|
Metodologías para instruir a los
colaboradores en buenos hábitos de seguridad informática Methodologies
to instruct employees in good computer security habits |
Alonso José =
Mesen
Quesada
Universidad
Latina, Costa Rica
Recibido 20/ago/2020
Aprobado 20/nov/2020
Resumen-
En
la actualidad las amenazas cibernéticas abundan a un punto tan alto, que
cualquier organización, no importa si es pequeña o grande, internacional o
nacional, es un objetivo para estas amenazas. La seguridad es un elemento
fundamental con miras a la continuidad del negocio, se debe contemplar siem=
pre.
Es un factor el cual involucra a toda la población. Por ende, se debe
concientizar el tema entre los colabores de estas.
Al
ser necesario tener seguridad, se busca concientizar sobre la importancia de
implementar la enseñanza en los colaboradores. Por ello, en este proyecto se
busca investigar la importancia de implementar o crear metodologías de
instrucción de buenas prácticas de seguridad informática a los colaboradore=
s de
una empresa, en Costa Rica. En él se analiza el estado actual de los
colaboradores en temas de seguridad, mediante encuestas. También la importa=
ncia
de las metodologías de instrucción y los factores que implican. Se valora
ciertas amenazas a las cuales se pueden enfrentar los colabores en la organ=
ización,
con ciertas recomendaciones e información relevantes.
En las empresas, los colaborad=
ores
constituyen un pilar, debido a esto son uno de los objetivos más fuertes pa=
ra
los atacantes cibernéticos. Es fundamental brindar las medidas necesarias c=
on
el fin de estar preparados a la hora en la cual un evento de riesgo como es=
te
suceda. No solo mantiene su seguridad, sino la de toda la empresa. La segur=
idad
es responsabilidad de toda la organización, debido a esto se debe estar en =
un
constante ciclo de mejora continua. La concientización y el crear conocimie=
ntos
sobre buenas prácticas de seguridad disminuye la probabilidad de ser afecta=
do
por un evento negativo.
Palabras Claves: Seguridad, metodología, amenazas,
concientización.
Abstract Context:
Today cyber threats abound to such a high
point that any organization no matter if it
is small or large, international
or national, it will be a target
for these threats. Security is a
fundamental element for business continuity, it must always
be considered. It <=
span
class=3DSpellE>is a factor that involves the entire
population. Therefore, the same issue
must be raised among their collaborators.
Since there is this need
for security, it seeks to
investigate the
In
companies, collaborators
are a fundamental pillar, due to
this they are one of the
strongest objectives that cyber attackers
have. It is essential to
provide the necessary measures so
Keywords:
Security, methodology, threats,
&nbs=
p; I. =
INTRODUCCIÓN=
Según
Se
busca poder determinar la importancia de crear metodologías de instrucción o
capacitación sobre buenas prácticas de seguridad. Lo anterior con base en
análisis y comprensión del estado actual de los colaboradores. Así se puede
determinar qué tan bien o mal ellos están respecto del tema. Al igual se bu=
sca
valorar una cierta cantidad de amenazas o eventos de riesgo los cuales pued=
an
enfrentar en sus días laborales y cotidianos.
Al
poder entender el estado actual de los colaborados, se puede tener una idea=
o
imagen de los pasos por seguir como empresa. Entre ellos se busca la
concientización sobre la seguridad y lo importante que de cada colaborador
tenga conocimientos básicos sobre él. Cuando se crea una cultura, la
probabilidad e impacto de una amenaza se reduce drásticamente. Esto a su vez
mejora la confianza de los colaboradores, los insta a aprender y tomar mejo=
res
decisiones a la hora de materializarse un evento negativo.
La
información, los procesos de apoyo, los sistemas y las redes, son bienes
importantes de las entidades. Debido a esto, requieren protegerse convenien=
temente
frente a amenazas capaces de ponerlos en peligro. Muchos factores como
disponibilidad, integridad, confidencialidad de la información, estabilidad=
de
los procesos, niveles de competitividad, imagen corporativa, rentabilidad y
legalidad, son aspectos necesarios para alcanzar los objetivos de la
organización, son objetivos para estos eventos de riesgo.
Según
Según
la Organización Internacional de Normalización o Estandarización (2013) en =
la normativa
ISO 27001, la seguridad de la información es muy extensa, por lo tanto, no =
es
sólo una cuestión técnica, sino supone una responsabilidad de la alta direc=
ción
de la empresa, así como de sus directivos. Se debe considerar los sujetos, =
los
procesos y las funciones de negocio para poder garantizar la confidencialid=
ad,
integridad y disponibilidad de los datos.
