Post on 07-Oct-2018
GUÍA PARA EL ENTRENAMIENTO DEL TALENTO
HUMANO TENIENDO EN CUENTA EL NIVEL DE
MADUREZ DE LA ORGANIZACIÓN EN
SEGURIDAD DE LA INFORMACIÓN
MARÍA ALEJANDRA SARMIENTO PARDO
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
DICIEMBRE 2009
Ingeniería de Sistemas CIS0910SD04
Página ii
GUÍA PARA EL ENTRENAMIENTO DEL TALENTO HUMANO TENIENDO EN
CUENTA EL NIVEL DE MADUREZ DE LA ORGANIZACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
http://pegasus.javeriana.edu.co/~CIS0910SD04
MARÍA ALEJANDRA SARMIENTO PARDO
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO DE
LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE SISTEMAS
Directora:
Ingeniera Gloria P. Arenas M. M.Sc.
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
DICIEMBRE 2009
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página iii
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
Rector Magnífico
Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Directora de la Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero Germán Alberto Chavarro Flórez
Ingeniería de Sistemas CIS0910SD04
Página iv
Jurados
Enrique Ruíz
Profesor de planta Pontificia Universidad Javeriana
Fabián Cárdenas
Experto en Seguridad de la Información
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página v
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica
y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos
el anhelo de buscar la verdad y la Justicia”
Ingeniería de Sistemas CIS0910SD04
Página vi
AGRADECIMIENTOS
Quiero resaltar la ayuda y apoyo de mis padres, ya que sin ellos no hubiera podido tener la
oportunidad de comenzar y culminar mis estudios, ni la posibilidad de la realización de este
trabajo de grado.
A los profesores que me motivaron semestre a semestre para seguir adelante y me enseñaron que
no solo hay que saber lo necesario, a ir siempre más allá de lo que se ve en un salón de clases,
además del compromiso de un ingeniero con el país y su desarrollo, lo cual motivo mi interés por el
tema escogido para la investigación.
A mi directora de trabajo de grado Gloria Arenas que me colaboro en todo cuanto necesite para el
desarrollo de este proyecto.
Y para finalizar a todas aquellas personas que durante mis estudios y la realización de este trabajo
me apoyaron en los buenos y en los malos momentos, que supieron motivarme con un buen consejo
o uno abrazo para seguir adelante a pesar de los problemas y dificultades, para así lograr alcanzar
mi meta de culminar mis estudios y la investigación que comenzó hace unos meses.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página vii
Contenido
Introducción .................................................................................................................................. 1
1. Descripción general del trabajo de grado ............................................................................... 2
1.1 Descripción del contexto ................................................................................................ 2
1.2 Formulación ................................................................................................................... 3
2. Descripción del proyecto ........................................................................................................ 4
2.1 Justificación .................................................................................................................... 4
2.2 Objetivo general ............................................................................................................. 5
2.3 Objetivos específicos ...................................................................................................... 5
3. Estado del arte ....................................................................................................................... 7
3.1 Seguridad de la información ........................................................................................... 7
3.1.1 Gestión de la seguridad de la información ............................................................... 7
3.2 Entrenamiento del talento humano como recurso en la seguridad de la información ... 11
3.2.1 Gestión del talento humano .................................................................................. 11
3.2.2 El recurso humano como gestor clave del conocimiento de seguridad de la
información en las organizaciones. ....................................................................................... 12
3.2.3 La motivación........................................................................................................ 12
3.2.4 Las herramientas y los medios de comunicación en el entrenamiento ................... 13
4. Proceso ................................................................................................................................ 14
4.1 Metodología propuesta ................................................................................................ 14
4.2 Desarrollo del proyecto ................................................................................................ 16
4.3 Reflexión metodológica ................................................................................................ 18
5. Modelo de Madurez en Seguridad de la Información (MMSI) ............................................... 20
5.1 Niveles de madurez ...................................................................................................... 21
5.2 Áreas de proceso para el escalonamiento ..................................................................... 23
6. Clasificación y niveles para el proceso de entrenamiento ..................................................... 28
6.1 Clasificación del talento humano por el nivel de competencia, responsabilidades y
autonomía en la organización .................................................................................................. 28
6.2 Niveles de sensibilidad y receptividad hacia la seguridad de la información .................. 30
6.3 Niveles de acceso a la información................................................................................ 31
7. Medios para la obtención del conocimiento y colaboración en seguridad de la información . 33
7.1 Motivación para el talento humano .............................................................................. 33
Ingeniería de Sistemas CIS0910SD04
Página viii
7.2 Actividades colaborativas por parte de los grupos por competencias ............................ 34
8. Estructura del entrenamiento .............................................................................................. 37
8.1 Estrategia de entrenamiento por niveles de madurez ................................................... 37
8.2 Herramientas para el diseño del entrenamiento ........................................................... 40
8.3 Método de distribución de la información .................................................................... 45
8.4 Evaluación del entrenamiento ...................................................................................... 50
9. Guía ..................................................................................................................................... 54
9.1 Introducción ................................................................................................................. 54
9.2 Guía para el entrenamiento en seguridad de la información teniendo en cuenta su nivel
de madurez .............................................................................................................................. 54
9.2.1 Paso 1: Análisis del nivel de madurez de la organización ....................................... 55
9.2.2 Paso 2: Definición de audiencias para el entrenamiento en seguridad de la
información .......................................................................................................................... 58
9.2.3 Paso 3: Definición de estrategias para obtener del talento humano colaboración
hacia los procesos en seguridad de la información ............................................................... 60
9.2.4 Paso 4: Diseño estructural del entrenamiento en seguridad de la información ...... 65
9.2.5 Paso 5: Evaluación del progreso del talento humano y de la organización en
seguridad de la información ................................................................................................. 69
10. Conclusiones .................................................................................................................... 72
11. Trabajos futuros ............................................................................................................... 73
12. Bibliografía ....................................................................................................................... 74
13. Anexos ............................................................................................................................. 77
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página ix
Lista de tablas
Tabla 1 Nivel de madurez ............................................................................................................ 27
Tabla 2 Actividad colaborativa ..................................................................................................... 36
Tabla 3 Actividad estratégica de entrenamiento ............................................................................ 40
Tabla 4 Herramienta Gráfica ........................................................................................................ 42
Tabla 5 Herramienta tecnológica .................................................................................................. 44
Tabla 6 Herramienta guía organizacional y/o por expertos ............................................................ 45
Tabla 7 Método de comunicación y distribución ........................................................................... 50
Tabla 8 Formato de evaluación..................................................................................................... 53
Ingeniería de Sistemas CIS0910SD04
Página x
Lista de ilustraciones
Ilustración 1 Niveles de madurez.................................................................................................. 58
Ilustración 2 Clasificación del talento humano.............................................................................. 59
Ilustración 3 Obtención de conocimiento y colaboración .............................................................. 60
Ilustración 4 Proceso de diseño del entrenamiento ........................................................................ 66
Ilustración 5 Evaluación ............................................................................................................... 70
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página xi
Abstract
An organization, either is public or private, will always had to handle people that will be the key of
the success. Due to the fact that they are who make up the human talent and provide their
knowledge, effort and performance to achieve prosperity and quality of the organization,
nevertheless, should also consider the management of information security, because it achieves to
provide the added value of the reliability, availability and integrity of the organization.
