El lado humano de la seguridad

informtica
El uso de tecnologa u otras herramientas no son suficientes para garantizar la proteccin de ataques a los
cuales las organizaciones son susceptibles.
Por lo tanto, el desarrollo de programas seguridad, as como la Identificacin de los roles principales que el
personal cumple en un entorno de seguridad informtica, son cruciales para poder implementar estrategias y
tcticas que nos permitirn salvaguardar informacin.

Programa de seguridad
La creacin de un programa de seguridad comienza con una visin, la cual es la percepcin de los beneficios
y resultados que se buscan obtener al implementar el programa de seguridad. Una vez entendidos los riesgos
de seguridad, objetivos y regulaciones podemos empezar a definir el acercamiento prctico para combatir
estos problemas.
La prctica del programa de seguridad se puede clasificar en los siguientes tipos de acciones:
Planeacin operacional: Son las acciones de seguridad realizadas da a da, tambin conocido como manejo
de crisis.
Planeacin tctica: es la planeacin de corto a mediano plazo, involucra el entendimiento del crecimiento,
uso y riesgos del entorno informtico.
Planeacin estratgica: tambin llamada planeacin a largo plazo, trata de la preparacin para tecnologas y
riesgos totalmente nuevos.
La clave para reforzar la efectividad de los programas de seguridad radica en la educacin, entrenamiento y
monitoreo del personal de la organizacin, ya que aunque muchos sistemas informticos estn diseados
para reducir costos de labores y automatizar procesos, estos sistemas aun necesitan una administracin y
mantenimiento efectivo por parte del personal.

Roles y funciones del personal

Director de seguridad
El director de seguridad debe ser capaz de coordinar las reas de seguridad fsica y tcnica, por lo que es
importante que esta persona deba tener un buen entendimiento de sistemas de seguridad.
Adems el director de seguridad tiene la responsabilidad de promover la educacin y la sensibilizacin, as
como de mantenerse al corriente de nuevos desarrollos, amenazas y contramedidas.
Departamento de seguridad

El departamento de seguridad se encarga de realizar investigaciones de los posibles riesgos que pueda sufrir
la organizacin. Todo el trabajo realizado por el departamento debe mantenerse confidencial para proteger la
informacin acerca de las investigaciones en proceso para no daar errneamente la reputacin de algn
individuo o departamento.
El departamento de seguridad debe de en forzar la poltica organizacional e involucrarse en la creacin de
dichas polticas, asegurando que estas sean comprensivas y actualizadas.
Otra funcin del departamento de seguridad debe de trabajar en conjunto con los departamentos de
educacin y entrenamiento para asegurar que los programas de entrenamiento sean efectivos.
Ademase el departamento de seguridad es el manejo de alarmas. Para esto, el departamento de seguridad
utiliza herramientas como el establecimiento de niveles de limitacin. Un nivel de limitacin indica que tan
aceptable es el porcentaje de error antes de desencadenar una alarma.

Director de Tecnologas de Informacin

Es el responsable de la planeacin estratgica y estructuracin del departamento de tecnologas de
informacin. Los planes a futuro, desarrollo de sistemas, compras de equipos y direccin tecnolgica estn a
cargo del director de TI.
El director de TI usualmente requiere de un ttulo de ingeniera electrnica o programacin de computacin y
una experiencia extensiva en planeacin e implementacin de proyectos.

El comit de direccin de Tecnologas de Informacin

El comit de direccin de TI est compuesto de lderes de varias unidades de negocios de la organizacin y
del director de TI. El comit tiene la ltima palabra para la aprobacin de cualquier gasto de tecnologa o
priorizacin de proyectos.
Adems el comit tiene la capacidad de anular o suspender cualquier proyecto que no provea la funcionalidad
requerida a los usuarios, carezca de la seguridad adecuada o sobrepase el presupuesto esperado.