Esto
es relevante, pues se puede definir la seguridad informática como la discip=
lina
encargada de plantear y diseñar las normas, procedimientos, métodos y técni=
cas,
con el fin de obtener un sistema de información seguro, confiable y, sobre
todo, tenga disponibilidad. La seguridad de la información es proteger los
datos, indistintamente de su formato, contra cualquier amenaza, de manera q=
ue
garantice en todo momento la continuidad de las actividades de la empresa. =
Al
comprender el concepto de seguridad informática, es importante conocer aque=
llas
cosas las cuales van por debajo de esta. Entre ellas se encuentra los proce=
sos
organizacionales, los sistemas o tecnologías que soportan estos y las perso=
nas
involucradas en los procesos y los sistemas de la organización. Muchas
entidades solo se centran en proteger y dar seguridad a los procesos y a los
sistemas de la organización, sin saber que el eslabón más débil son las
personas involucradas en estos procesos y sistemas. De acá nace la importan=
cia
de crear o implementar metodologías de instrucción de buenas prácticas, así=
las
personas quienes manejan esos procesos realicen sus operaciones de la mejor=
manera
posible, manteniendo la seguridad de la organización.
El
crear una cultura de seguridad informática en una organización es fundament=
al.
Las personas son las más vulnerables cuando se enfoca este mundo de la
tecnología. La concientización, la instrucción y la educación acerca de la
seguridad informática, viene a reducir este problema. Al realizar e impleme=
ntar
metodologías de instrucción se puede aumentar el conocimiento de esto, para
poder reducir las posibilidades de eventos de riesgos donde se involucre los
colaboradores de la organización. Se dice reducir, porque es imposible
garantizar al 100% su seguridad. Los eventos de riesgos y amenazas van a es=
tar
ahí siempre, por eso es importante mitigarlos lo posible, así el nivel de
vulnerabilidades y amenazas se reduce.
¿Es importante la creación de metodologías de
instrucción respecto de los buenos hábitos de seguridad informática, para la
continuidad de negocio en una empresa de Costa Rica con base en un estudio y
análisis del personal, así como la valoración de ataques de seguridad duran=
te
el año 2020?
La
creación de una cultura de seguridad es uno de los factores más descuidados=
e
importantes en la actualidad. Cómo atacarlos y enfrentarlos es un reto el c=
ual
cada empresa debe cubrir hoy en día. En la actualidad se tiene la facilidad=
de
buscar y encontrar información relevante, ella ayuda a garantizar una mejor=
a en
estos aspectos. El presente trabajo trata de buscar la importancia de la
creación de metodologías para instruir y capacitar a todo el personal, en la
mejoría de sus hábitos de seguridad de información, al igual demuestra las
mayores amenazas por enfrentar en este mundo de tecnología, su posible impa=
cto
en la actualidad y sus recomendaciones.
Lo
anterior se puede lograr mediante la recolección de información acerca de l=
os
conocimientos actuales de los colaboradores en el área de seguridad,
recopilando las amenazas posibles de encontrar para este caso en la empresa
investigada, así como las mejores prácticas para mitigarlas, creando una
cultura de seguridad informática y ponerla en práctica en la actualidad. Es=
to
es importante con el fin de salvaguardar los sistemas e información propia =
de
la organización, manteniéndolos estables de la mejor manera posible, al hac=
er
conciencia del gran impacto que conlleva, al igual se crea una cultura de
seguridad entre la población de la empresa, la cual garantiza una continuid=
ad y
contingencia del negocio, y mitiga posibles eventos de riesgos.
El
trabajo de investigación se realiza en la organización de Costa Rica, para =
ver
el estado actual de sus colaboradores y encontrar los puntos de mejora
necesarios. También busca crear una cultura de seguridad y una concientizac=
ión
sobre el tema por parte de los colaboradores. Además, se brinda más
confiabilidad a la hora de efectuar las tareas diarias de dicha institución=
. Al
crear conciencia en los empleados, la seguridad entre ellos crece al igual =
la
de la empresa.
Se
pretende realizar este proyecto de analizar la importancia de las metodolog=
ías
de instrucción a personal sobre los buenos hábitos y prácticas de seguridad
informática en el transcurso del año 2020. Es importante abarcar el tema lo=
más
pronto posible, pues a futuro el impacto y el valor generado en los colabor=
adores
va a ser muy grande, por lo tanto, mitiga y previene amenazas a la empresa.=
No
solo el personal se beneficia con nuevos mecanismos y temas de aprendizajes=
o
entendimientos sobre la organización, sino empresa nota un gran impacto en =
la
contingencia, manejo y administración de riesgos. La seguridad siempre va a=
ser
necesaria y no hay un método para garantizar el 100% de la seguridad, pero =
por
lo menos con esto se puede estar más tranquilo al tener la organización un =
plan
de acción y mitigación de manera adecuada, para así llevar el riesgo de
materializar una amenaza en los sistemas.
Analizar
la importancia de la creación de las metodologías de instrucción a los
colaboradores en los buenos hábitos de seguridad informática para la contin=
uidad
de la empresa, mediante la evaluación del personal, valorando los ataques de
seguridad en una organización de Costa Rica durante el 2020.
