferencia (Skype, etc.), y el software para compartir archivos de todo tipo (música, películas, programas de televisión, software, juegos, libros digitales) a través de Internet. (Ej.: Emule, BitTorrent, etc.).

31 5’

Si bien estas redes aparentan proveer sólo facilidades y ventajas, presentan también riesgos para la seguridad de la información.

Las estaciones de trabajo están más expuestas, por que pueden dar a conocer su dirección IP y muchas veces deben tener un puerto de red “abierto” desde afuera hacia adentro (es decir desde Internet hacia la red interna del organismo) para funcionar correctamente. Además, estos programas suelen usar distintas técnicas para saltear los mecanismos de protección impuestos por la organización (firewall, Proxy), sin medir las consecuencias desde el punto de vista de la seguridad de la organización.

Por ejemplo, estas redes se caracterizan por consumir mucho ancho de banda, tanto para descargar archivos como para compartir archivos que el usuario ya tiene. Esto puede significar que no se pueda utilizar la conexión a Internet para los usos legítimos, por falta de disponibilidad del recurso.

Por otra parte, el usuario puede estar compartiendo archivos que no deseaba compartir, y eso puede incluir archivos confidenciales.

Además, se puede incurrir en un delito cuando se descarga material protegido por las leyes de propiedad intelectual (por ejemplo, al descargar música o películas).

Otro punto importante es que muchas veces, cuando se descargan programas, juegos, etc., los mismos han sido modificados para contener código malicioso, que permite al atacante tomar el control del sistema infectado. Existen estimaciones que hablan de que uno de cada diez programas descargados mediante estas redes puede contener código malicioso.

32 10’



Cierre

Realice la siguiente ACTIVIDAD GRUPAL – UN DIA EN LA VIDA DE JUAN:

El objetivo es que los participantes adquieran conciencia sobre la posibilidad de ser víctimas de ataques de phishing.

Caso “Un día en la vida de Juan”


Solicite a los participantes que formen grupos de no más de cuatro integrantes, con las personas próximas. Entrégueles una copia del caso “Un día en la vida de Juan” ( caso-r2b.pdf)

5’

Solicite que lean el documento entero y asigne el tiempo sugerido para que escriban una puesta en común sobre la consigna del caso.

15’

ANÁLISIS Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. Registre todas las respuestas.

10’

Solución A continuación se listan situaciones anómalas que los asistentes deberían identificar:

1) Juan utiliza la cuenta de correo institucional para actividades personales. Esto no es adecuado, ya que el correo institucional es propiedad del organismo y debe ser empleado sólo para actividades laborales.

2) El Administrador de Sistemas sabe de las actividades extra-laborales de Juan en Internet, y no toma ninguna acción al respecto por amiguismo.

3) Al leer el supuesto mensaje de la empresa PayPal accede al link para “Donar” dinero, cuando no es aconsejable acceder a enlaces desde mensajes de correo electrónico.

4) Juan no verifica la dirección adonde lleva dicho enlace.

5) Juan ingresa sus datos personales (incluyendo los de su tarjeta de crédito) en una página desconocida, sin siquiera verificar que se trate de una página segura.

6) Probablemente en un futuro cercano, Juan sea víctima de lo siguiente:

uso indebido de sus datos personales

spam

operaciones no autorizadas con su tarjeta de crédito

Esta actividad se realiza con anterioridad a la exposición de parte de los temas de seguridad, que serán abordados en la reunión 3.





http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas, Subsecretaría de Gestión Pública.


http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones para el uso seguro del correo electrónico, ArCERT, Subsecretaría de la Gestión Pública, 2006.

http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones para evitar ser victima del "phishing", ArCERT, Subsecretaría de la Gestión Pública, 2006.

Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999.



REUNIÓN 3 – AMENAZAS Y HERRAMIENTAS DE SEGURIDAD

Contenidos


Firma Digital: funcionamiento y beneficios


Apertura


Consulte a los participantes acerca de dudas que hayan quedado sobre lo visto en la reunión anterior.

5’

Presente los temas que se tratarán en esta reunión. 5’

Desarrollo

Realice la siguiente ACTIVIDAD GRUPAL – PEDRO Y LA FIRMA DIGITAL

El objetivo es que los participantes adquieran conciencia sobre las condiciones de seguridad en las tareas cotidianas y se introduzcan en el tema de firma digital.

Caso “Pedro y la firma digital”


Solicite a los participantes que formen grupos de no más de cuatro integrantes, con las personas próximas. Entrégueles una copia del caso “Pedro y la firma digital” ( caso-r3.pdf)

5’

Solicite que lean el documento completo y asigne el tiempo sugerido para que escriban una puesta en común sobre la consigna del caso.

15’

ANÁLISIS

Haga una puesta en común de las respuestas de los grupos y anótelas en la pizarra. Registre todas las respuestas.

10’

Esta actividad se realiza con anterioridad a la exposición de los temas de seguridad. La idea es retomar más adelante esta misma actividad y verificar si los participantes incorporaron los conceptos desarrollados.



Solución

A continuación se listan situaciones anómalas que los asistentes deberían identificar:

1) Se plantea que el área de informática genere el par de claves de los usuarios y luego se las comunique, cuando cada usuario debe ser responsable de generar sus propias claves en forma personal.

2) El Gerente General no evalúa lo propuesto por el Gerente de Sistemas acerca de la implementación de Firma Digital y sus procedimientos de uso.

3) Se enviaron las claves a los usuarios por mail (medio inseguro).

4) Se consulta a los usuarios sobre el medio donde almacenar sus claves, cuando esto debe ser una disposición establecida como resultado de un análisis de personal con conocimientos específicos.

5) La mayoría de las claves se almacenan en las PCs sin protección.

6) Algunos usuarios almacenaron sus claves en disquetes, junto con otra información. Esta opción no es segura.

7) Algunos usuarios de niveles superiores solicitaron que se instale sus claves en las PCs de las secretarias para su uso, cuando las claves son personales e intransferibles.

8) La “Sensibilización” dictada a los usuarios se centró en la parte operativa de firma digital, y no mencionó temas de cultura de uso, beneficios, objetivos de la firma digital, responsabilidades de usuarios, etc.

9) El “Procedimiento interno” de uso de firma digital fue redactado por el Administrador de Red, sin tener en cuenta las necesidades de los usuarios.

10) Existe una resistencia al uso de la firma digital por parte de los usuarios debido a una capacitación y sensibilización inadecuadas.

11) No se efectuaron controles posteriores a la implementación de firma digital para verificar si su uso y funcionamiento son correctos.



Descripción Número Tiempo

sugerido Estas diapositivas corresponden a la carátula y al índice de la Reunión 1 y 2 2'

Vamos a referirnos a las amenazas existentes en el manejo del correo electrónico.

El correo electrónico es un medio de comunicación muy útil, pero también es un medio por el cual podemos recibir mensajes no solicitados (spam), engaños (hoaxs) y otros tipos de amenazas.

Por ejemplo, los mensajes de correo electrónico pueden ser falsificados fácilmente. Tenga en cuenta que un atacante podría generar mensajes que parezcan ser originados por algún tercero en el cual Ud. confía.

Además, se debe tener especial cuidado con los archivos adjuntos y los enlaces a páginas web, ya que pueden incluir código malicioso.

3 5’

Los correos electrónicos son un medio ampliamente utilizado para la 4 a 5 10’



Descripción Número Tiempo sugerido

propagación de virus y troyanos mediante archivos adjuntos. Es por ello que deben tenerse en cuenta ciertas medidas de seguridad para manipular archivos adjuntos, especialmente cuando no son archivos que se esperan y no están directamente relacionados con cuestiones laborales. Las buenas prácticas incluyen:

No abrir archivos adjuntos de origen desconocido o que no estén relacionados con nuestras tareas en el organismo.

No abrir archivos adjuntos que no esperamos recibir, aunque nos parezca que su origen es conocido.

No abrir adjuntos que tengan extensiones ejecutables.

No abrir adjuntos que tengan más de una extensión.

Chequear con el remitente, en caso de dudas, la razón por la cual nos envió un archivo adjunto.

Una de las operaciones más frecuentes es el reenvío de mensajes. Esta operación involucra la utilización de un mensaje recibido como base para el envío de uno nuevo a otros destinatarios.

Generalmente, por omisión, el cliente de correo electrónico (Outlook, Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta razón, el nuevo destinatario recibirá información acerca del autor y los destinatarios originales, sin poder estos controlar el destino del mensaje enviado, que a su vez suele ser reenviado sucesivamente.