For this reason I see the need of developing a guide having the objective of information security
training to human talent, to allow organizations to have management mechanisms and making
individual knowledge and then improve the information security level.
Ingeniería de Sistemas CIS0910SD04
Página xii
Resumen
Una organización, sin importar si es pública o privada, siempre tendrá que manejar personas que
serán la clave del éxito, ya que estas son las que conforman el talento humano y brindan su
conocimiento, esfuerzo y desempeño para lograr la prosperidad y calidad de la organización, sin
embargo, se debe tener en cuenta también el manejo de la seguridad de la información, pues esta
logra dar el valor agregado de la confiabilidad, disponibilidad e integridad a la organización.
Por esta razón se ve la necesidad de desarrollar una guía teniendo como objetivo el entrenamiento
en seguridad de la información al talento humano, para permitir a las organizaciones tener
mecanismos de gestión y toma de conocimiento individual y con esto la mejora del nivel de
seguridad de la información.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página xiii
Resumen Ejecutivo
La guía que se presenta en este trabajo de grado tiene como título “GUÍA PARA EL
ENTRENAMIENTO DEL TALENTO HUMANO TENIENDO EN CUENTA EL NIVEL DE
MADUREZ DE LA ORGANIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN”. Como
primera instancia se realiza un modelo de niveles de madurez, para luego enfatizar en la evolución
del entrenamiento que se debe ir llevando según el nivel al que pertenezca la organización, como lo
son la clasificación de audiencias, estrategias de la gerencia para la motivación y logro de la
conversión de conocimientos individuales en conocimiento de la organización y el diseño y
mantenimiento de la distribución, comunicación y divulgación del entrenamiento.
El conocimiento, perspectiva y comportamiento del talento humano sobre los aspectos de seguridad
de la información deben ser manejados por la organización, ya que estos son los encargados
directos del manejo de toda la información. Pero, ¿Cómo se puede guiar una organización pública o
privada hacia la mejora en la seguridad de su información a través de sus empleados? Esta pregunta
lleva a concluir que la implementación de un entrenamiento en seguridad de la información es un
paso esencial para lograr el cumplimiento de las características de seguridad que debe tener la
información (capital de mayor valor en la organización).
Para lograr que las organizaciones tengan en cuenta la seguridad de la información, estas deben
concientizarse en primer lugar en el hecho que la información es una herramienta básica de su
negocio que al igual que los bienes materiales que posee debe ser cuidada y tenida en cuenta dentro
de los procesos y estándares que maneja.
En este orden de ideas, el manejo de la seguridad de la información debe sostenerse en el talento
humano y su capacidad de respuesta frente a las amenazas que pueda afectar la información a la que
están a cargo, manteniendo de forma aceptable la capacidad colaborativa, brindando espacios y
desarrollo de conocimiento dentro del campo de trabajo, permitiendo además que colaboren con el
grupo designado para el mantenimiento de la seguridad y dando cierta independencia en el manejo
de responsabilidades con la información, siempre que se cumplan.
Ingeniería de Sistemas CIS0910SD04
Página xiv
Debido a esto se proporciona un modelo de madurez que permite orientar a la organización para que
alcance un nivel óptimo en seguridad de la información, teniendo definido como base el talento
humano, su conocimiento y entrenamiento. Además da a los gerentes, directivos o encargados de la
seguridad en la organización, pautas a tener en cuenta dentro de la estructuración del entrenamiento
en seguridad de la información, mostrando paso a paso como identificar audiencias, motivar y
lograr una actividad conjunta en toda la organización, para finalmente tener un diseño apropiado de
la herramientas que se utilizarán para obtener y entregar conocimiento al talento humano.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página xv
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 1
Introducción
El siguiente documento de memorias de trabajo de grado está dirigido al análisis y desarrollo de una
guía para el entrenamiento en seguridad de la información, esto según el nivel de madurez en el que
se encuentre la organización en temas de seguridad.
Basándose en modelos como CMMI [3], Cobit [2] e ISM3 [4] se realizó un modelo de madurez en
seguridad de la información, teniendo en cuenta dentro de este, aspectos como: el talento humano y
su entrenamiento. Finalizando con la descripción de los aspectos más generales y relevantes de un
proceso de entrenamiento en seguridad de la información dentro de una organización, durante el
escalonamiento en los niveles de madurez propuestos en este trabajo.