· =
Analizar
la importancia de la creación de metodologías de instrucción a los colabora=
dores
sobre la seguridad informática, mediante un proceso de evaluación, determin=
ando
la relevancia de implementarlas en la empresa.
· =
Identificar
el estado actual de los conocimientos de seguridad informática, mediante
encuestas, evaluando que tanto necesitan capacitación en esta área.
· =
Valorar
las distintas amenazas que puede enfrentar en sus días laborales, mediante =
la
explicación de ellas, evaluando su impacto y medios de mitigación.
Las
empresas, ya sea tecnológicas o no, van a estar al margen y siempre son un
objetivo para los ataques cibernéticos. No importa qué tan grandes o pequeñ=
as
sean, la posibilidad de ser atacadas es muy alta, más en estos tiempos donde
todo el mundo está conectado por tecnología, y la mayoría tiene acceso a
internet. Por lo tanto, se opta por capacitar al personal, técnico o no
técnico, con el fin de que las organizaciones pueden estar más tranquilas en
torno a su seguridad.
Hoy
en día, la tecnología abunda en todas las empresas, muchas dependen totalme=
nte
de ella, es decir, sí la infraestructura tecnológica no está disponible, las
pérdidas económicas son gigantes. Debido a lo anterior y a la gran cantidad=
de
ataques presentes, es sumamente importante la capacitación del personal en
dichos temas, para así, salvaguardar la empresa y sus sistemas. Tal como lo
dicen Arias, Merizalde y Noriega (2013), en su tesis Análisis y solución de=
las
vulnerabilidades de la seguridad informática y seguridad de la información =
de
un medio de comunicación audiovisual, la informática de hoy está inmersa en=
la
gestión integral de las empresas, y, por lo tanto, la seguridad es un eleme=
nto
fundamental, los departamentos de sistemas de cada organización deben dar
siempre prioridad a la seguridad de los sistemas de información (p. 1). Esto es más que una realidad, se debe
garantizar la seguridad de los departamentos, y así la empresa esté en buen
rumbo, en lo referente a temas de seguridad.
Las
personas quienes están más integradas en el mundo de la tecnología les es m=
ás
fácil poner en ejecución las buenas prácticas, para mitigar los ataques en =
el
ambiente, ya sea personal o empresarial. No obstante, si el personal es téc=
nico
o no, siempre es un posible blanco para el atacante. Es un reto, pero ademá=
s de
eso, es un deber de quienes tengan el conocimiento, poder trasmitirlo, para
ayudar a todos, mitigando los riesgos y amenazas. Así se puede crear un
ambiente mucho más confiable, en donde todos conocen los riesgos y amenazas=
por
enfrentar en el camino día a día.
Sí
se habla de seguridad informática, es importante evaluar las situaciones que
vienen por debajo, entre ellas, los procesos organizacionales, los sistemas=
o
las tecnologías que los soportan y las personas involucradas. Éstas últimas=
son
el pilar más débil, crean un gran reto para la empresa. Debido a ello es
importante mejorar ese pilar, para tener una seguridad informática segura y
estable. Acá es donde entran las metodologías de instrucción de seguridad
informática, para levantar ese aprendizaje y crear una cultura de seguridad
informática la cual beneficie la organización y mantenga la mayor parte
salvaguardada. Su creación es relevante, pues da a conocer posibles puntos =
de
mejora, al igual permite identificar sectores o personas quienes necesitan
asistencia para realizar su trabajo de manera segura, y minimizar el riesgo=
de
ser infectado por una amenaza, además de mejorar la continuidad del negocio=
.
No
se realizó una implementación del sistema de postes multifuncionales propue=
sto.
No se realizó capacitaciones sobre cómo implementar el sistema de postes
multifuncionales propuesto. Se limito a la zona geográfica de Cartago para =
la
cobertura de esta investigación y de sus servicios actuales en su cartera e=
n la
actualidad.
Es posible llevar a cabo esta
investigación tanto en la perspectiva técnica como en la económica, porque,=
a
pesar de que este proyecto va a enfocarse únicamente en una propuesta, se
cuenta con los medios y el conocimiento necesarios para la obtención y
entendimiento de la información.
a) &nbs=
p;
Punto
de Vista Técnico.
El punto de vista técnico para la realización de e=
sta
investigación contempla la experiencia en redes y telecomunicaciones, así c=
omo
el conocimiento en tecnologías de información que poseen los investigadores,
ambas necesarias para poder investigar, entender y analizar la información
requerida para llevar a cabo esta investigación.
Es importante tomar en
cuenta que, estas fuentes son las que están siendo tomadas como marco de
referencia para la investigación y las mismas no son definitivas por lo que=
más
fuentes pueden llegar a ser tomadas en cuenta de ser requeridas conforme la
investigación avance en su desarrollo.