Esto no sólo presenta una amenaza a la confidencialidad de la información contenida en el mensaje, sino que además facilita la propagación de virus (ya que al reenviar un mail conteniendo un virus el mismo será recibido por otros usuarios) y promueve el envío de “correo no solicitado” (en caso de reenvíos masivos)

6 a 7 10’

Cuando sea necesario reenviar un mensaje, elimine los datos del emisor original (si corresponde, a menos que necesite hacer mención explícita y textual del mensaje original, por ejemplo en el seguimiento de un tema en un ambiente colaborativo), o copie el contenido en uno nuevo.

Si envía un mensaje a más de una persona, agregue las direcciones como “CCO” o copia oculta, para evitar que cada receptor vea las direcciones de correo del resto de los destinatarios.

8 5’

Ante la duda, no debe reenviar mensajes, ya que colabora con el aumento del correo no solicitado, y se pierde tiempo (de los usuarios que reciben el mensaje) y recursos (espacio en disco rígido, tiempo de procesamiento, ancho de banda).

9 5’

Una de las técnicas conocidas para fomentar los reenvíos de mensajes, obtener direcciones de correo y armar bases de datos con las mismas, es la conocida “cadena de correos electrónicos”.

En estas cadenas, se apela a la solidaridad del receptor, solicitando el reenvío con fines benéficos, o se advierte sobre ciertas cuestiones, pidiendo que se retransmita dicha alerta.

Las “colecciones” de direcciones de correo electrónico incluidas en los mensajes, suelen ser utilizadas para formar parte de bases de datos que luego son empleadas para enviar información no solicitada (Spam) o pueden ser capturadas por virus informáticos, como fuente de direcciones

10 5’




válidas a las cuales reenviarse.

Debemos pensar acerca de cambiar nuestro hábito de reenviar “compulsivamente” los mensajes recibidos.

Este comportamiento habitual tiende a desarrollarse, dado que es común pensar que reenviar un mensaje no tiene costo alguno (en comparación con una llamada telefónica o un envío postal). Sin embargo debemos pensar que estamos comprometiendo datos de terceros, tiempo propio y de los destinatarios y recursos de la organización.

11 5’

Los “engaños” o “Hoax” son mensajes fraudulentos conteniendo información inexacta o falsa, que inducen al receptor a reenviar el mensaje, a fin de difundir su contenido o a realizar acciones que muy probablemente le ocasionaran problemas (Ej.: “borre el archivo XXX”, el usuario lo hace y su máquina deja de funcionar! ).

12 5’

Aquí presentamos algunas características comunes de los engaños (Hoax), que deben ser tenidas en cuenta cada vez que se reciben este tipo de mensajes.

Debemos pensar que difícilmente se pueda hacer una campaña de junta de firmas o recaudación de donaciones por esta vía.

Si el receptor está interesado en colaborar, o se hace eco del mensaje, se le recomienda que se dirija a la página web oficial de la organización que está mencionada. Un mensaje que no es Hoax, invita a una página oficial, donde se pueden constatar cantidad de visitas o donde se puede dejar un mensaje de adhesión.

Pero nunca se debe creer en supuestos “beneficios” que se otorguen por el mero reenvío de un mail y generalmente, si es un hecho verídico, se utilizan otros medios de difusión, como por ejemplo, la prensa.

También se debe evitar visitar el enlace que está incluido en el mensaje ya que generalmente, es mediante ese mecanismo que se produce el engaño.

13 5’

Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente desconocida, brindándonos información que no solicitamos. Estos mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas veces contienen información falsa o engañosa. Algunas de las técnicas que utilizan los spammers (es decir, aquellos que envían mensajes no solicitados por motus propia o para terceros) para obtener direcciones válidas de correo electrónico, incluyen:

Búsqueda de direcciones en páginas web y foros.

Captura de direcciones en cadenas de correo.

Listado de suscriptores a Listas de correo.

Compra de bases de datos de direcciones de correo.

Acceso no autorizado en servidores de correo.

14 5’

Es conveniente tener en cuenta algunas reglas de comportamiento con respecto a estos envíos de mensajes no solicitado:

No deje su dirección de correo electrónico en cualquier formulario o foro de Internet.

15 10’




No responda los correos no solicitados. Bórrelos. Es lo más seguro.

En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores.

Configure filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.

No configure “respuesta automática” para los pedidos de acuse de recibo.

No responda los pedidos de acuse de recibo de orígenes dudosos.

Otra de las amenazas que frecuentemente se advierten en la recepción de correo electrónico, es el fraude para obtener información confidencial.

Generalmente utilizando imágenes y tipografía de una empresa conocida (Banco, Tarjeta de Crédito, Proveedor de Internet, etc.) llega un mensaje solicitando datos personales, como el número de tarjeta de crédito para validar al usuario, o usuario y clave de acceso a algún sistema de información.

A esta técnica se la conoce como “Phishing” (del inglés fish=pescar) y es un claro ejemplo de “Ingeniería Social”, de la cual se habló anteriormente.

16 5’

Para prevenir ser víctimas del phishing, en caso de recibir pedidos de información confidencial, es recomendable:

Comunicarse telefónicamente con la Empresa que supuestamente nos contactó, para confirmar el pedido. No se debe llamar al teléfono que figura en el mensaje recibido, sino que se debe obtener el número de una fuente confiable (como por ejemplo del resumen de cuenta que recibe por correo postal).

Nunca enviar por correo información confidencial sin cifrar.

Verificar el origen del correo, aunque tenga en cuenta que el mismo puede estar falsificado.

Verificar el destino de los enlaces, es decir, si realmente corresponden con el sitio al que dicen dirigir.

17 5’

PAUSA 15’

Vamos a abordar ahora el tema de Firma Digital. La definición aquí incluida es una descripción funcional, que no busca detallar los aspectos técnicos de esta tecnología. La Firma Digital es un Conjunto de datos expresados en formato digital, utilizados como método de identificación de un firmante y de verificación de la integridad del contenido de un documento digital, que cumpla con los siguientes requisitos:

haber sido generado exclusivamente por su titular utilizando una clave que se encuentre bajo su absoluto y exclusivo control

ser susceptible de verificación

estar vinculado a los datos del documento digital poniendo en evidencia su alteración

18 5’

Para firmar digitalmente el firmante deberá generar previamente su par de claves (una pública y una privada), relacionadas matemáticamente entre sí.

19 10’




La clave privada deberá quedar siempre bajo su exclusivo control por ser el elemento que utilizará para producir su firma digital.

La clave pública, junto a sus datos personales, estará contenida en un certificado digital emitido por un certificador licenciado de acuerdo a la normativa vigente, y será utilizada para verificar su firma digital.

Una firma electrónica carece de algún requisito exigido por la normativa vigente para las firmas digitales (por ejemplo, que el certificado no fue emitido por una autoridad certificante licenciada).

Ante la aparición de nuevas tecnologías, es común encontrar que mucha gente desconoce el significado real de ciertos términos asociados así como sus verdaderos usos y prestaciones.

Para desechar los preconceptos que pudiera haber entre los participantes, comenzaremos por indicar una serie de “mitos” sobre la tecnología de Firma Digital, también llamada “de claves públicas”. Luego nos adentraremos en su definición, tecnología y posibles usos.

“Con la tecnología de firma digital se solucionan todos los problemas de seguridad” Ya vimos a lo largo de las charlas, que los aspectos vinculados con la seguridad de la información son muchos, y que no hay una sola solución a aplicar. La tecnología de Firma Digital proporciona los elementos técnicos para garantizar la AUTENTICIDAD e INTEGRIDAD de un mensaje/documento y evitar el repudio de la información firmada.

“La tecnología de Firma Digital es difícil de utilizar” Esto es un mito creado por aquellos que no se interiorizaron del mecanismo que emplea la firma digital. Una vez instalado el mecanismo, sólo se requiere una simple capacitación sobre cómo utilizarlo y el usuario ya estará listo para emplear este mecanismo.

“Todavía no hay estándares de Firma Digital” Existen estándares aplicables a la tecnología de firma digital ampliamente aceptados y utilizados a nivel internacional. A nivel nacional, la Decisión Administrativa nro. 6/07 establece los estándares tecnológicos y operativos para la infraestructura de firma digital de la República Argentina.

“La tecnología de Firma Digital es sólo un tema técnico” El empleo de la tecnología de firma digital debe ser una decisión estratégica dentro del marco del resguardo de la información. Los sistemas o entornos donde implementarla deben escogerse cuidadosamente, en función a la criticidad de la información manejada. La etapa de implementación de la Firma Digital es la única que consiste en un proceso técnico. Finalmente, el uso de Firma Digital se encuentra destinado a todos los usuarios, como una mejora a los procesos cotidianos.

20 10’

Como vimos al comienzo de estas charlas, el objeto a asegurar es la información. Concretamente, las propiedades de disponibilidad, integridad y confidencialidad, dentro de las principales. Veamos cómo puede utilizarse la tecnología de Firma Digital para contribuir en este sentido.