Mediante la guía diseñada, aplicable a las organizaciones que quieran mejorar su sistema de
seguridad de la información, se proveen herramientas que permiten una estructura coherente y
lógica del entrenamiento a realizar en la organización, esto con el fin de lograr el éxito en la
colaboración y concientización del talento humano y el asenso en niveles de madurez en seguridad
de la información, que le darán a la organización mayor confiabilidad interna y externa.
Ingeniería de Sistemas CIS0910SD04
Página 2
1. Descripción general del trabajo de grado
1.1 Descripción del contexto
El área de conocimiento en la cual se enmarca el proyecto es la seguridad de la información,
debido a que en esta se ve la oportunidad de mejorar los procesos que tienen en el manejo de la
información los dueño(s) o encargado(s), garantizando el cumplimiento de las propiedades
principales de la información: confidencialidad, integridad y disponibilidad [1].
A pesar de que las organizaciones varían en su tamaño [11], estilo y estructura organizacional,
capital intelectual y material y el tipo de industria, se puede observar un factor común y es la
necesidad del manejo seguro de los activos de información, proveniente ya sea interna o
externamente [16].
Por esto, en la situación menos complicada la gerencia o el personal encargado del manejo de la
seguridad de la información, sólo debe preguntarse cómo puede mantener o mejorar el nivel
actual de seguridad en su organización, pero en otras situaciones más complejas, debe pensarse
en qué tan segura se encuentra la información dentro de la organización y realizar una revisión
sobre la inversión que realiza esta para evitar que las amenazas en contra de su información se
materialicen.
En este planteamiento resulta de manera importante ver en primer lugar el cómo conseguir y
mantener una gestión adecuada para la información dentro de la organización, ya que de esto
depende el éxito del sistema de seguridad que se tome como base, y así dar garantías y
confiabilidad a quienes la organización preste servicios.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 3
1.2 Formulación
¿Cómo se puede guiar una organización pública o privada hacia la mejora en la seguridad de su
información a través de sus empleados?
Ingeniería de Sistemas CIS0910SD04
Página 4
2. Descripción del proyecto
2.1 Justificación
Numerosas organizaciones se encuentran en un ambiente de crecimiento competitivo y
condicionado, como es el caso de la industria de mercado y las entidades gubernamentales que
se fundamentan en el servicio al país.
En consecuencia, el crecimiento hace que tengan como reto una mejora continua en
productividad, disponibilidad, integridad y la garantía de la confidencialidad tanto para sus
usuarios como la información interna del negocio, haciendo necesario que las organizaciones
busquen métodos que den soluciones y garantías para mantenerse en el mercado o en la oferta
de servicios, según sea el caso.
El surgimiento y la supervivencia de la organización se ven envueltas en la necesidad de
revisiones constantes en la operativa empresarial, en cambiar funciones tradicionales por
servicios de apoyo y en la gestión del talento humano en las estrategias para el desarrollo,
seguimiento y mantenimiento del sistema de seguridad de la información escogido por la misma
[6].
Con esta guía se ayuda de manera formal a que las organizaciones, sin importar si su situación
en cuanto a seguridad de la información es crítica (no se tienen procedimientos en seguridad de
la información), media (se llevan algunos de los procedimientos en seguridad de la
información) o excelente (se tiene un sistema de gestión de seguridad de la información y se
sigue correctamente), difundan y mantengan la seguridad de la información.
Dentro de la guía se hace referencia a como cambiar la mentalidad sobre la visión del talento
humano como algo secundario paso a paso, primero formándolos en la ejecución correcta de las
operaciones de seguridad y logrando la optimización de su perfil, para luego dar
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 5
responsabilidades de seguridad de la información dentro de la organización como parte del
trabajo diario, esto debido a que el talento humano es el que permite dar un valor agregado para
el incremento en el éxito y mantenimiento de la organización [6]. Esto entonces permitirá de
una forma más organizada y coherente lograr mejorar el sistema de gestión de seguridad de la
información escogido por la organización, garantizando mantener la posibilidad de
materialización de los riesgos en un nivel bajo y su competitividad y buen nombre en alto.
2.2 Objetivo general
Desarrollar y validar por expertos una guía en seguridad de la información para el
entrenamiento del talento humano, que permita tener mecanismos de gestión y mejora,
teniendo como base el nivel de madurez en seguridad de la información y como gestor clave el
conocimiento y la colaboración del talento humano.
2.3 Objetivos específicos
1. Identificar y analizar los elementos que determinan el nivel de madurez en la seguridad de
la información por parte del talento humano en una organización.
2. Definir las características del talento humano que administra información en las
organizaciones, según su nivel de competencia, para cumplir con los requerimientos de
entrenamiento en seguridad de la información a utilizar según el nivel de madurez
identificado en la organización.
3. Determinar los niveles generales de sensibilidad en seguridad de la información y acceso
para ser tratados en el proceso de entrenamiento al talento humano.
4. Determinar los requerimientos principales, para obtener del talento humano el conocimiento
organizacional y su colaboración, por medio del entrenamiento, en los aspectos
concernientes a la seguridad de la información.
Ingeniería de Sistemas CIS0910SD04
Página 6
5. Diseñar una guía de entrenamiento para los empleados de una organización, que ayude a
estos a seguir un lineamiento de seguridad de la información de forma exitosa, basado en
los aportes de mejora dado por el talento humano y la forma de dar mantenimiento a la
misma, para lograr mayor competitividad en seguridad de la información en la
organización.
6. Validación de la guía propuesta por expertos en el tema de seguridad de la información,
para la obtención de críticas constructivas a la misma.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 7
3. Estado del arte
3.1 Seguridad de la información
La seguridad de la información es la protección de la información contra las diferentes
amenazas, esto con el fin de asegurar la continuidad, minimizar el riesgo y maximizar el retorno
de inversión y oportunidades del negocio [21].
Se encarga de la preservación de otras propiedades de la información, como: autenticidad,
responsabilidad con obligación de reportar, no repudio y fiabilidad [1].