Se entiende como servicio en la nube cómo una “tendencia reciente que
mueve los datos lejos de PC de escritorio y las portátiles a grandes centro=
s de
datos. Se refiere, básicamente a aplicaciones entregadas como servicios des=
de
Internet.”
De acuerdo con la
definición “nube se utiliza como una metáfora de Internet, basado en el dib=
ujo
de nubes utilizado en el pasado para representar a la red telefónica, y más
tarde para representar a Internet en los diagramas de red de computadoras c=
omo
una abstracción de la infraestructura subyacente que representa.”
El concepto de una nu=
be
pública de acuerdo con la cita a continuación: “servicios informáticos que
ofrecen proveedores externos a través de la Internet pública y que están
disponibles para todo aquel que desee utilizarlos o comprarlos.”
Lo principal es defin=
ir
los sistemas inteligentes, los cuales están basados en programas
computacionales que reúnen características similares a la inteligencia huma=
na,
estos sistemas inteligentes están basados en el desarrollo de software que
utiliza la información de los sistemas multifuncionales a través de las red=
es
de comunicación para prestar los servicios y mejorar el nivel de estos que
ayudan a la comunidad en temas como la seguridad en colaboración con la
policía, el transporte logrando mejorar los tiempos de traslación de los
vehículos y del transporte urbano, así como los servicios basados en tecnol=
ogía
que se le brindan a los ciudadanos.
d) Definiciones de la investigación
Se entiende servicio =
en
la nube como una “tendencia reciente que mueve los datos lejos de PC de
escritorio y las portátiles a grandes centros de datos. Se refiere, básicam=
ente
a aplicaciones entregadas como servicios desde Internet.” (Dikaiakos,
Katsaros, Mehra,
Asimismo, la nube “se
utiliza como una metáfora de Internet, basado en el dibujo de nubes utiliza=
do
en el pasado para representar a la red telefónica, y más tarde para represe=
ntar
a Internet en los diagramas de red de computadoras como una abstracción de =
la
infraestructura subyacente que representa”
Lo anterior no quiere
decir que se exime de responsabilidades a los diseñadores a la hora de la
definición la arquitectura, todo lo contrario, sigue siendo una tarea vital
para garantizar el éxito de un proyecto, lo que se quiere es aclarar la
versatilidad y la mejora con la que se dispone. Finalmente, es importante h=
acer
recomendaciones y conclusiones que permitan aprovechar al máximo el diseño
propuesto para sacar el mayor provecho del sistema y aumentar su uso comerc=
ial,
recuperando lo antes posible su inversión, pero sobre todo para generar
ganancias al cliente.
Al entender el estado
actual de los colaboradores de la empresa, se puede denotar muchos factores=
los
cuales pueden mejorar, y así se beneficia la organización y sus empleados
quienes realizan la encuesta. En términos de conocimientos de seguridad
informática, se puede determinar: más de la mitad de los empleados tienen un
nivel de intermedio ha avanzado en seguridad, igual sucede con los
conocimientos en ingeniería social y el impacto que conlleva. No obstante, =
si
hay un buen porcentaje de colaboradores quienes no tienen muy fuertes estas
áreas. Las personas con un buen control de estas áreas siempre poseen punto=
s de
mejora y de donde se pueda aprender y mejorar.
Se puede determinar q=
ue
los colaboradores están interesados en aprender más sobre seguridad informá=
tica
y buenos hábitos al respecto, y están abiertos a probar metodologías de
instrucción para ello. Al igual creen la creación de políticas puede mejora=
r y
ayudar a mantener la seguridad de la empresa, de ellos y sus dispositivos.<=
span
style=3D'mso-spacerun:yes'> Se cree que la seguridad, al igual los
conocimientos de los empleados pueden mejorar. La creación e implementación=
de
metodologías de capacitación puede garantizar esto sea posible.
La seguridad informát=
ica,
es una labor la cual debe tener en cuenta cada uno de los colaboradores qui=
en
integre una empresa. No importa si no se tiene un departamento dedicado a la
seguridad informática, cada empleado debe conocer y ayudar a mantener la
seguridad de esta. Otro factor
importante observado es: se debe conocer las normas o políticas de la
organización, al igual es importante saber cómo está integrada la entidad. =
Esto
con el objetivo de entender y manejar cualquier situación de la mejor manera
posible, manteniendo la seguridad de la empresa y de los empleados, mejoran=
do
la toma de decisiones. Cada colaborador debe tener claridad respecto de las
normas y políticas, sin importar el área en donde labore, siendo la segurid=
ad
el beneficio principal de esta práctica. Como resultado, en caso de
materializarse un evento de riesgo, la persona pueda realizar los pasos por
seguir según el evento presente, minimizando su impacto al no realizar cosas
que puedan empeorar la situación.