“Identificación de Usuarios” El uso de certificados digitales proporciona un mecanismo para identificar a su poseedor, pudiendo dicho mecanismo ser utilizado por aplicaciones,

21 15’




ya que sólo el propietario de la clave privada correspondiente al certificado puede firmar un mensaje o documento, con lo cual se verifica su identidad.

“Privacidad de Comunicaciones” Por ejemplo, en el caso de servidores web con certificados de sitio seguro (generalmente aparece el candado cerrado en el navegador), dado que cuando el cliente se conecta, el navegador presenta el certificado digital del sitio web con el cual se cifrará la comunicación con el usuario.

“Privacidad de Datos” Así como los certificados digitales son utilizados como parte del proceso de firma también pueden ser utilizados para cifrar información, para lo cual se debe disponer del certificado digital del destinatario. Como consecuencia de este último caso, es posible guardar o enviar datos sensibles por cualquier medio, con la garantía de que éstos serán “ilegibles” por cualquier tercero ajeno a la comunicación.

“Integridad de los Datos” La Firma Digital es una herramienta que permite garantizar la integridad del documento firmado, ya que si es alterado luego de haber sido firmado, dicha firma no podrá verificarse, evidenciando que se ha producido algún cambio.

“Repudio en términos legales” En nuestro país existe un marco legal vigente, a partir de la Ley 25.506 y sus normas complementarias, que permite atribuir a una firma digital, los mismos efectos que tiene una firma manuscrita, siempre que se sigan los procedimientos establecidos a tal efecto. De esta manera, se presume que un documento electrónico firmado digitalmente, pertenece al titular del certificado digital que se utilizó en el proceso de firma y que su contenido no ha sido alterado desde el momento en que fue firmado.

Por otra parte, y para no malinterpretar los alcances de esta herramienta, comentaremos brevemente qué cosas no resuelve la utilización de Firma Digital.

“Resguardo de la Información” Si bien se puede asegurar la autoría e integridad (con la firma) y la confidencialidad (con el cifrado) de la información, esta condición no es suficiente para garantizar su disponibilidad, exactitud y usabilidad.

“Autorización de Usuarios” Como mencionamos anteriormente, la tecnología puede ser utilizada para identificar y autenticar a un usuario, pero no basta por sí sola para autorizar accesos a recursos. En este caso, se deberán arbitrar otras condiciones adicionales para la autorización.

“Disponibilidad de la Información” Dado que la disponibilidad tiene que ver con la garantía del acceso a los usuarios autorizados a la información de que se trate y ésta depende de un conjunto amplio de factores, no podemos afirmar que esta tecnología por sí misma brinde alguna facilidad para asegurar la disponibilidad de la información.

El uso de esta herramienta, aporta muchos beneficios pero requiere tener en cuenta las siguientes consideraciones:

“El titular del certificado es responsable del secreto de su clave privada”

22 5’




Aludimos a esta responsabilidad no sólo en el aspecto de privacidad y confidencialidad que debe respetarse (ya que esto es válido para cualquier clave de acceso de que disponga el usuario) sino con relación al tipo de procedimiento asociado a la solicitud de Certificados Digitales, ya que no hay intervención del Área de Sistemas en la generación de claves privadas. Posibilitar el acceso de terceros a las claves privadas permitiría que éstos firmen a nombre del titular o accedan a información destinada sólo a él.

“El Área de Sistemas no puede solucionar la pérdida o el compromiso de la clave” En caso de pérdida de la clave de protección, o de la clave privada, o de suponer que está comprometida su confidencialidad, el Área de Sistemas no puede modificar los datos del Certificado Digital. Por lo tanto se deberá revocar el Certificado y tramitar uno nuevo. Tampoco puede habilitar o cambiar contraseñas definidas por el usuario para proteger su clave privada.

Hasta ahora hemos tratado temas vinculados a la tecnología de Firma Digital o de claves públicas, y cuáles son los beneficios para usuarios y técnicos, tanto como sus respectivas responsabilidades.

Pero una firma digital no es un tema exclusivamente tecnológico.

Para su implementación es necesaria la existencia de una Infraestructura de Firma Digital compuesta por un conjunto de elementos, a saber:

Equipamiento (Hardware)

Aplicaciones (Software)

Canales de comunicación

Políticas y Procedimientos

Recursos Humanos entrenados

etc.

Estos elementos se conjugan para brindar un marco de seguridad para los documentos electrónicos que permitan:

Crear

Administrar

Almacenar

Distribuir

Revocar

Certificados Digitales de Clave Pública, que son la herramienta necesaria para firmar documentos digitales o electrónicos.

23 5’

Veamos entonces algunos ejemplos de documentos digitales sobre los que se puede aplicar una Firma Digital.

Un mensaje de correo electrónico

Datos ingresados mediante un formulario Web

Los valores insertados en una BD

24 5’




Una transacción bancaria

Una imagen (scan) de un documento en papel

Una grabación digital de audio o video

Un archivo cualquiera de la PC

El contenido de un CD-ROM, etc.

La mayoría de los navegadores y sistemas de administración de correo electrónico permiten firmar y cifrar documentos y mensajes de correo electrónico.

Puede obtener más información en http://www.pki.gov.ar, donde también puede solicitar participar del Laboratorio de Firma Digital, en el cual se explica más exhaustivamente el funcionamiento de la tecnología de firma digital y su uso cotidiano.

Para obtener un certificado de firma digital se puede acceder al sitio http://ca.sgp.gov.ar y mediante un trámite guiado y sencillo se obtendrá un certificado digital.

Ese certificado emitido según la política establecida por la autoridad que lo emitió, solo valida la dirección de “correo electrónico” del solicitante.

Esto permitirá utilizar la tecnología y enviar mensajes de correo electrónicos firmados y/o cifrados (si se dispone del certificado del destinatario) asegurando que el emisor (o mejor dicho su casilla de correo) es de quien dice ser.

Si en cambio se desea obtener un certificado digital personal, se deberá iniciar el trámite en el sitio http://ca.pki.gov.ar y continuarlo personalmente en las oficinas del Proyecto de Firma Digital de la Oficina Nacional de Tecnologías de Información (ONTI) de la Subsecretaría de la Gestión Pública o bien en las Autoridades de Registro creadas en algunos organismos, que están listados en el sitio http://ca.pki.gov.ar.

25 5’

Recordamos la definición que ya vimos de Incidente. 26 a 27 5’

Nota: Para el desarrollo de esta diapositiva se recomienda seguir los lineamientos establecidos en la política de seguridad de la información del organismo, y/o en los procedimientos asociados. En caso de no existir, se pueden utilizar los siguientes conceptos:

Es necesario que los usuarios identifiquen y avisen de los incidentes que perciban. Incluso en aquellos casos en que no estuvieran seguros de que se trate de un incidente. Para ello se deben utilizar los canales de comunicación establecidos dentro del organismo.

La seguridad de un sistema de información, es tan débil como el más débil de los eslabones que conforman la cadena de todos los procesos y recursos involucrados.

Es por eso que todos debemos estar alertas y colaborar para evitar que se produzcan y/o propaguen los incidentes.

28 5’

Reportar los incidentes es mucho más importante de lo que Ud. imagina.

Se debe recalcar el tema de que todos somos necesarios, que se puede aprender de los incidentes y así evitar a futuro pérdidas mayores (menor tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten

29 5’




los incidentes.

Se deben reportar siguiendo el procedimiento que tenga establecido el organismo (averiguar previamente cual es dicho procedimiento) y a los canales definidos en el mismo. Adicionalmente, o si el organismo no tiene un procedimiento para reportar incidentes, puede entonces reportar el mismo al ArCERT, previo contacto con el responsable de seguridad o los administradores de la red.

Para más información sobre cómo reportar incidentes, consulte en www.arcert.gov.ar

Para poder informar de un incidente, es necesario que se registre y transmita la mayor cantidad de detalles que se puedan observar, para lo cual se deberán anotar los mensajes que pudieran aparecer en la pantalla, la hora de ocurrencia del evento, etc.

Por otra parte, se deberán llevar a cabo las medidas establecidas para una primera atención del incidente.

Por último, se deberá dar aviso a quien corresponda, en función a los procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable del Activo, Autoridad inmediata superior, etc.

30 5’

Los usuarios NO deben efectuar ninguna acción fuera de los procedimientos establecidos, aún aunque supongan que se trata de acciones correctas, a favor de la solución del incidente, como ser:

manipular el software que suponen está originando o está siendo víctima del incidente

efectuar pruebas para verificar la existencia de una vulnerabilidad

tratar de solucionar por su cuenta el problema.

31 5’

Cierre y evaluación de la actividad Realice la siguiente actividad de integración y evaluación. Se trata de una actividad grupal:


Realice una sola de las siguientes actividades:

Forme grupos de 4 ó 5 personas y solicíteles que elaboren una lista de distintos incidentes de seguridad que se hayan registrado en sus lugares de trabajo y cuáles fueron las acciones que se realizaron para mitigarlos.