3.1.1 Gestión de la seguridad de la información
La seguridad de la información se consigue implementando un conjunto de controles, políticas,
procesos, procedimientos, funciones de software y hardware y estructuras organizacionales, las
cuales llevan a la gestión de la seguridad de la información [21].
Este aspecto se refiere a operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de
la información [1], para asegurar que se cumplen los objetivos de la seguridad de la
información y el negocio de la organización [21].
Para una mejor explicación de los conceptos manejados en seguridad de la información y su
gestión se verán varios factores importantes: El valor de la información, estándares, amenaza,
modelo de madurez de seguridad y el éxito y ventaja competitiva por medio de la seguridad de
la información y su capital humano.
Ingeniería de Sistemas CIS0910SD04
Página 8
3.1.1.1 El valor de la información
Existen diferentes tipos de activos, según la NTC-ISO-IEC 27002 [21], los cuales son:
información, activos de software, activos físicos, servicios, personas y sus calificaciones,
habilidades y experiencia e intangibles tales como reputación e imagen de la organización.
El primero de estos, la información, son datos procesados de los cuales las organizaciones
dependen ampliamente de lo que esto pueda ofrecerle y costarle [8]. Siendo este uno de los
activos más importantes y el hecho de que cualquier propósito que se tenga no se puede llevar a
cabo de manera exitosa sin datos confiables [20], se deben tener leyes y regulaciones que se
aplican en la jurisdicción correspondiente [21], para dar a la información la importancia que
implica para una organización, protección y hacerla objeto de estudio dentro de la seguridad.
Para determinar la seguridad de la información necesaria, deben tenerse en cuenta tres
propiedades principales que la caracterizan: confidencialidad, la información no debe estar
disponible ni ser revelada a individuos, entidades o procesos no autorizados; integridad,
salvaguarda la exactitud y estado completo de los activos y; disponibilidad, información
accesible y utilizable por autorizados [1], [20].
3.1.1.2 Amenazas
Las amenazas se definen como las causantes de un evento adverso que puede hacer daño a los
activos de información [13]. Existen diferentes niveles de amenaza, ya que en algunos casos
unas pueden llegar a ser más perjudiciales que otras. Por esto es importante definir y dar valor,
ya sea cualitativo o cuantitativo, a las amenazas que puedan presentarse, teniendo en cuenta el
valor previo que se den a los activos que estas afectan [21].
En esta investigación se tratan entre otras aquellas amenazas que involucran el talento humano
dentro de la organización, para lograr un mayor control en la posibilidad del riesgo de una
amenaza materializada [14].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 9
3.1.1.3 La importancia de la seguridad de la información
Toda organización maneja activos importantes, como lo es la información, lo cual hace
necesario que esta logre la definición de objetivos, mantenimiento y mejora de la seguridad de
la información. Esto para conservar y perfeccionar la competitividad, rentabilidad,
cumplimiento legal y la imagen comercial de la organización [21].
Entre otros aspectos se encuentra que debido a la cantidad de amenazas y desastres que puede
afrontar una organización tanto privada como pública, la seguridad de la información actuará
como un elemento facilitador y de control y evitará o reducirá los riesgos que se puedan
presentar [21].
3.1.1.4 Estándar
Existen estándares, como el ISO 27002, que se han elaborado cuidadosamente para el manejo
de la seguridad de la información dentro de una organización, debido a que cosas como una
excelente y moderna sala de cómputo no indica que la organización esté informada y sea
inteligente con respecto a los factores de seguridad [8], [21].
Otro de los estándares es el ISO 27001 que tiene su origen en la BS 7799-2:2002 y fue
publicada el 15 de Octubre de 2005, haciendo de esta la norma principal de la serie 27000. La
cual contiene los requisitos del sistema de gestión de seguridad de la información y es la norma
con la cual se certifican los sistemas de gestión de seguridad de la información de las
organizaciones [8].
Estos estándares pueden guiar a las organizaciones como una forma de buenas prácticas en
seguridad de la información; sin embargo no es una camisa de fuerza, ya que cada organización
maneja políticas, culturas y talento humano diferente. Lo fundamental para lograr un nivel de
madurez en seguridad de la información es necesario tener buenas políticas y estrategias para su
control (siendo los estándares ya elaborados muy buena fuente para el inicio de este proceso),
pues de otra manera no se tendrán bases que soporten un nivel de madurez alto u óptimo.
Ingeniería de Sistemas CIS0910SD04
Página 10
3.1.1.5 Modelo de madurez de seguridad
Es importante que tanto las organizaciones ya establecidas como las que se están formando
sepan en qué nivel se encuentran y a qué nivel de seguridad quieren llegar, con el fin de evitar
materialización de amenazas, problemas con sus activos de información y llevar un proceso
continuo hacia el éxito en el progreso de la seguridad de la información dentro de la
organización y la confiabilidad para sus usuarios.
Es primordial tener una guía que permita partir de un punto y llegar con facilidad a otro, para la
mejora de la competitividad de la organización por el manejo adecuado que se le da a la
seguridad de la información.
Por lo anterior, se realizó una descripción completa de un Modelo de Madurez de Seguridad de
la Información (MMSI), basado en el manejo dado por los modelos CMMI (áreas de proceso)
[3], Cobit (procesos de TI) [2] e ISM3 (requisitos del negocio, tecnología y controles) [4]. Los
cuales se extrapolaron hacia la seguridad de la información, lo que permitió proveer a la guía de
la facilidad de dar a la organización procesos con los que lograrán escalar en los niveles y
competencia en seguridad utilizando buenas prácticas.
De igual manera el MMSI tiene un enfoque hacia el talento humano para el manejo del
entrenamiento en seguridad de la información, según el nivel en el que se encuentre la
organización.