En temas de seguridad
física de los dispositivos, se debe mencionar un factor importante, una bue=
na
parte de la población utiliza dispositivos personales, solo a ciertas perso=
nas
se les brinda estos. Lo anterior dificulta políticas de implementación de
antivirus o VPN’s, pues no se puede obligar al
usuario a descargar estas herramientas, pero si es posible recomendar e
implementar para los casos donde sí apliquen. Estas herramientas son de gran
ayuda para mantener la seguridad en los dispositivos, por ejemplo, el antiv=
irus
puede usarse para análisis de archivos, detección y corrección de incidente=
s,
mientras las VPN brindadas por una red privada permiten establecer conexión=
con
una o más computadoras de manera segura. A pesar de ser bueno tener esto, no
significa se esté totalmente a salvo, siempre se puede estar en riesgo de s=
er
afectado, lo importante es minimizar esa probabilidad de darse.
Esto también hace el =
uso
de los dispositivos posible para cosas no laborales, en sí ese no es el
problema. El problema raíz es poder ser afectado por una amenaza al realizar
estas acciones y esta impacte la organización y el usuario. Muchas veces se
ingresa a sitios o a link sin pensarlo, sin sabe=
r que
debajo de ello pueden suceder eventos de riesgo. La ingeniería social es un
riesgo frecuente en la actualidad. Existen muchos sitios falsos dedicados al
robo de información los cuales pueden afectar a los colaboradores. De igual
manera se debe tener cuidado con las descargas realizadas en la red. Dichos
sitios pueden contener códigos maliciosos y por simples descuidos afectar a
toda la organización por eventos los cuales se puede mitigar y prevenir.
Se trata de usar
contraseñas fuertes y si es posible implementar doble autentificación para
mejorar la seguridad de los dispositivos y de las áreas donde se trabajen. =
No
existen políticas de contraseñas en la organización, pero se puede determin=
ar
que la mayoría le toma importancia a esto, como resultado da la prevención =
de
usuario no autorizado y autentificado a los dispositivos o información y
actividades de la empresa. Así se disminuye el riesgo de que usuarios sin
autorización realicen operaciones en ellos. La información contenida debe
protegerse, no importa si es personal o de la empresa. En caso de evento de
riesgo se puede corromper o ser comprometida. El uso de respaldos garantiza
poder volver a la normalidad si un evento de esos se materializa, al igual =
es
de buena práctica actualizar los respaldos de manera periódica.
Con
el fin de encontrar la importancia de las metodologías de instrucción, se
propone analizar los factores que esto conlleva y las distintas maneras de
abarcar este proceso, para poder impulsar su implementación en la organizac=
ión
en Costa Rica. Por cuanto las metodologías son una herramienta para compart=
ir
conocimientos o aptitudes sobre temas variados y de importancia para la
población. Como resultado de su aplicación, se podrá valorar varios benefic=
ios
como la sensibilización y capacitación, en este caso sobre temas de segurid=
ad
informática y la propia organización. Todo eso fomentará la culturización d=
e la
seguridad informática en la empresa. La cultura de seguridad se dará gracia=
s a
la concientización y a las metodologías, las cuales al final se trasladará =
por
toda la organización, promoviendo beneficios y llevando a los empleados a u=
na
mejora continua.
Se
identificará la mejor manera de poder impartir metodologías de instrucción =
en
la entidad, el fin es estén al alcance de todos los colaboradores, los moti=
ve a
seguir aprendiendo y a tener un ambiente laboral seguro. Es importante poder brindar este mecani=
smo a
todos los colaboradores sin importar el rango de cada uno, por tanto, la
capacitación mejorará los conocimientos de los colaboradores y más sobre se=
guridad,
factor el cual toda la organización debe velar por su continuidad. Hoy en d=
ía
hay muchas herramientas para facilitar este proceso, como ejemplo está “Saba
LMS”. Se orienta a la creación de cursos personalizados de manera virtual, =
que
pueden ser accedidos por los empleados, y contener mini exámenes para evalu=
ar
el material visto, y asignarse periódicamente para tener una mejora continu=
a, y
por supuesto abarcar temas de importancia como la seguridad de la organizac=
ión,
sus políticas, leyes y otros más, según las necesidades y cuanto se busque
instruir. Por supuesto es importante tener en cuenta que no se debe sobreca=
rgar
los empleados con tantas pruebas o cursos, pero si tener un control en los
cuales no se vea como una pérdida de tiempo, sino una manera de mejorar como
profesionales, en una ruta donde se mejora la continuidad de la empresa y de
los procesos normalmente utilizados.