Forme grupos de 4 ó 5 personas y solicíteles que elaboren una lista para su grupo de trabajo donde se mencionen las medidas preventivas en el manejo del correo electrónico.

15’

Puesta en común. Solicite a los grupos que expongan sus listados. Realice un resumen en la pizarra para analizar coincidencias y diferencias.

10’

Luego solicite a los grupos que respondan la encuesta sobre sus impresiones generales de ésta capacitación.

10’




http://www.arcert.gov.ar, sitio de ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) Subsecretaría de Gestión Pública.



http://www.pki.gov.ar, sitio de Firma Digital de la República Argentina, Subsecretaría de la Gestión Pública.

Ley Nº 25.506, Firma Digital, 11/12/2001.

Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002.

Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital, 08/06/2006



PROGRAMA REDUCIDO

REUNIÓN ÚNICA – FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN

Contenidos


Confidencialidad

Integridad

Disponibilidad


Normas vigentes




Ingeniería Social

Código Malicioso




Desarrollo Desarrolle la siguiente EXPOSICION ( Utilice el Archivo curso-reducido.ppt )

Descripción número Tiempo

Estas diapositivas corresponden a la carátula y al índice de la Reunión. Recorra rápidamente los temas a tratar durante el curso.

1 y 2 2'

La información es un activo valioso de la Organización, dado que de ella dependen sus actividades y básicamente su subsistencia. Es por ello que, como el resto de los activos, la información debe resguardarse.

En particular, para los organismos públicos, se deberá tener en cuenta también, que existen políticas y lineamientos gubernamentales tendientes a poner cada vez más información a disposición del ciudadano. Estas acciones se enmarcan en lo que se conoce como “Gobierno Electrónico”. Este proceso, que produce una mejora en los servicios y en la gestión del Estado, trae aparejado un aumento del riesgo de seguridad de la información que manejan los organismos públicos, por lo que se torna indispensable que se adopten las medidas adecuadas para su tratamiento y resguardo.

3 5’

Entendiendo que la información debe preservarse, deberemos entender con respecto a qué es preciso resguardarla. Esto es, conocer las amenazas que atentan contra la seguridad de la información. Podemos

4 2’




encontrar amenazas de origen natural o humano, deliberadas o fortuitas, etc.

Estas amenazas existen a partir de vulnerabilidades y pueden generar graves consecuencias para la organización.

Se entiende por vulnerabilidad como una debilidad en un activo.

Ya mencionamos que tanto la información, como los programas y recursos informáticos como el equipamiento, los insumos, etc., se consideran activos de una organización, por lo que su pérdida puede traer consecuencias graves.

Por otra parte, una amenaza es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas surgen a partir de la existencia de vulnerabilidades.

En el siguiente cuadro se expone una forma de clasificar las amenazas existentes.

5 2’

En este cuadro vemos que las amenazas pueden tener un origen natural o humano. Dentro de las amenazas provocadas por el hombre, encontramos que estas pueden ser maliciosas (deliberadas) por un lado y no maliciosas (no intencionales) por el otro.

Las amenazas maliciosas comprenden las actividades propiamente delictivas, de intrusión (ingresar sin autorización a un sitio o sistema privado), fraude, sabotaje, etc.

Las no maliciosas de origen humano involucran a las operaciones que, por desconocimiento, impericia o negligencia, provocan algún incidente de seguridad. Este curso intenta impartir conocimientos de seguridad sobre los sistemas de información, de manera de minimizar los incidentes que pudieran ocasionarse en forma no intencional.

Por último mencionamos las amenazas de origen natural, generalmente desastres naturales como inundaciones o terremotos, aunque también hay que tener en cuenta el corte de servicios (energía eléctrica, conectividad, etc.).

6 5’

Cuando hablamos de preservar la información, nos referimos a algunas de sus cualidades. Entre éstas, podemos citar principalmente:

CONFIDENCIALIDAD: Se garantiza que la información se encuentre accesible sólo a aquellas personas autorizadas.

Pensemos qué podría ocurrir si en la dependencia donde trabajamos, alguien accediera a la información personal que se tiene de los ciudadanos o de los empleados del organismo (por ejemplo, ingresos anuales, deudas impositivas, domicilio, historia clínica), sin la debida autorización.

7 2’

INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la información y de los métodos de procesamiento y transmisión.

Qué ocurriría si se alteran los datos contenidos en nuestras PC, o se cambiara su configuración, sin la debida directiva o autorización. Seguramente en muchos casos, esto tendría graves consecuencias para nosotros, para el organismo y/o para terceros.

8 2’

DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados, toda vez que lo

9 2’




requieran

Supongamos que un organismo publica información importante en su sitio web, como por ejemplo vencimientos de pagos o instrucciones para realizar un trámite complicado, presentación en línea de declaraciones juradas, y alguien impide que se pueda acceder a dicho sitio.

Las organizaciones deben gestionar los riesgos a que se encuentran expuestas, realizando las tareas necesarias para garantizar los niveles de seguridad considerados aceptables en su ámbito. La seguridad de sus sistemas de información debe ser entendida como un proceso y basarse en un documento denominado Política de Seguridad de la Información (PSI).

Una PSI constituye un marco general que define las pautas que deben cumplirse para preservar la seguridad de la información de una organización.

Esto les permite planificar las actividades a realizar, planteando el escenario completo de los aspectos a custodiar.

Una Política consiste entonces en una serie de condiciones para garantizar la seguridad de la información. Luego se deberá profundizar el nivel de detalle en normas y procedimientos que indiquen cómo implementar dichas disposiciones.

Asimismo, y como la seguridad de la información debe ser considerada un proceso, debe contemplarse la realización de revisiones periódicas de la Política, garantizando su adaptación a la realidad y a los cambios tecnológicos.

Por último, se debe asegurar el cumplimiento de toda la normativa vigente.

10 a 12

10’

Actualmente en nuestro país, así como en el resto del mundo, existen normas que regulan el uso de los recursos informáticos y de la información.


La Decisión Administrativa Nº 669 de diciembre de 2004 establece para los organismos de la Administración Pública Nacional la obligatoriedad de redactar, aprobar e implementar una Política de Seguridad de la Información que se maneja en su ámbito, de designar un responsable de seguridad y de convocar un Comité conformado por Directores de áreas sustantivas, para el tratamiento de los temas vinculados a la seguridad de la información.

La política de seguridad de la información de cada organismo debe basarse en el modelo aprobado por la ONTI mediante la Disposición Nº 06/2005. Su implementación se lleva a cabo mediante procedimientos formalizados, referidos al tratamiento de la información, su confidencialidad, etc.

Un aspecto importante a tener en cuenta es la clasificación de la información y el inventario de los recursos de información. Conocer los recursos con los que se cuenta y el tipo de información que se maneja y establecer su criticidad permite identificar los riesgos y, en base a ello,

13 5’




establecer las medidas que se adoptarán para su protección.

(Se recomienda en esta sección realizar una referencia a las políticas y procedimientos de seguridad aprobados en el organismo)

Existen además otras normas vigentes en nuestro país que regulan aspectos vinculados con el uso de la información y de los recursos informáticos.

Respecto al uso de la información en el Estado, la Ley 25.164 establece deberes para todos los funcionarios públicos, es decir, para todas aquellas personas que prestan servicios para el Estado independientemente del estado de revista. Entre estos deberes se encuentra el de observar el deber de fidelidad que se derive de la índole de las tareas que le fueron asignadas y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.

Respecto al uso de los recursos informáticos en la Administración Pública, la ley 25.164 prohíbe a los funcionarios públicos hacer uso indebido o con fines particulares del patrimonio estatal (computadoras, impresoras, software, etc.)

14 5´

Con el mismo alcance y finalidad, la ley 25.188 dispone la obligación para todos los funcionarios públicos de abstenerse a utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.

Las normas mencionadas precedentemente alcanzan también a la información que se procesa en una computadora, cualquiera sea su formato o soporte (papel, un disco rígido, un diskette, un archivo adjunto a un mensaje de correo electrónico, etc.).

Esta ley también establece la obligación de proteger y conservar la propiedad del Estado y sólo emplear dichos recursos con los fines autorizados.


15 5´

Dentro del universo de información que se genera, procesa y transmite en el Estado, encontramos un subconjunto compuesto por los datos personales, es decir, aquellos datos que refieren a una persona.

El derecho a la protección de los datos personales adquirió jerarquía constitucional en la reforma del año 1994.

Debido a su sensibilidad, estos datos gozan de un régimen particular, el que viene a complementar a las leyes mencionadas. Así, la ley 25.326 y sus normas complementarias buscan proteger los datos personales y el derecho de sus titulares a conocer y en su caso, actualizar, modificar o suprimir aquellos que sean inexactos.