3.1.1.6 Éxito y ventaja competitiva de la organización por medio de la seguridad
de la información y su talento humano
Una buena gerencia del personal debe motivar y dar importancia a cada cargo dentro de la
organización, permitiendo que el talento humano tome decisiones y estableciendo una jerarquía
lineal para que participe activamente en los procesos de generación de seguridad de la
información [6].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 11
Esto dará a la organización mayor éxito en la implementación de sistemas de seguridad, además
de mejorar el nivel competitivo de forma tal que sus clientes o con quienes manejen prestación
de servicio, incluso las personas dentro de la organización, se sientan más seguros [10], [15].
3.2 Entrenamiento del talento humano como recurso en la
seguridad de la información
El capital intelectual es la sabiduría colectiva total de una organización con el poder para dar el
éxito o fracaso a la misma. La valorización del conocimiento se ha dado como consecuencia de
la tecnología de información, pues ha conducido al interés en el capital intelectual y a la
aceptación de su importancia [16].
El talento humano es entonces dentro del capital intelectual el conjunto de conocimientos y
destrezas especializadas, con capacidades creativas y de liderazgo, ya sea individual o
colectivo, que dan valor a la organización [16].
Debido a lo anterior se convierte en un hecho primordial para la organización lograr el máximo
aprovechamiento de las capacidades del talento humano, guiándolos de forma tal que
contribuyan en su trabajo diario a la seguridad de la información y su mejora; de aquí nace el
objetivo de la creación de un entrenamiento que dé como resultado un talento humano más
informado y colaborador con la organización y un avance en la competitividad empresarial,
debido a la realización de buenas prácticas de seguridad de la información.
3.2.1 Gestión del talento humano
Para la gestión del talento humano es trascendental que se dé por parte de la gerencia cierto tipo
de apoderamiento, es decir otorgar poder (administración de información) pero sin que se
pierda el control del mismo, esto va mas allá de simples autorizaciones, si no de delegar
verdaderamente, dando rienda suelta al personal, pues de este modo la organización puede
ganar fácilmente control del conocimiento individual del talento humano.
Ingeniería de Sistemas CIS0910SD04
Página 12
Para que la gestión tenga éxito, los funcionarios deben mantenerse motivados, informados y
capacitados, con respecto a la seguridad que deben mantener para garantizar las propiedades de
la información y lograr mejores aportes para la mejora de la seguridad; de esta forma la
organización no conseguirá un efecto contrario de desorganización y malos hábitos de trabajo,
sino resultados efectivos con el cuidado y respeto por la información de la cual cada uno de los
empleados es responsable [6], [16], [17].
3.2.2 El recurso humano como gestor clave del conocimiento de seguridad de la
información en las organizaciones.
La organización debe realizar algunos pasos importantes para la generación de interés por parte
del talento humano hacia la colaboración para mantener excelentes niveles de seguridad de la
información y fortalecer el crecimiento y éxito de la misma, como lo son; el despertar un mayor
sentido de pertenencia hacia la organización, motivar el personal, dar importancia a cada cargo
dentro de la organización, permitir la toma de decisiones, pensar en una compensación salarial
según los resultados mostrados, implementar una gerencia personalizada, es decir que no
existan impedimentos de comunicación entre el personal y el gerente e innovar para generar
cambios positivos [6], [10], [15], [18].
3.2.3 La motivación
“Todos estamos motivados a hacer aquello que creemos que más nos conviene [12],” esto lleva
a pensar en cómo el talento humano de una organización puede comportarse en su trabajo
diario, si un gerente logra hacer que su equipo de trabajo se motive hacia aspectos de seguridad,
dando recompensas monetarias o no monetarias; el elogiar un trabajo realizado de forma
correcta, ciertamente logrará que los empleados vean conveniente el hecho de colaborar con la
seguridad de la información de la organización y querrán aprender sobre temas relacionados a
esta.
Seguido a esto debe tenerse en cuenta que un gerente o el grupo directivo de la organización no
puede motivar al talento humano. Sólo puede influir en las cosas que están motivados a hacer,
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 13
es decir ayudar a que los empleados encuentren la necesidad de ayudar a su organización para
lograr su bienestar.
Para poder influenciar de forma positiva al talento humano se debe tener en cuenta la conexión
entre dos tipos de motivación existentes: la intrínseca y la extrínseca. Es intrínseca cuando está
dentro de la persona, es decir, el deseo de hacer algo y buscar la forma de lograrlo; es extrínseca
cuando se relaciona con todos aquellos factores externos que influyen en los deseos propios,
como lo es una recompensa por algo que se hace bien, esto da como consecuencia el querer
seguir haciéndolo bien, por el contrario si no se recibe nada a cambio da lugar a dudas de si se
debe o no seguir haciendo [12].
Lo anterior con el objetivo de que las recompensas dadas logren que el talento humano este
constantemente involucrado con el proceso del entrenamiento y no solo mientras logra
conseguirlas [12].
3.2.4 Las herramientas y los medios de comunicación en el entrenamiento
Las herramientas y medios por los cuales se realiza la distribución de la información son un
factor a tener en cuenta dentro de un entrenamiento, pues quien la recibirá será el talento
humano que se convertirá en audiencia en el momento de iniciar el mismo. Por lo que los
encargados de la realización del diseño del entrenamiento deben considerar llegar a la audiencia
de forma tal que quiera conocer el proceso que está llevando la organización para la mejora en
seguridad de la información.
Existen para esto diferentes herramientas como las gráficas, las tecnológicas y las guiadas por
expertos y sus medios de distribución como lo son espacios dentro de la estructura física de la
organización, el internet y espacios físicos y de tiempo exteriores al laboral, los cuales deben
ser utilizados según el tipo de audiencia que se logre identificar dentro del talento humano en el
proceso de diseño de la estrategia del entrenamiento [22], [23].
Ingeniería de Sistemas CIS0910SD04
Página 14
4. Proceso
4.1 Metodología propuesta
1. Identificar y analizar los elementos que determinan el nivel de madurez en la seguridad de
la información por parte del talento humano en una organización.
o Levantamiento de información y diseño:
Se quiere identificar elementos que permitan el conocimiento de los problemas de la
seguridad de la información en la organización por parte del talento humano, además de
definir la formalidad de los procedimientos de gestión de seguridad de la información,
para cada nivel que será definido en el trabajo.