Gestor de cambios
El gestor de cambio se encarga de los proceso de certificacin y acreditacin. Este control asegura que todo
cambio que es propuesto a un sistema existente sea probado apropiadamente, aprobado y estructurado.
Certificacin: es la revisin del sistema desde la perspectiva del usuario. La certificacin asegura que los
cambios planteados coincidan con los requerimientos delineados al principio del proyecto..
Acreditacin: Es la ltima aprobacin necesaria para permitir que el sistema o los cambios realizados al
sistema pasen a ser producidos. Para esto, la gestin debe revisar los cambios en el sistema dentro del
contexto operacional.

Comit de estndares tcnicos

Es un comit de consulta que provee de recomendaciones para la compra e implementacin de nuevo equipo,
software y entrenamiento. Los miembros del comit deben de estar al tanto de productos disponibles
actualmente al igual de tecnologas emergentes.

Analista de sistemas
El analista de sistemas determina los requerimientos funcionales para un sistema. El analista de sistemas
cuenta con habilidades de programacin de computadoras as como de administracin de proyectos, adems
de ser capaz de poder examinar un sistema y determinar sus capacidades y debilidades.

Analista de negocios
Es el responsable de representar las necesidades de los usuarios del equipo de desarrollo de TI. El analista
de negocios debe asegurar que los recursos tecnolgicos, dinero, personal y tiempo son utilizados
adecuadamente.
El analista de negocios adems se encarga de establecer escenarios de prueba para validar el desempeo de
un sistema y verificar que este satisfaga los requerimientos iniciales. Las pruebas estn diseadas para que la
organizacin tenga la confianza en que el sistema no fallara o manejara informacin incorrectamente.

Programador
El programador es responsable de preparar el cdigo para que cumpla con los requerimientos de los usuarios.
Los programas creados por el programador deben se propiamente documentados para que sea mantenible, y
que el usuario tenga la confianza de que el programa maneja la informacin introducida de forma consistente
y confiable.
El programador debe asegurar que todos los mtodos de acceso estn protegidos y que el usuario es
incapaz de sobrepasar la seguridad.

El bibliotecario
Es el responsable del manejo de los medios removibles y el control de respaldos. El bibliotecario debe
asegurar que los reportes son distribuidos a los individuos correctos y que las copias de programas o bases
de datos son sujetas a cambios antes de mover el cdigo a produccin.

El operador
El operador es responsable de las operaciones da a da, flujo de trabajo y de calendarizar el mantenimiento
del sistema y las rutinas de respaldo. El operador debe catalogar todos los incidentes y condiciones
anormales para que puedan ser resueltas. En caso de una falla de sistema, el operador deber de contar con
un plan de respuesta para notificar al personal clave.

Propietario del sistema

El propietario del sistema es usualmente el gerente en el departamento de usuarios y es responsable de los
cambios y las mejoras de un sistema. El propietario forma parte del comit de direccin de TI y provee ideas,
establece prioridades, presupuestos y asignacin de recursos para el mantenimiento y desarrollo del sistema.

Para realizar sus funciones, el propietario debe contar con conocimiento mnimo acerca de tecnologa,
riesgos, amenazas, regulaciones y tendencias del mercado.

Usuario
El usuario es la persona que debe interactuar diariamente con el sistema y se basan en el sistema para
continuar con las operaciones de negocio. El desarrollo de sistemas, los cambios y operaciones diarias son
realizados con el fin de cubrir requerimientos de usuarios.
El adiestramiento del usuario debe incluir el uso propio del sistema y una explicacin detallada que ayude al
usuario a aceptar las restricciones de seguridad del sistema.

Explotacin de fuerzas del personal en materia de programas de

seguridad
Ingeniera social
Existen cuatro tipos principales de ingeniera social:
Intimidacin: consiste en la amenaza de castigo o ridculo al no cumplir con el procedimiento adecuado.
Servilismo: Es el apelar al instinto natural de la mayora de las personas de querer ayudar a otros.