Con el fin de determinar el
entendimiento general sobre los conocimientos actuales de los colaboradores=
en
seguridad informática, se propone realizar una encuesta para cumplir con lo
deseado. Para esto se realizará una encuesta de modalidad virtual, con el
propósito de acceder a la mayor cantidad de personal posible. Las encuestas=
son
un gran medio de recolecta de información, facilitan este proceso, y median=
te
herramientas de estadística se puede tener mayor claridad en las cifras o d=
atos
correspondientes. En el caso del
presente trabajo, las preguntas de la encuesta serán orientadas a seguridad
informática y de información, al igual de preguntas sobre la organización, =
para
conocer qué tanto saben los colaboradores sobre estas. Esto apoyara el poder identificar cuáles
temas serán importantes de evaluar a la hora de implementar las metodología=
s de
instrucción sobre los colaboradores.
Como
insumo complementario al uso de la metodología, se evidencia distintas amen=
azas
a nivel de ciberseguridad en la empresa, las cuales serán señaladas, así co=
mo
las acciones por ejecutar para su mitigación. Con el objetivo de que estos
temas también sean contemplados en las metodologías de instrucción, para se
conozcan a nivel organizacional, dándole claridad al tema, y un conocimiento
base para poder mitigar los eventos negativos que estos puedan llegar a
generar. Orientándose más en la parte de ingeniería social, pues varios
estudios como el de la Institución Nacional de Estadística y Censos (INEC)
demuestran que en el 2018 hubo 55.296 reportes sobre estafas por internet.
Además, se brindará una presentación con un resumen sobre las principales a=
menazas,
su clasificación, información relevante y un diagrama acerca de cómo manejar
correos electrónicos, para identificar si son maliciosos o no.
Estas tres propuestas conforma=
rán el
trabajo de investigación, y dan la iniciativa para la mejora continua. Se t=
rata
de concientizar sobre la importancia de la seguridad informática y lo esenc=
ial
que es para los colaboradores saber sobre el tema, al igual sobre acerca de=
la
empresa, generando indirectamente una cultura de seguridad. Esta será cada =
vez
más presente en la organización, fomentando el buen uso de las dispositivos=
y
procesos que se tengan, dando claridad y buena toma de decisiones. A la vez mitigará y minimizará la
probabilidad de ser impactados por un evento de riesgo negativo el cual
perjudique a toda la población vigente. Es importante no omitir la mejora
continua, resulta necesario se esté en una constante actualización de
conocimientos, la tecnología y las amenazas cibernéticas avanzan diariament=
e,
debido a esto es esencial estar en constante aprendizaje, en una mejora
continua que beneficie a los colaboradores y a la empresa, permita defender=
se
en todo momento y así mitigar los posibles eventos de riesgo vigentes.
El
conocimiento es algo fundamental en la actualidad, cada día la tecnología
avanza, nuevas técnicas aparecen y otras desaparecen, es importante estar en
constante aprendizaje para no estar desactualizado respecto del entorno. Ig=
ual
sucede con la seguridad informática, por eso es importante entenderla y ten=
erla
contemplada en todo momento. Los colaboradores deben tenerlo muy claro para
poder elaborar las tareas diarias de la mejor manera posible, siguiendo los
estándares, protocolos o reglas las cuales se tengan para que este se ejecu=
te
de manera segura. Los colaboradore=
s son
los responsables de mantener la seguridad en la empresa.
Para
el objetivo 1. Analizar la importancia de la creación de metodologías de
instrucción a los colaboradores sobre la seguridad informática, mediante un
proceso de evaluación, determinando la relevancia de implementarlas en la
empresa. Se concluye:
• En términos de conocimientos sob=
re
seguridad informática, para este trabajo se determina: en la empresa
investigada, la mitad de la población encuestada está en nivel promedio. Es=
to
es positivo, pues se tiene un buen nivel de conocimiento entre un poco más =
de
la mayoría. Sin embargo, hay personas quienes no se encuentran en este nive=
l,
por lo tanto, se recomienda, no importa el nivel que se tenga, se puede mej=
orar
o agregar conocimientos nuevos con metodologías de instrucción. En cuanto a
temas de motivación y de interés relacionados con la seguridad, la población
considera en la empresa pueden mejorar mucho, siendo ello un factor muy com=
ún,
pues siempre va a haber puntos de mejora en los cuales se puede trabajar. El
personal está interesado o abierto a recibir metodologías de instrucción so=
bre
buenos hábitos de seguridad informática, máxime que se considera este como =
el
primer avance para crear una cultura de seguridad en la organización.
• Por todo lo anterior, se recomie=
nda
implementar metodologías de instrucción de manera online, mediante herramie=
ntas
como Saba LMS, DOCEBO, Sabiorealm, Talent LMS y Litmos LMS,
plataformas orientadas a las capacitaciones online de colaborador dentro de=
la
organización, sobre buenas prácticas de seguridad, creando así una cultura =
de
seguridad. Esto genera reducir la probabilidad de materializar un evento de
riesgo. Otro beneficio es: el ambiente de trabajo se hace más seguro y
ordenado, con un buen entendimiento de lo cuanto se tiene en la empresa y l=
os
estándares o protocolos vigentes. De esta manera todo el personal tiene
claridad acerca de su empresa y la seguridad que esta conlleva.