2. Definir las características del talento humano que administra información en las
organizaciones, según su nivel de competencia, para cumplir con los requerimientos de
entrenamiento en seguridad de la información a utilizar según el nivel de madurez
identificado en la organización.
o Levantamiento de información:
Se buscarán y definirán patrones que identifiquen el nivel de conocimiento o
experiencia de los empleados de la organización, permitiendo un mayor éxito en el
proceso de concientización, ya que con esto se logra como resultado una mayor
facilidad para un mejor aprovechamiento de los temas y métodos de distribución que se
van a utilizar durante el entrenamiento.
3. Determinar los niveles generales de sensibilidad en seguridad de la información y acceso
para ser tratados en el proceso de entrenamiento al talento humano.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 15
o Levantamiento de información:
Es necesario tener claro según el conjunto de características definidas para el
conocimiento o experiencia del talento humano definido que acceso pueden tener y la
sensibilidad de la información que podrían manejar, logrando la obtención de grupos
más específicos para dar un mejor enfoque a la guía de entrenamiento.
4. Determinar los requerimientos principales, para obtener del talento humano el conocimiento
organizacional y su colaboración, por medio del entrenamiento, en los aspectos
concernientes a la seguridad de la información.
o Diseño:
Se quiere lograr la identificación y proposición de elementos potenciales que permitan
obtener el conocimiento organizacional del talento humano en seguridad de la
información, problemas, ventajas, desventajas, mejoras, entre otras opiniones
importantes sobre el proceso de gestión de seguridad de la información que lleva la
organización, esto dentro del proceso de entrenamiento, lo cual permitirá lograr una
mejora y mantenimiento de la seguridad en el nivel deseado.
5. Diseñar una guía de entrenamiento para los empleados de una organización, que ayude a
estos a seguir un lineamiento de seguridad de la información de forma exitosa, basado en
los aportes de mejora dado por el talento humano y la forma de dar mantenimiento a la
misma, para lograr mayor competitividad en seguridad de la información en la
organización.
o Diseño:
Se diseña una guía de entrenamiento en seguridad de la información administrada en
parte por el talento humano, pero de manejo gerencial, para ser implementada de
manera formal en las organizaciones.
6. Validación de la guía propuesta por expertos en el tema de seguridad de la información,
para la obtención de críticas constructivas a la misma.
Ingeniería de Sistemas CIS0910SD04
Página 16
o Evaluación:
Al término de la elaboración de la guía propuesta se desarrollará un proceso de
evaluación por expertos en seguridad de la información que permitirá una
retroalimentación de lo elaborado para su refinamiento.
4.2 Desarrollo del proyecto
1. Identificar y analizar los elementos que determinan el nivel de madurez en la seguridad de
la información por parte del talento humano en una organización.
o Levantamiento de información y diseño:
Para la definición de cada uno de los niveles de madurez para seguridad de la
información se utilizaron los establecidos por Cobit 4.1 [2]; debido a que abarca un
nivel más de madurez y por ende permite una división más granular.
Por otra parte, las áreas de proceso involucradas con los problemas en seguridad de la
información y el talento humano para cada nivel de madurez se establecieron con base
en el ISM3 [4] y CMMI [3].
2. Definir las características del talento humano que administra información en las
organizaciones, según su nivel de competencia, para cumplir con los requerimientos de
entrenamiento en seguridad de la información a utilizar según el nivel de madurez
identificado en la organización.
o Levantamiento de información:
Se tomaron como base clasificaciones dadas por Javier Fernández [6] y las del artículo
Concientización en seguridad de la información [5] sobre las posibles audiencias para
un entrenamiento en concientización y de esta forma llegar a una clasificación por
competencias y estudios realizados.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 17
3. Determinar los niveles generales de sensibilidad en seguridad de la información y acceso
para ser tratados en el proceso de entrenamiento al talento humano.
o Levantamiento de información:
Se tomo como base la clasificación empleada en el artículo Concientización en
seguridad de la información [5] sobre las posibles audiencias para un entrenamiento en
concientización y de esta forma llegar a una clasificación por sensibilidad al
aprendizaje en seguridad y el acceso a los activos de información.
4. Determinar los requerimientos principales, para obtener del talento humano el conocimiento
organizacional y su colaboración, por medio del entrenamiento, en los aspectos
concernientes a la seguridad de la información.
o Levantamiento de información y Diseño:
Para esta parte se investigaron aspectos de motivación para ser aplicados al talento
humano para que responda positivamente, pero también se diseñaron actividades que
cada miembro de la organización debe seguir para el aprendizaje y colaboración.
Para la definición de los métodos de motivación y las actividades propuestas se
utilizaron algunas de las descritas por J. Fernandez [6], E. Van Den Berghe [10] y
A.Bruce y J. Pepitone [12], las cuales dan una forma adecuada de crear y gestionar el
conocimiento del talento humano.
5. Diseñar una guía de entrenamiento para los empleados de una organización, que ayude a
estos a seguir un lineamiento de seguridad de la información de forma exitosa, basado en
los aportes de mejora dado por el talento humano y la forma de dar mantenimiento a la
misma, para lograr mayor competitividad en seguridad de la información en la
organización.
o Levantamiento de información y diseño:
Para este caso se busco información sobre actividades para la realización y compromiso
con el entrenamiento, además de métodos publicitarios para campañas entre otros para
Ingeniería de Sistemas CIS0910SD04
Página 18
la realización del mismo. Se encontraron referencias de publicidad como las de W.
Arens [22], O. Aprile [23] y D. Parra y C. Herrera [24] y temas de metodologías de
aprendizaje H. Aebli [25], J.M. Serrano [26].
6. Validación de la guía propuesta por expertos en el tema de seguridad de la información,
para la obtención de críticas constructivas a la misma.
o Evaluación:
En este proceso se escogieron 3 expertos en seguridad de la información:
Ingeniero Andrés González.
