» » » » La importancia del factor humano en la seguridad
martes, 15 de noviembre de 2016

17:21


La implantación de unas adecuadas medidas de seguridad informática exige contemplar aspectos técnicos, organizativos  y legales, no obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática. 

Las personas representan el eslabón más débil dentro de la seguridad informática a diferencia de los ordenadores, las personas pueden no seguir las instrucciones exactamente tal y como fueron dictadas, además, pueden llevar a cabo acciones que provoquen un agujero de seguridad en la red de la organización como por ejemplo la instalación de software malicioso en su ordenador, revelación de información sensible a terceros, entre otros.

Es fundamental, por lo tanto, contemplar el papel de las personas y su relación con los sistemas y redes informáticas de la organización. Además, la disponibilidad en Internet de todo tipo de herramienta y programas, así como la documentación necesaria para su instalación y configuración ha venido a complicar la situación para los responsables de informática de las organizaciones, ya que ahora la "tentación" se encuentra a un simple clic de distancia

En definitiva, un principio básico a tener en cuenta desde el punto de vista de la seguridad informática es que todas las soluciones implementadas resulta inútiles ante desconocimiento, más 75% de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o debido a un mal uso por partes del personal de la propia organización.
Los principales expertos en materia de seguridad informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importante y decisivos a la hora de implementar un buen sistema de gestión de seguridad información.
En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de una consultora de seguridad que lleva su nombre: "Usted puede tener la mejor tecnología, Firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tienen todo en sus manos".

El propio experto en criptografía y seguridad Bruce Schneier llegaba a afirmar "si piensas que tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología". Es por ello, que la implantación de un Sistema de Gestión de Seguridad Informática debe considerar el factor humano como uno de sus elementos claves, contemplando aspectos como:

  • Implementación de medidas de seguridad informática.
  • Adecuada formación y sensibilización de los empleados.
  • Implicación de los responsables y directivos.
  • Aprobación de reglamentos internos sobre el uso de herramienta informáticas en la organización.
  • Cualquier otra medida de aporte positivo

Dentro de las acciones o buenas prácticas a ejecutar se encuentran:

  • Acuerdos de confidencialidad.

Un acuerdo o contrato de confidencialidad (en inglés non-disclosure agreement o NDA) es un contrato legal entre al menos dos entidades para compartir material confidencial o conocimiento para ciertos propósitos.



  • Inclusión de la seguridad dentro de responsabilidades contractuales.
Todos los términos y las condiciones del trabajador tienen que reflejar la política de la empresa además de aclarar los siguientes términos:
  • Todos los empleados, contratistas y terceros a los que se la ha concedido acceso a la información sensible que debe firmar un acuerdo de confidencialidad, ya que no pueden divulgar el acceso a las instalaciones del procesamiento de información.
  • Las responsabilidades y los derechos de las subcontratas, por ejemplo en relación con toda la legislación de la protección de datos personales.
  • Las responsabilidades de la clasificación de la información y de la gestión de activos que se encuentran asociados a los Sistemas de Gestión de Seguridad de la Información y los servicios que son utilizados por el trabajador o la empresa subcontratada.
  • Las responsabilidades de los trabajadores o terceras personas necesarias para maniobrar con la información que reciben las compañías.
  • Todas las responsabilidades por parte de la empresa para informar al personal, en la que se incluye información utilizada por el trabajo realizado por la organización.
  • Las responsabilidades se extienden fuera de las hipótesis establecidas por la organización y que se encuentran fuera del periodo normal de trabajo.
  • Las acciones que se toman si el trabajador o contratista no cumple con todos los requisitos establecidos para la Seguridad de la Información de la organización.


  • Selección rigurosa del personal.

Según establece la norma ISO 27001 se tienen que llevar a cabo listas de verificación antes de que estén todos los candidatos para el empleo, los contratistas y terceras personas. Se debe encontrar en concordancia con la legislación vigente y la ética, el listado de verificación debe tener en cuenta la privacidad, la protección de todos los datos del personal y el empleo tiene que estar basado en lo siguiente:


  1. La disponibilidad de referencias satisfactorias sobre todas las actitudes, como por ejemplo, una del personal y otra de la empresa.
  2. La comprobación del Curriculum Vitae del candidato.
  3. La confirmación de la certificación académica y profesional.
  4. La empresa tiene que considerar la realización de una comprobación mucho más detallada a lo largo del tiempo, cuando una persona acceda a un puesto de trabajo, con un contrato inicial, teniendo en cuenta los recursos necesarios para tratar la información y en particular se trata de información sensible, es decir, información financiera.



Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a los datos y a los servicios del sistema de información de una organización deberían estar claramente definidas en todo momento. 
Estas medidas afectan a los distintos colectivos que puedan tener acceso a los servicios del sistema y red informática de la organización: 
  • Administradores del sistema y de la red informática 
  • Desarrolladores de aplicaciones 
  • Técnicos responsables del mantenimiento de los equipos y de la red informática 
  • Usuarios finales del sistema 
  • Directivos 
  • Personal externo: empresas de servicios que tienen acceso a los recursos informáticos de la organización. 

Normas prácticas: 

  • Cada equipo asignado a un puesto de trabajo estará bajo la responsabilidad de uno de los usuarios autorizados en el sistema informático de la organización. 
  • Antes de abandonar el equipo del puesto de trabajo, ya sea temporalmente o bien al finalizar su turno de trabajo, deberá cancelar todas las sesiones activas y conexiones con los servidores de la red corporativa. 
  • Utilizar un protector de pantallas protegido con contraseña. Bloquear la máquina al alejarse de ella. 
  • Impedir que otros usuarios puedan utilizar su identidad para acceder al sistema informático. 
  • No introducir CD-ROMs, USB u otros medios sin la comprobación previa de que no contienen riesgos de ninguna clase.
  • No se cambiará la configuración del equipo ni se intentará solucionar posibles problemas de funcionamiento. En dicho caso, se deberá comunicar inmediatamente a la persona encargada del mantenimiento de los equipos. 
  • Sólo se utilizarán las herramientas corporativas , quedando prohibida la instalación de cualquier software en las computadoras de la empresa que no haya sido expresamente autorizado. 
  • Discos y documentos con información sensible deberán guardarse bajo llave. 
  • En el caso de impresoras, asegurarse que no queden documentos impresos en la bandeja de salida que contengan datos protegidos u otra información sensible. 
  • Deberá informarse de cualquier incidencia que pudiera afectar a la seguridad de la red informática o al normal funcionamiento del sistema. 
  • Los equipos y medios informáticos de la organización no pueden ser sacados fuera de ésta sin la correspondiente autorización de los responsables. 
  • Se limitará el acceso a Internet solamente a fines profesionales 





Uso adecuado de correos electrónicos

La forma de asegurarse que el intercambio de información se lleva a cabo adecuadamente y bajo la protección necesaria, es a través de la elaboración de una política que incluya los medios empleados en esta actividad. En dicha política se debe incorporar:


  • Los procedimientos definidos para gestionar correctamente los medios utilizados.
  • Utilización de firma electrónica.
  • Comprobaciones a través de controles que impidan modificaciones, interpretaciones, duplicados o eliminación de información.
  • Inspecciones de protección contra el código malicioso.
  • Metodologías de ingeniería social.




Publicado por en 17:21
Etiquetas: , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)