La ley establece que los datos personales no pueden procesarse sin el consentimiento expreso del titular, salvo contadas excepciones. Todo aquel que adquiera, procese o ceda datos personales sin el consentimiento del titular estará realizando una actividad ilícita susceptible de ser sancionada. Por lo tanto, queda más que claro que la cesión de

16 10´




datos personales o de bases de datos que los contengan constituye un delito.

La Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos es la Autoridad de Aplicación. Todos los organismos públicos y las entidades privadas deben registrar sus bases de datos y cumplir con las medidas de seguridad y confidencialidad establecidas.

Por otro lado, el software es considerado una obra intelectual que goza de la protección de la Ley 11.723. Esta ley permite que la explotación de la propiedad intelectual sobre los programas de computación se realice mediante licencias para su uso o reproducción. Por tal motivo, toda conducta que vaya en contra de lo dispuesto en dichas licencias violará los derechos del autor de la obra y genera responsabilidad administrativa, civil y penal.

Instalar un programa sin contar con la debida licencia, puede traer consecuencias legales tanto para el organismo como para quien lo instala.

17 10´

La ley 25.506 habilita el uso del documento electrónico, la firma electrónica y la firma digital. Esta última, bajo determinadas condiciones, produce los mismos efectos legales que la firma manuscrita.

Vamos a introducir ahora el tema de Firma Digital. La definición aquí incluida es una descripción funcional, que no busca detallar los aspectos técnicos de esta tecnología. La Firma Digital es un Conjunto de datos expresados en formato digital, utilizados como método de identificación de un firmante y de verificación de la integridad del contenido de un documento digital, que cumpla con los siguientes requisitos:

haber sido generado exclusivamente por su titular utilizando una clave que se encuentre bajo su absoluto y exclusivo control

ser susceptible de verificación

estar vinculado a los datos del documento digital poniendo en evidencia su alteración

18 a 19

5´

El acceso a los sistemas de información normalmente se realiza mediante la identificación del usuario que lo requiere. Para ello se solicita el ingreso de una identificación de usuario, esto es un nombre o un código que identifique a la persona que solicita el acceso (Ej.: gomez, aperez, etc.) o a la función que esta cumple (Ej.: administrador, operador, etc.).

El sistema necesita validar al usuario que desea acceder, para lo cual necesita verificar que éste sea quien dice ser. Para ello, el usuario deberá autenticarse, esto es demostrar que es el usuario que indicó en el paso anterior.

Por último, el sistema controla que el usuario tiene autorización para acceder al recurso que solicitó. No todos los usuarios tienen permiso para acceder a todas las aplicaciones, documentos, etc.

20 5’

La autenticación puede realizarse de diversas maneras, entre ellas:

Demostrando algo que se sabe: Típicamente ingresando una clave.

Demostrar algo que se tiene: Para lo cual se utilizan dispositivos externos, tales como tarjetas magnéticas, tokens usb, etc.

21 5’




Demostrar algo que se es: Mediante el uso de técnicas biométricas. Las técnicas biométricas son métodos automáticos para el reconocimiento único de personas basados en uno o más rasgos conductuales o físicos intrínsecos. Ej.: análisis de las huellas digitales, el reconocimiento de la voz, el análisis del iris, etc.

Para aumentar la seguridad en el control de acceso se recomienda combinar dos de estas tres alternativas.

Dado que el uso de la combinación de usuario y clave es el método mayormente utilizado (en general porque es el más económico), vamos a conocer las características que debe reunir una contraseña para que sea segura:

Personal: se debe asignar una contraseña a cada persona que acceda al sistema.

Secreta: sólo el usuario de la contraseña debe conocerla.

Intransferible: la contraseña no puede ser revelada a ningún tercero para su uso.

Modificable sólo por el titular: el cambio de contraseña, sea cual fuere el motivo, debe ser realizado por el usuario titular de la misma y sólo en casos excepcionales por el administrador, por ejemplo, cuando el usuario olvida su contraseña (en este caso, el usuario debe cambiarla inmediatamente después de acceder a su cuenta).

Difícil de averiguar: Al momento de elegir su nueva contraseña, el usuario debe seguir ciertos lineamientos que impidan la averiguación de la misma por parte de terceros. Más adelante se verán algunos de estos lineamientos.

22 5’

Se exponen a continuación, algunas de las técnicas utilizadas para formar una clave robusta, que conjugan cierta dificultad para averiguarla con características que permiten que los usuarios la puedan recordar fácilmente.

No utilice palabras comunes ni nombres de fácil deducción por terceros (nombre de mascota, nombre de equipo de fútbol favorito), ya que estas claves podrían ser obtenidas fácilmente mediante el uso de técnicas automáticas que prueben acceder a la cuenta del usuario con palabras extraídas de diccionarios de palabras comunes.

No las vincule a una característica personal, (teléfono, D.N.I., patente del automóvil, etc.).

No utilice terminología técnica conocida (admin).

Combine caracteres alfabéticos, mayúsculas y minúsculas, números, caracteres especiales como espacio, guión, símbolo $, etc.

Constrúyalas utilizando al menos 8 caracteres.

Use claves distintas para máquinas diferentes y/o sistemas diferentes.

Use un acrónimo de algo fácil de recordar Ej.: NorCarTren (Norma , Carlos, Tren).

Añada un número al acrónimo para mayor seguridad: NorCarTren09 (Norma, Carlos, Tren, Edad del hijo).

Mejor aún, si la frase origen no es conocida por otros: Verano del 42:

23 a 24

10’




Verdel4ydos.

Elija una palabra sin sentido, aunque pronunciable. (galpo-glio).

Realice reemplazos de letras por signos o números. (3duard0palmit0).

Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina6-0).

Se deben establecer normas para el uso adecuado de las contraseñas, de forma de prevenir que éstas sean vulneradas y utilizadas por intrusos para acceder a los sistemas de forma no autorizada.

Cuide que no lo vean cuando tipea su clave.

No observe a otros mientras lo hacen.

No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.

No comparta su clave con otros.

No pida la clave de otro.

No habilite la opción de “recordar claves” en los programas que utilice.

Si por algún motivo tuvo que escribir la clave, no la deje al alcance de terceros (debajo del teclado, en un cajón del escritorio) y NUNCA pegada al monitor.

NUNCA envíe su clave por correo electrónico ni la mencione en una conversación, ni se la entregue a nadie, aunque sea o diga ser el administrador del sistema.

No mantenga una contraseña indefinidamente. Cámbiela regularmente, aunque las políticas de Administración de Claves no lo obliguen.

25 a 26

10’

PAUSA 10’

La información sensible no sólo es manejada en los sistemas informáticos, sino que también se encuentra dispersa en otros medios, como ser papeles, archivos físicos, etc. Es por ello que se deben establecer medidas de seguridad para la información fuera de los sistemas informáticos.

Plantee el tema de “Escritorio Limpio” indicando el por qué de dicha práctica y dando consejos para cumplirla.

Durante el día se debe realizar una serie de tareas que se encuentran enunciadas en la diapositiva número 27. Se debe tener cuidado con la documentación impresa, según lo indicado en la diapositiva número 28. Por último, se debe tomar una serie de recaudos al abandonar la oficina al finalizar el día, siguiendo las recomendaciones de la diapositiva número 29.

27 a 29

10’

El concepto de “Pantalla Blanca” apunta a no exponer en la pantalla información que pueda ser utilizada por personas no autorizadas.

Sugerencia para el expositor: Plantee una situación en la cual dejar la pantalla desatendida podría ser una amenaza a la seguridad de la información del usuario y del Organismo. Ej.: que un tercero opere la Terminal de forma no autorizada.

Indague sobre el sistema operativo utilizado en su Organismo, o el que

30 2’




mayoritariamente utilizan los usuarios si es que hay más de uno, e indique cuál es el mecanismo para proteger una terminal desatendida, con dicho sistema.

Introducimos ahora el concepto de Ingeniería Social. Se trata de un conjunto de técnicas de engaño que se aplican sobre las personas para obtener de ellas información de interés para el atacante, o para lograr que efectúen alguna acción deseada por éste.

Generalmente estamos acostumbrados a asociar la seguridad de un sistema con las herramientas informáticas que aplican seguridad, o bien con controles físicos. Pero olvidamos que los seres humanos se encuentran directamente relacionados con los sistemas de información, constituyendo un factor alto de riesgo que también debe ser mitigado. Precisamente la Ingeniería Social explora el factor más vulnerable de todo sistema: el ser humano.

31 2’

Para evitar que la Ingeniería Social sea utilizada para atacar los sistemas de información, se debe primeramente informar a las potenciales víctimas sobre este tipo de técnicas, de forma que se encuentren prevenidas y puedan reaccionar con el objeto de rechazar estos ataques.

Aquí se exponen algunas consideraciones a tener en cuenta, a fin de mitigar los intentos de Ingeniería Social.