Ingeniera Sandra M. Gómez R.
Ingeniero Jaime Zuluaga.
Esta evaluación se encuentra en el Anexo B.
4.3 Reflexión metodológica
1. Identificar y analizar los elementos que determinan el nivel de madurez en la seguridad de
la información por parte del talento humano en una organización.
o La metodología propuesta se realizó tal como se había planteado, ya que era
necesario basarse en información veraz que permitiera la extrapolación para el
diseño de un modelo de madurez para la seguridad de la información.
2. Definir las características del talento humano que administra información en las
organizaciones, según su nivel de competencia, para cumplir con los requerimientos de
entrenamiento en seguridad de la información a utilizar según el nivel de madurez
identificado en la organización.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 19
o La metodología propuesta se desarrollo con éxito, ya que se encontró información
que permitió la clasificación del talento humano de forma general para cualquier
organización.
3. Determinar los niveles generales de sensibilidad en seguridad de la información y acceso
para ser tratados en el proceso de entrenamiento al talento humano.
o La metodología propuesta se desarrolló como se había planteado, ya que se
encontró información que permitió la clasificación del talento humano de forma
general para cualquier organización.
4. Determinar los requerimientos principales, para obtener del talento humano el conocimiento
organizacional y su colaboración, por medio del entrenamiento, en los aspectos
concernientes a la seguridad de la información.
o La metodología propuesta fue acertada pero para la realización de este diseño era
necesario tener información sobre métodos para obtener la atención del talento
humano, por esto se agregó la metodología de levantamiento de información.
5. Diseñar una guía de entrenamiento para los empleados de una organización, que ayude a
estos a seguir un lineamiento de seguridad de la información de forma exitosa, basado en
los aportes de mejora dado por el talento humano y la forma de dar mantenimiento a la
misma, para lograr mayor competitividad en seguridad de la información en la
organización.
o La metodología propuesta fue acertada pero para la realización de este diseño era
necesario tener información sobre aspectos publicitarios, de comunicación y
métodos que permitan el desarrollo del entrenamiento y las campañas previas al
entrenamiento.
6. Validación de la guía propuesta por expertos en el tema de seguridad de la información,
para la obtención de críticas constructivas a la misma.
Ingeniería de Sistemas CIS0910SD04
Página 20
o La metodología propuesta para la evaluación fue acertada, pues la revisión de
expertos era necesaria y fue de gran aporte para tener claridad sobre los errores, lo
que falta por tratar y la validación como trabajo de grado, para antes de la entrega
final.
5. Modelo de Madurez en Seguridad de la Información (MMSI)
Se entiende por madurez la superación de etapas de desarrollo de una organización, a si mismo
se encuentra fundamentada en su potencial para desarrollar y administrar sus proyectos1de
forma consistente y proactiva y tiene la capacidad de mantener y mejorar sus procesos [34].
Para la construcción y explicación de los niveles de madurez en seguridad de la información se
tomaron como referencia los modelos de escalonamiento por niveles Cobit 4.1 [2] y CMMI [3],
estos van del nivel 0 al 5 y del nivel 1 al 5 respectivamente.
Dentro de la definición de cada uno de los niveles de madurez para seguridad de la información
se utilizaron los establecidos por Cobit 4.1 [2]; debido a que abarca un nivel más de madurez y
por ende permite una división más granular.
Para cada uno de los niveles se tomaron como base las características ya definidas por los
modelos y se agregaron otros procesos que debe alcanzar la organización para el
escalonamiento, conseguir un manejo adecuado de las estrategias y políticas de seguridad de la
información y su comunicación con la ayuda del talento humano de la organización.
Por otra parte, las áreas de proceso involucradas con los problemas en seguridad de la
información y el talento humano para cada nivel de madurez se establecieron con base en el
ISM3 [4] y CMMI [3].
1 Para este caso los proyectos que tienen que ver con seguridad de la información.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 21
5.1 Niveles de madurez
Para llevar a cabo un proceso de mejoramiento de seguridad de la información en la
organización se hace necesaria la realización de una evaluación dentro de la misma para lograr
establecer en qué nivel de madurez se encuentra y los aspectos a tener en cuenta para escalar al
siguiente nivel.
Se presentan en este modelo las características tanto generales como específicas que debe estar
llevando a cabo la organización para pertenecer a uno de los siguientes niveles:
Nivel 0:
No existe
No hay un proceso identificable de seguridad de la información dentro de la organización. No
se ha reconocido un problema a resolver [2]; y por ende no existe una comunicación del tema
hacia el talento humano.
Nivel 1:
Inicial
Se reconoce la necesidad de la seguridad de la información dentro de la organización, pero no
se ha realizado una evaluación para establecer las falencias existentes, por lo que los controles
establecidos son informales y no cubren todos los posibles riesgos. Se depende únicamente del
conocimiento y pertinencia de las personas encargadas del sostenimiento de los activos de
información y se tiene una comunicación esporádica sobre los temas y enfoques para darles
solución [2].
Nivel 2:
Intuitivo
Ingeniería de Sistemas CIS0910SD04
Página 22
Existe conciencia y gestión sobre algunos temas de seguridad de la información, donde se
incluyen procesos de planeación y supervisión, que permiten identificar posibles incidentes de
seguridad; sin embargo estos procesos no han sido adoptado totalmente dentro de la
organización, por lo que la comunicación de estándares y responsabilidades pertenece solo a
las personas encargadas y es probable que los demás empleados de la organización y la gerencia
no se sientan totalmente involucrados, dando como resultado que los procesos y herramientas
no se usen adecuadamente [2].