• No se tiene un entendimiento cla=
ro de
cuáles son las normas o políticas de la empresa, al igual de los pasos por
seguir en caso de que un evento de riesgo se materialice. El no saber cuáles
son las reglas de la empresa, genera problemas, pues no se tiene una clara =
idea
de lo permitido y lo que no, al igual del impacto que se tiene en caso segu=
ir
los procedimientos adecuados, los cuales pueden hacer empeorar la situación.
Debido a lo anterior, también es buena práctica retomar estos temas y así l=
os
colaboradores tengan una idea de qué se tiene en la propia organización.
Para
el objetivo 2. Identificar el estado actual de los conocimientos de segurid=
ad
informática mediante encuestas, evaluando qué tanto necesitan capacitación =
en
esta área. Se concluye:
• Gracias al uso de encuestas, se
realiza una colecta de información relevante, para ser analizada y poder
entender cómo se encuentran los empleados en seguridad informática. Según lo
investigado, la mayoría tiene conocimientos promedio e incluso avanzados, s=
in
embargo, se tiene un alto porcentaje de personas quienes no tienen ese nive=
l,
siguen siendo vulnerables sin importar su conocimiento, siempre se puede
aprender más, tanto de la empresa como de seguridad informática. Es importa=
nte
reforzar para mitigar lo más posible dicha situación. Mediante ello se pued=
e determinar
que si es necesario implementar metodologías de instrucción. En ellas se
recomienda brindar información relevante sobre los diferentes tipos de amen=
azas
las cuales los colaboradores pueden enfrentar en sus días laborales. Muchas=
de
ellas se mencionan a lo largo de este trabajo. Siendo la ingeniería social =
uno
de las más frecuentes en la actualidad.
Para
el objetivo 3. Valorar las distintas amenazas que puede enfrentar en sus dí=
as
laborales, mediante la explicación de ellas, evaluando su impacto y medios =
de
mitigación. Se concluye:
• Es importante los colaboradores
conozcan qué se puede enfrentar en sus ambientes de trabajo. Por eso es bue=
na
práctica tener un conocimiento base sobre el tipo de malwares existentes, ya
sean, virus, gusanos, troyanos, spyware, adwares, rans=
omware,
exploit y muchos más. La lista es larga, sin em=
bargo,
resulta bueno tener un entendimiento de cómo se puede ser infectado por uno=
de
estos. Por otro lado, es importante saber cuáles son los pasos por seguir si
uno se encuentra con una amenaza de estas y se materializa, qué hacer, cómo
manejarlo y cómo minimizar el impacto. Es importante recalcar: toda esta
información debe ser contemplada en las metodologías de instrucción, y así =
el
conocimiento se transfiera a los miembros de la organización.
• Se recomienda usar páginas web c=
omo “ProWritters”
(https://prowritersins.com/cyber-insurance-blog/top-10-cyber-security-threa=
ts/
), “OWASP” ( https://owasp.org/www-project-top-ten/ ), “Hybrid”(
https://www.hybridtp.ie/top-10-cyber-security-vulnerabilities/ ) y “Cybersecurity Insiders” (
https://www.cybersecurity-insiders.com/ ), pues contienen gran información
sobre las principales amenazas que pueden enfrentar los colaboradores, al
igual contienen noticias relevantes
sobre la seguridad y pueden ser útiles para la organización. Identifican las
tendencias en el riesgo cibernético para mantener informada y preparada la
población.
• Cuando se tiene un entendimiento=
de
esto, es más fácil a los colaboradores de la empresa poder tomar las medidas
correspondientes, según el caso por enfrentar, estos lo realizarán de manera
calmada y con claridad para tener un mejor control. De tal manera se recomi=
enda
realizar una especie de examen con el fin de evaluar el conocimiento adquir=
ido
por las metodologías de instrucción de seguridad informática. Incorporando =
los
distintos temas evaluados en el trabajo, su estado actual, información de l=
os
protocolos, leyes y controles vigentes en la organización y por supuesto,
buenas prácticas de seguridad informática, valorando las posibles amenazas =
las
cuales estos puedan enfrentar.
• Otra herramientas posible de usa=
r,
según se comenta en el trabajo es ”Phishing Quiz
Google” (https://phishingquiz.withgoogle.com/),
con el propósito de entrenar a los colaboradores en poder detectar
phishing, ya sea en correos o en páginas web, minimizando la probabilidad de
que ellos sean afectados, se recomienda trabajar estas habilidades por
mecanismos parecidos. La información que se le puede brindar a los
colaboradores, como poder identificar phishing, es un factor el cual sin du=
da
mejoría la seguridad de la empresa y la de los empleados. Es importante
analizar cada correo recibido para garantizar sean legítimos y confiables. =
Con
ese se creó un diagrama para facilitar dicho análisis. De esta manera se pu=
ede
tener una base para reducir los ataques de este medio.