De más está decir que continuamente se ingenian nuevas estrategias, por lo que insistimos con ser precavidos y estar alertas. (ya que siempre se puede armar un manual de técnicas conocidas, lo que no se puede asegurar es que sirva para todos los casos, que no habrá cosas nuevas, etc.)

32 2’

El Código Malicioso o Programa malicioso es un programa de computadora escrito para producir inconvenientes, destrucción, o violar la política de seguridad.

Existen distintos tipos:

Los virus, que generalmente requieren alguna interacción por parte del usuario (por ejemplo, abrir un archivo adjunto que recibe por correo electrónico).

Los Caballos de Troya o Troyanos, que son programas que tienen una funcionalidad conocida (por ejemplo, un juego) pero además tienen una funcionalidad oculta (Ej.: capturar las claves que tipea el usuario y mandarlas en un mensaje de correo electrónico al atacante)

Los Gusanos, que se reproducen sin necesidad de interacción de los usuarios, por ejemplo atacando servicios de red vulnerables (por ejemplo, alguna vulnerabilidad en el servicio de carpetas compartidas de Windows, siempre y cuando a la máquina no se le haya instalado la actualización que corrige la vulnerabilidad)

También existen otros tipos, como el spyware que suele recopilar información sobre una persona, para poder mostrarle publicidad dirigida.

Para disminuir las amenazas que presenta el código malicioso, se suele utilizar programas antivirus. Sin embargo, es importante resaltar que dichos programas no son siempre efectivos, ya que suelen detectar el código malicioso en base a patrones conocidos, es decir que no detectan automáticamente nuevos programas maliciosos creados por los atacantes. Por eso, se debe mantener el antivirus actualizado, pero igual no se debe

33 10’




confiar en que el mismo va a detectar todo el código malicioso que recibamos.

Resalte el concepto de que algo que diga ser una foto o video, puede en realidad ser un programa ejecutable. Por ejemplo, uno puede recibir un mensaje de correo electrónico que incluya una supuesta foto de nuestro ídolo favorito, pero en realidad el archivo adjunto es un programa que puede causar un daño.

Para dejar clara la importancia de prevenirse contra el código malicioso, se dan ejemplos de algunas de las cosas que suelen hacer los códigos maliciosos una vez que se encuentran activos en la máquina victima:

Borrar archivos del disco rígido para que la computadora se vuelva inoperable.

Infectar una computadora y usarla para atacar a otras.

Obtener información sobre el usuario, los sitios web que visita, sus hábitos en la computadora.

Capturar las conversaciones activando el micrófono (o viendo al usuario, con la activación de la webcam).

Ejecutar comandos en la computadora, como si lo hubiera hecho el usuario.

Robar archivos del equipo, por ejemplo aquellos con información personal, financiera, números de serie (licencia) de programas instalados, etc.

34 5’

Veremos ahora algunas medidas que se deben tener en cuenta para navegar en Internet de forma segura.

A veces un link (enlace) puede ser engañoso y llevar al usuario a acceder a una página diferente a la que aparentemente lo lleva (en función al texto del enlace). Para evitar caer en esta trampa se debe:

a) Verificar el destino de los enlaces con la opción “Propiedades” (normalmente utilizando el botón derecho del Mouse) para corroborar que sea el mismo que se menciona en el texto del enlace (esto se puede mostrar directamente con un navegador).

b) No acceder directamente al enlace haciendo clic sobre el mismo, sino que se aconseja copiar el texto del enlace y pegarlo en la barra de dirección del navegador.

35 2’

Algunas otras medidas para evitar ataques durante la navegación son:

1. Evitar acceder a sitios desconocidos o no confiables, ya que los mismos pueden contener contenido malicioso que permita descargar y ejecutar programas maliciosos en su estación de trabajo.

2. Asegurarse de que el navegador no acepte la instalación de software descargado de Internet en forma automática.

3. No descargar de Internet archivos ejecutables.

4. No introducir información sensible en sitios o foros.

5. Si se necesita introducir información sensible en un sitio web, asegurarse de que la página es segura (https) y verificar que el certificado que presenta la misma es válido:

Correspondencia entre el nombre de dominio del certificado y el

36 10’




nombre del sitio web al que se accede.

Vigencia.

Autoridad Certificante confiable.

6. El administrador de la red muchas veces conoce valores de configuración que hacen que la navegación por Internet sea más segura.

Vamos a referirnos a las amenazas existentes en el manejo del correo electrónico.

El correo electrónico es un medio de comunicación muy útil, pero también es un medio por el cual podemos recibir mensajes no solicitados (spam), engaños (hoaxs) y otros tipos de amenazas.

Por ejemplo, los mensajes de correo electrónico pueden ser falsificados fácilmente. Tenga en cuenta que un atacante podría generar mensajes que parezcan ser originados por algún tercero en el cual Ud. confía.

Además, se debe tener especial cuidado con los archivos adjuntos y los enlaces a páginas web, ya que pueden incluir código malicioso.

37 5’

Los correos electrónicos son un medio ampliamente utilizado para la propagación de virus y troyanos mediante archivos adjuntos. Es por ello que deben tenerse en cuenta ciertas medidas de seguridad para manipular archivos adjuntos, especialmente cuando no son archivos que se esperan y no están directamente relacionados con cuestiones laborales. Las buenas prácticas incluyen:

No abrir archivos adjuntos de origen desconocido o que no estén relacionados con nuestras tareas en el organismo.

No abrir archivos adjuntos que no esperamos recibir, aunque nos parezca que su origen es conocido.

No abrir adjuntos que tengan extensiones ejecutables.

No abrir adjuntos que tengan más de una extensión.

Chequear con el remitente, en caso de dudas, la razón por la cual nos envió un archivo adjunto.

38 10’

Una de las operaciones más frecuentes es el reenvío de mensajes. Esta operación involucra la utilización de un mensaje recibido como base para el envío de uno nuevo a otros destinatarios.

Generalmente, por omisión, el cliente de correo electrónico (Outlook, Thunderbird, etc.) repite el cuerpo del mensaje y el encabezado. Por esta razón, el nuevo destinatario recibirá información acerca del autor y los destinatarios originales, sin poder estos controlar el destino del mensaje enviado, que a su vez suele ser reenviado sucesivamente.

Esto no sólo presenta una amenaza a la confidencialidad de la información contenida en el mensaje, sino que además facilita la propagación de virus (ya que al reenviar un mail conteniendo un virus el mismo será recibido por otros usuarios) y promueve el envío de “correo no solicitado” (en caso de reenvíos masivos).

Cuando sea necesario reenviar un mensaje, elimine los datos del emisor original (si corresponde, a menos que necesite hacer mención explícita y textual del mensaje original, por ejemplo en el seguimiento de un tema en

39 5’




un ambiente colaborativo), o copie el contenido en uno nuevo.

Si envía un mensaje a más de una persona, agregue las direcciones como “CCO” o copia oculta, para evitar que cada receptor vea las direcciones de correo del resto de los destinatarios.

Una de las técnicas conocidas para fomentar los reenvíos de mensajes, obtener direcciones de correo y armar bases de datos con las mismas, es la conocida “cadena de correos electrónicos”.

En estas cadenas, se apela a la solidaridad del receptor, solicitando el reenvío con fines benéficos, o se advierte sobre ciertas cuestiones, pidiendo que se retransmita dicha alerta.

Las “colecciones” de direcciones de correo electrónico incluidas en los mensajes, suelen ser utilizadas para formar parte de bases de datos que luego son empleadas para enviar información no solicitada (Spam) o pueden ser capturadas por virus informáticos, como fuente de direcciones válidas a las cuales reenviarse.

40 5’

Debemos pensar acerca de cambiar nuestro hábito de reenviar “compulsivamente” los mensajes recibidos.

Este comportamiento habitual tiende a desarrollarse, dado que es común pensar que reenviar un mensaje no tiene costo alguno (en comparación con una llamada telefónica o un envío postal). Sin embargo debemos pensar que estamos comprometiendo datos de terceros, tiempo propio y de los destinatarios y recursos de la organización.

41 2’

Los “engaños” o “Hoax” son mensajes fraudulentos conteniendo información inexacta o falsa, que inducen al receptor a reenviar el mensaje, a fin de difundir su contenido o a realizar acciones que muy probablemente le ocasionaran problemas (Ej.: “borre el archivo XXX”, el usuario lo hace y su máquina deja de funcionar! ).

42 2’

Aquí presentamos algunas características comunes de los engaños (Hoax), que deben ser tenidas en cuenta cada vez que se reciben este tipo de mensajes.

Debemos pensar que difícilmente se pueda hacer una campaña de junta de firmas o recaudación de donaciones por esta vía.