Arellano, J., & Santoyo, M. (2009). Investigar con Mapas
Conceptuales Procesos metodológicos. Madrid: 2009.
Berne, S., Frisén, A., & Berne, J. (2019). Cyberbull=
ying
in Childhood and Adolescence: Assessment, Negative Consequences and Preven=
tion
Strategies. 141. doi:10.1007/978-3-030-18605-0_10
Carey, S. (2018). Tendencias de nube pública para 2018. =
computerworld.
Obtenido de https://www.computerworld.es/tecnologia/tendencias-de-nube-pub=
lica-para-2018
Computerworld. (2018). Tendencias de nube pública para
2018. Obtenido de https://www.computerworld.es:
https://www.computerworld.es/tecnologia/tendencias-de-nube-publica-para-20=
18
Dikaiakos, M., Katsaros, D., Mehra, P., Pallis, G., &
Vakali, A. (2009). Cloud Computing: Distributed Internet Computing for IT =
and
Scientific Research. IEEE Internet Computing, 10-13.
doi:10.1109/MIC.2009.103
FayerWayer. (2012). El origen de: El Cómputo en la Nu=
be.
Obtenido de https://www.fayerwayer.com:
https://www.fayerwayer.com/2012/01/el-origen-de-el-computo-en-la-nube/
Hewlett Packard Enterprise. (s.f.). ¿QUÉ ES LA
COMPUTACIÓN EN LA NUBE? Obtenido de https://www.hpe.com:
https://www.hpe.com/mx/es/what-is/cloud-computing.html
Hinduja, S., & Patchin, J. (2008). Cyberbullying: An
Exploratory Analysis of Factors Related to Offending and Victimization.
Li, Q. (2010). Cyberbullying in High Schools: A Study of
Students' Behaviors and Beliefs about This New Phenomenon. Journal of
Aggression, Maltreatment & Trauma, 372-392.
doi:10.1080/10926771003788979
McHugh, M., Saperstein, S., & Gold, R. (2018). OMG U
#Cyberbully! An Exploration of Public Discourse About Cyberbullying on Twi=
tter.
SAGE Journals, 97-105. doi:10.1177/1090198118788610
Microsoft. (s.f.). ¿Qué es una nube pública? Obte=
nido
de https://azure.microsoft.com:
https://azure.microsoft.com/es-es/overview/what-is-a-public-cloud/
Ministerio Trabajo Seguridad Social - Costa Rica. (2019)=
. Ministerio
Trabajo Seguridad Social - Costa Rica. Obtenido de
http://www.mtss.go.cr/temas-laborales/salarios/Documentos-Salarios/Lista_S=
alarios_2019.pdf:
http://www.mtss.go.cr/temas-laborales/salarios/Documentos-Salarios/Lista_S=
alarios_2019.pdf
Noticieros Columbia. (2 de mayo de 2020). https://www=
.columbia.co.cr.
Obtenido de https://www.columbia.co.cr/noticias/tecnologia/17054-ciberbull=
ying-el-acoso-que-puede-aumentar-en-cuarentena
Olweus, D., & Limber, S. (2017). Some Problems With
Cyberbullying Research. Current Opinion in Psychology.
doi:10.1016/j.copsyc.2017.04.012
Palladino, B., Nocentini, A., & Menesini, E. (2019).=
How
to Stop Victims’ Suffering? Indirect Effects of an Anti-Bullying Program on
Internalizing Symptoms. International Journal of Environmental Research=
and
Public Health, 2631. doi:10.3390/ijerph16142631
RedHat. (s.f.). Red Hat Cloud Access. Obtenido de
https://www.redhat.com:
https://www.redhat.com/es/technologies/cloud-computing/cloud-access
Sistema Nacional de Acreditación de la Educación Superio=
r.
(29 de Agosto de 2019). SINAES. Obtenido de https://www.sinaes.ac.c=
r/index.php/home/sobre-sinaes
Willard, N. (2007). cyberbullying and cyberthreats.
Illinois: Research Press.
Woyke, E. (2017). The Startup Behind NYC’s Plan to
Replace Phone Booths with 7,500 Connected Kiosks. Obtenido de
https://www.technologyreview.com/s/608281/the-startup-behind-nycs-plan-to-=
replace-phone-booths-with-7500-connected-kiosks/
www.semal.org. (=
17
de marzo de 2017). Obtenido de
https://www.semal.org/es/component/k2/la-importancia-de-prevenir-el-bullyi=
ng-y-ciberbullying
Revista
de la Facultad de Ingenierías y Tecnologías de la Información y Comunicació=
n. Año 5, V=
olumen 1, Número 9, Enero – =
Junio
2021