Si el receptor está interesado en colaborar, o se hace eco del mensaje, se le recomienda que se dirija a la página oficial de la organización que está mencionada. Un mensaje que no es Hoax, invita a una página oficial, donde se pueden constatar cantidad de visitas o donde se puede dejar un mensaje de adhesión.

Pero nunca se debe creer en supuestos “beneficios” que se otorguen por el mero reenvío de un mail y generalmente, si es un hecho verídico, se utilizan otros medios de difusión, como por ejemplo, la prensa.

También se debe evitar visitar el enlace que está incluido en el mensaje ya que generalmente, es mediante ese mecanismo que se produce el engaño.

43 5’

Es muy frecuente recibir en nuestra casilla de correo, mensajes de gente desconocida, brindándonos información que no solicitamos. Estos mensajes no solicitados (o SPAM) suelen incluir publicidad, y muchas veces contienen información falsa o engañosa. Algunas de las técnicas que utilizan los spammers (es decir, aquellos que envían mensajes no

44 5’




solicitados por motus propia o para terceros) para obtener direcciones válidas de correo electrónico, incluyen:

Búsqueda de direcciones en páginas web y foros.

Captura de direcciones en cadenas de correo.

Listado de suscriptores a Listas de correo.

Compra de bases de datos de direcciones de correo.

Acceso no autorizado en servidores de correo.

Es conveniente tener en cuenta algunas reglas de comportamiento con respecto a estos envíos de mensajes no solicitado:

No deje su dirección de correo electrónico en cualquier formulario o foro de Internet.

No responda los correos no solicitados. Bórrelos. Es lo más seguro.

En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores.

Configure filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.

No configure “respuesta automática” para los pedidos de acuse de recibo.

No responda los pedidos de acuse de recibo de orígenes dudosos.

45 10’

Otra de las amenazas que frecuentemente se advierten en la recepción de correo electrónico, es el fraude para obtener información confidencial.

Generalmente utilizando imágenes y tipografía de una empresa conocida (Banco, Tarjeta de Crédito, Proveedor de Internet, etc.) llega un mensaje solicitando datos personales, como tarjeta de crédito para validar al usuario, o usuario y clave de acceso a algún sistema de información.

A esta técnica se la conoce como “Phishing” (del inglés fish=pescar) y es un claro ejemplo de “Ingeniería Social”, de la cual se habló anteriormente.

46 2’

Para prevenir ser víctimas del phishing, en caso de recibir pedidos de información confidencial, es recomendable:

Comunicarse telefónicamente con la Empresa que supuestamente nos contactó, para confirmar el pedido. No se debe llamar al teléfono que figura en el mensaje recibido, sino que se debe obtener el número de una fuente confiable (como por ejemplo del resumen de cuenta que recibe por correo postal).

Nunca enviar por correo información confidencial sin cifrar.

Verificar el origen del correo, aunque tenga en cuenta que el mismo puede estar falsificado.

Verificar el destino de los enlaces, es decir, si realmente corresponden con el sitio al que dicen dirigir.

47 2’

INCIDENTE: Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras.

Puede ser causado por una falla en algún mecanismo de seguridad, un intento o amenaza (concretada o no) de romper mecanismos de

48 5’




seguridad, etc.

Nótese que se indica que “un intento” de romper un mecanismo de seguridad también es considerado un incidente, ya que muchas veces los intentos fallidos ponen a prueba los sistemas de seguridad o nos hacen revisar su confiabilidad.

Nota: Para el desarrollo de esta diapositiva se recomienda seguir los lineamientos establecidos en la política de seguridad de la información del organismo, y/o en los procedimientos asociados. En caso de no existir, se pueden utilizar los siguientes conceptos:

Es necesario que los usuarios identifiquen y avisen de los incidentes que perciban. Incluso en aquellos casos en que no estuvieran seguros de que se trate de un incidente. Para ello se deben utilizar los canales de comunicación establecidos dentro del organismo.

La seguridad de un sistema de información, es tan débil como el más débil de los eslabones que conforman la cadena de todos los procesos y recursos involucrados.

Es por eso que todos debemos estar alertas y colaborar para evitar que se produzcan y/o propaguen los incidentes.

49 5’

Reportar los incidentes es mucho más importante de lo que Ud. imagina.

Se debe recalcar el tema de que todos somos necesarios, que se puede aprender de los incidentes y así evitar a futuro pérdidas mayores (menor tiempo en restablecer los servicios, etc.) y por eso es vital que se reporten los incidentes.

Se deben reportar siguiendo el procedimiento que tenga establecido el organismo (averiguar previamente cual es dicho procedimiento) y a los canales definidos en el mismo. Adicionalmente, o si el organismo no tiene un procedimiento para reportar incidentes, puede entonces reportar el mismo al ArCERT, previo contacto con el responsable de seguridad o los administradores de la red.

Para más información sobre cómo reportar incidentes, consulte en www.arcert.gov.ar

50 5’

Para poder informar de un incidente, es necesario que se registre y transmita la mayor cantidad de detalles que se puedan observar, para lo cual se deberán anotar los mensajes que pudieran aparecer en la pantalla, la hora de ocurrencia del evento, etc.

Por otra parte, se deberán llevar a cabo las medidas establecidas para una primera atención del incidente.

Por último, se deberá dar aviso a quien corresponda, en función a los procedimientos establecidos. Ej.: Responsable de Seguridad, Responsable del Activo, Autoridad inmediata superior, etc.

51 2’

Los usuarios NO deben efectuar ninguna acción fuera de los procedimientos establecidos, aún aunque supongan que se trata de acciones correctas, a favor de la solución del incidente, como ser:

manipular el software que suponen está originando o está siendo víctima del incidente.

efectuar pruebas para verificar la existencia de una vulnerabilidad.

52 5’




tratar de solucionar por su cuenta el problema.

Cierre

Realice la siguiente actividad de evaluación.


Solicite a los grupos que respondan la encuesta sobre sus impresiones generales de esta capacitación.

15’

Bibliografía de referencia http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas,

Subsecretaría de Gestión Pública. Modelo de Política, aprobado por la ONTI mediante la Disposición 006/2005, 25/07/2005. Manual de Seguridad en Redes, ArCERT, Subsecretaría de la Gestión Pública, 1999. http://www.pki.gov.ar/, sitio de Firma Digital de la República Argentina, Subsecretaría de la

Gestión Pública, 2006. Ley Nº 25.506, Firma Digital, 11/12/2001. Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002. Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital,

08/06/2006



PARTE D – PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN

A continuación encontrará un documento que le ayudará a completar el instrumento ”COMPONENTES PARA LA PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN”

CÓMO COMPLETAR EL INSTRUMENTO “COMPONENTES PARA LA PRESENTACIÓN DE DISEÑOS DE CAPACITACIÓN”

Usted ha leído el Manual del Instructor en Seguridad de la Información y ha recibido los materiales que le permitirán diseñar e implementar una actividad extendida o una actividad breve de capacitación para personal del organismo en el que usted trabaja.

En el material que le entregamos, figura el diseño global de la actividad de capacitación; ahora, usted debe ajustar ese diseño a las especificidades del organismo en que se desempeñará como instructor. Recuerde que:

Planificar una acción formativa facilita su implementación, ahorra tiempos, previene inconvenientes y permite tomar decisiones justificadas.

Usted puede usar el diseño básico que figura en los materiales pero ajustándolo a:

los requerimientos de la organización (puntos 1. Fundamentación y 2. Contribución esperada) y

al perfil de los sujetos que participarán en la actividad de capacitación (punto 3. Destinatarios). En el documento encontrará algunas orientaciones para completar estos puntos.

También es recomendable que revise los objetivos de aprendizaje (punto 4. Objetivos) tratando de incluir aquellos

que usted considere necesarios y que no estén contemplados en el diseño. Recuerde que:

Un objetivo de aprendizaje consiste en la formulación de lo que esperamos que los participantes puedan hacer en relación con un contenido de aprendizaje; ejemplos: “comprender el concepto de incidente de seguridad de la información”; “aplicar normas de seguridad en el intercambio de mensajes de correo electrónico”.

Los contenidos de aprendizaje son los temas que hemos seleccionado y organizado para nuestra actividad de capacitación. En este caso, le solicitamos que, tanto para la actividad breve como para la actividad extendida, respete los contenidos mínimos incluidos en la propuesta del material.

Usted puede incorporar algunas técnicas en su estrategia metodológica de acuerdo con los distintos momentos de apertura, de desarrollo o de cierre de cada reunión. Para eso, le ofrecimos algunas ideas cuando abordamos los contenidos pedagógicos correspondientes a la Reunión Nº 2. Ahora recuperamos algunas de esas técnicas en el siguiente cuadro2.

2 Fuente: RUBBO, Elsa; LEMOS, Elisa: Manual del Formador. Buenos Aires, INAP, DNC, 1995.



Técnica Descripción Utilidad

CUCHICHEO En un grupo, los miembros dialogan simultáneamente de a dos para discutir un tema o problema del momento. Todo el grupo trabaja simultáneamente sobre un mismo asunto. Se emplean pocos minutos para resolver una pregunta formulada al conjunto

Para obtener conclusiones, compartir la impresión obtenida individualmente por cada alumno, detectar intereses sobre un tema, conocer la opinión de los miembros del grupo.

PROCESO INCIDENTE

Un grupo analiza a fondo un problema o incidente real, expuesto en forma muy escueta y objetiva.

Cuando se desea desarrollar la habilidad para la resolución de problemas de la vida diaria o laboral y para la adopción de buenas decisiones.

ROLE-PLAYING

Dos o más personas representan situaciones de la vida real (personal o laboral), asumiendo los roles del caso, con el objeto de que pueda ser mejor comprendida y tratada por el grupo.

Cuando se desea trabajar sobre situaciones surgidas de la vida de relación en los distintos espacios del ámbito laboral.

DEBATE DIRIGIDO O DISCUSIÓN GUIADA

Un grupo reducido trata un tema en discusión informal con la ayuda activa y estimulante de un coordinador. Promueve el intercambio de ideas e información sobre un tema, bajo la conducción de una persona (docente) que hace de guía e interrogador.

Cuando se desea promover el intercambio y elaboración de ideas e información sobre un tema pasible de diversos enfoques e interpretaciones.

Cuando se desea desarrollar la capacidad de análisis, comprensión de ideas y conceptos, o ciertas actitudes como la tolerancia.

Después de una conferencia, clase magistral o exhibición de un material audiovisual, para promover el intercambio de ideas y la elaboración de la información suministrada.

PEQUEÑO GRUPO DE DISCUSIÓN

Un grupo reducido trata un tema o problema en discusión libre e informal, guiado por un coordinador. El clima es informal, existiendo un mínimo de normas. El intercambio de ideas sigue un cierto orden lógico y el coordinador ordena la discusión y señala oportunamente el cumplimiento de las normas que el grupo hubiese establecido para trabajar.

Ídem anterior.

(La diferencia entre una y otra técnica radica en que la primera exige un coordinador que estimule y oriente la discusión sobre la base de interrogantes previamente establecidos. En esta técnica, en cambio, el clima es más informal y permisivo y el coordinador solamente orienta al grupo en cuanto a su funcionamiento y plan de trabajo):



PHILLIPS 66 Un grupo grande se subdivide en subgrupos de seis personas para discutir durante seis minutos un tema y llegar a una conclusión. De los informes de todos los subgrupos se extrae la conclusión general. (En sí misma no es una técnica de aprendizaje)

Cuando se desea facilitar la confrontación de ideas o puntos de vista.

Cuando se desea obtener rápidamente opiniones elaboradas por subgrupos, acuerdos parciales, decisiones de procedimientos, sugerencias de actividades.

LA DEMOSTRACIÓN

Mediante esta estrategia, el instructor desarrolla un tema, acompañando su explicación verbal con la realización de movimientos, presentación de gráficos, manejo de equipos o aparatos, empleo de medios audiovisuales diversos.

Su uso es indicado para que los participantes aprendan destrezas y procedimientos, para explicar principios científicos y el movimiento o relación de las piezas de una herramienta o mecanismo.

Actualmente, con el desarrollo de la Informática, la demostración ha resultado una de las estrategias más empleadas, fundamentalmente para la presentación de productos y para mostrar contenidos de tipo procedimental.

La demostración habrá de completarse con la práctica del participante, a fin de que pueda adquirir la destreza o habilidad implícita en el objetivo.

Para completar este listado se sugiere consultar la siguiente bibliografía.

BIBLIOGRAFÍA

AGUILAR, María José: Cómo animar un grupo. Técnicas grupales. 1ª edición. Buenos Aires, Kapelusz, 1990.

BRITES, Gladys; ALMOÑA, Ligia: Inteligencias múltiples. Juegos y dinámicas. Buenos Aires, Bonum, 2004.

FRITZEN, Silvino José: 70 ejercicios prácticos de dinámica de grupo. 3ª edición, Santander, Sal Terrae, 1988.

LEIGH, David: Como entrenar un grupo eficiente. Métodos prácticos. Bogotá, Legis, 1992.

O´CONNOR, J. SEYMOUR, J.: PNL para formadores. Bs. As., Urano, 1996.

RAE, Leslie: Manual de formación de personal. Técnicas para directivos y profesionales. Madrid, Díaz de Santos, 1994.

http://www.gerza.com

http://www.formaciondeformadores.com

Con respecto a los recursos didácticos, le sugerimos que utilice los que ha recibido con el material, también fueron elaborados especialmente para la formación de instructores. Como se trata básicamente de presentaciones, es importante que los tome como un recurso que lo ayudará en su exposición oral; y no como el componente esencial de su estrategia.

A los efectos de equilibrar las estrategias y los recursos en su diseño didáctico, tenga en cuenta las siguientes apreciaciones:

Si solo escucho, puedo olvidar

Si también veo, puedo recordar



Si hago, comprenderé y sabré

La modalidad es presencial, ya sea la versión extendida o la versión breve de la actividad de capacitación. Esto es así porque el trabajo a desarrollar por los participantes se realizará durante el/los encuentros presenciales.

En relación con la bibliografía corresponde incluir la que figura en el diseño global del taller.

El perfil del instructor debe completarse en no más de cinco renglones en los que se citen los antecedentes del instructor que lo habilitan para desempeñarse como capacitador en seguridad de la información.

Para los ítems de evaluación de los aprendizajes, de evaluación de la actividad y evaluación de resultados, deberán tomarse en cuenta los contenidos del artículo “La evaluación en capacitación laboral” entregado con el presente Manual.

En duración en horas deberán consignarse las horas de desarrollo de la actividad en su conjunto, ya sea la versión extendida o la versión breve.

En cronograma tentativo y lugar de realización se consignarán, respectivamente, las fechas previstas y la dirección donde se realizará la capacitación.



PARTE E – BIBLIOGRAFÍA

BIBLIOGRAFÍA PARA LOS CONTENIDOS INFORMÁTICOS http://www.arcert.gov.ar, Coordinación de Emergencias en Redes Teleinformáticas,

Subsecretaría de Gestión Pública.


Disposición Nº 06/2005, Política de Seguridad de la Información Modelo, 3/08/2005.

Resolución SGP 45/2005, Política de Seguridad de la Información, Subsecretaría de la Gestión Pública, 24/06/2005

Decisión Administrativa 669/2004, Política de Seguridad de la Información, Sector Público Nacional – Adecuación, Jefatura de Gabinete de Ministros, 20/12/2004

http://infoleg.mecon.gov.ar, Información Legislativa - Ministerio de Economía y Producción

http://www.arcert.gov.ar/webs/tips/recomendaciones_email.pdf, Recomendaciones para el uso seguro del correo electrónico, ArCERT, Subsecretaría de la Gestión Pública, 2006.

http://www.arcert.gov.ar/webs/tips/recomendaciones_phishing.pdf, Recomendaciones para evitar ser victima del "phishing", ArCERT, Subsecretaría de la Gestión Pública, 2006.


http://www.pki.gov.ar, sitio de Firma Digital de la República Argentina, Subsecretaría de la Gestión Pública.

Ley Nº 25.506, Firma Digital, 11/12/2001.

Decreto Nº 2628/02, Reglamentación de la Ley Nº 25.506 de Firma Digital, 19/12/2002.

Decreto Nº 724/06, Modificación de la reglamentación de la Ley Nº 25.506 de Firma Digital, 08/06/2006

BIBLIOGRAFÍA PARA LOS CONTENIDOS PEDAGÓGICOS BLAKE, Oscar Juan: La capacitación. Un recurso dinamizador de las organizaciones. 2ª

ed. Buenos Aires, Macchi, 1997.

BRADBURY, Andrew: Técnicas para presentaciones eficaces. Barcelona, Gedisa, 2000.

GORE, Ernesto: La capacitación en la empresa. Buenos Aires, Granica, 1996.


LEIGH: David: Cómo entrenar un grupo eficiente. Bogotá, Legis, 1991.

ORIOL, Amat: Formación de formadores. 2ª ed., Barcelona, Gestión 2000 – Serie Mini-Empresa, 1997.

RODRIGUEZ ESTRADA, M.; AUSTRIA TORRES, H.: Formación de instructores. Mc Graw-Hill, México, 1990.

RUBBO, Elsa; LEMOS, Elisa: Manual del formador. Buenos Aires, INAP – Dirección Nacional de Capacitación, 1995.

Universidad de Buenos Aires, Cátedra Capacitación Laboral: “Taller sobre diseño de programas de capacitación”, 1995 (mimeo).

manual del instructor en seguridad de la...

Documents