Nivel 3:
Definido
La importancia de un buen manejo de seguridad de la información se reconoce por parte de la
gerencia y es comunicado hacia la organización teniendo en cuenta la mayoría de temas y
soluciones planteados en sistemas de gestión de la seguridad de la información (SGSI) como el
ISO/IEC 27001 [1]. Los procesos de control se encuentran estandarizados y se documentan,
prueban y aprueban. El proceso de entrenamiento se encuentra establecido pero aun está
limitado a auto aprendizaje en temas genéricos, por lo que dificulta la buena comunicación de
los posibles problemas de seguridad en la organización y la participación completa de la misma
[2].
Nivel 4:
Gestionado y medible
La organización tiene un entendimiento completo del manejo de la seguridad por medio de un
modelo que ha sido definido y desarrollado siguiendo las mejores prácticas; se realizan pruebas
constantes para la recolección de métricas [2], para de esta manera evaluar la efectividad del
sistema de gestión dentro de la organización. Las responsabilidades de los empleados son claras
y se tiene conciencia de los riesgos y de la importancia de la seguridad en la organización.
Todas las actividades que se realizan son registradas para la medición del desempeño del
modelo de seguridad [2].
Nivel 5:
Óptimo
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 23
La organización tiene una comprensión total, avanzada y a futuro de los temas y soluciones de
seguridad de la información. Además de lo alcanzado en el nivel anterior el entrenamiento y la
comunicación se realizan periódicamente con conceptos y técnicas avanzadas. Con base en
resultados cuantitativos y cualitativos se mantiene una mejora y control continuo del modelo de
seguridad y la gerencia participa activamente brindando herramientas para mejorar calidad,
monitoreo, auto-evaluación y la comunicación completa del modelo de seguridad hacia la
organización, contando con la colaboración cercana del talento humano en la utilización de
estas herramientas [2].
5.2 Áreas de proceso para el escalonamiento
Las áreas de proceso definidas por CMMI son un grupo de prácticas relacionadas que al
realizarse en conjunto satisfacen determinados objetivos [3].
Como parte de su caracterización, cada nivel establece una serie de áreas de proceso que deben
ser cumplidas en su totalidad para que la organización pueda iniciar un escalonamiento hacia el
siguiente nivel, cada una de las áreas debe ser llevada y controlada de forma continua ya sea por
el ingreso de nuevos activos, cambio de políticas, realimentación, escalabilidad, y evaluación,
entre otros.
Algunas de estas áreas involucran al talento humano y su concientización en seguridad de la
información, lo cual permitirá la creación de un entrenamiento paso a paso; que contendrá las
características y actividades a tener en cuenta para cada nivel como se presenta a continuación:
Nivel de Madurez Áreas de proceso
Inicial
6 Áreas de proceso
Identificación de activos de información
organizacionales físicos y digitales [1].
Documentación de los activos de información.
Evaluación de la seguridad existente en la
Ingeniería de Sistemas CIS0910SD04
Página 24
organización.
Metas de seguridad de la información
establecidas [4].
Asignación de recursos específicos para la
gestión de seguridad de la información [4].
Inexistencia o niveles muy bajos de
conciencia en seguridad de la información en
el talento humano.
Intuitivo
8 Áreas de proceso
Clasificación de los activos de información en
cuanto a su valor, requisitos legales,
sensibilidad y criticidad dentro de la
organización [1], [21].
Inicio del proceso de identificación, junto al
talento humano, de posibles amenazas para
los activos de información de la organización
[1].
Identificación del impacto provocado por las
amenazas encontradas que atentan contra los
activos de información [1].
Inicio de la creación de un grupo
especializado en seguridad de la información
[4].
Creación de políticas para la seguridad de la
información [1].
Control de cambios en políticas de seguridad
de la información [4].
Control de acceso a la información física o
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 25
digital de la organización [4].
Creación de un plan de entrenamiento para la
seguridad de la información en la
organización [3], [4].
Definido
9 Áreas de proceso
Existencia de un grupo especializado en
seguridad de la información con roles y
actividades formalmente definidas [4].
Administración de riesgos para los activos de
información organizacionales [1], [3].
Proceso de monitoreo y control [3] de los
activos de información organizacionales [1],
[3].
Creación del plan de respuesta a incidentes
y/o plan de contingencia [1].
Administración del proceso de integración y
operación de las políticas de seguridad de la
información en toda la organización [1], [3].
Creación de indicadores para el cumplimiento
de las políticas de seguridad de la información
[2].
Definición y divulgación de procesos
disciplinarios asociados a violaciones de
seguridad de la información [2].
Emulación de ataques, accidentes y errores
contra los activos de información ya sean
humanos o del sistema [4].
Desarrollo del programa establecido para el
entrenamiento formal al talento humano de la
Ingeniería de Sistemas CIS0910SD04
Página 26
organización.
Gestionado y medible
8 Áreas de proceso
Proceso de implementación de indicadores
para la evaluación de la eficacia de las
políticas de seguridad de la información en la
organización [1].
Desarrollo de pruebas a la seguridad que
implementa el talento humano a los activos de
información
Simulacros de incidentes a los activos de
información [4].
Desarrollo de informes sobre incidentes de
seguridad.
Los incidentes de seguridad son detectados y
manejados por el talento humano o los
sistemas de la organización [2].
Existe un método de evaluación constante
para obtener información sobre el
comportamiento del talento humano de la
organización con respecto a la seguridad, es
decir, entiende y colabora de manera continua
sobre los aspectos de seguridad de la
información.
Implantación total de entrenamiento continuo
en la organización para el talento humano.
Óptimo
5 Áreas de proceso
Procesos de auto-evaluación por parte del
talento humano de la organización para la
realimentación en el desempeño de los
controles de seguridad.
Todas las áreas de la organización conocen el
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 27
modelo de seguridad de la información
implementado y lo siguen correctamente [1].
Innovación y desarrollo en procesos de
seguridad con el acompañamiento del talento
humano [3].
Realimentación continua por parte del talento
humano de la organización.
Tabla 1 Nivel de madurez
Ingeniería de Sistemas CIS0910SD04
Página 28
6. Clasificación y niveles para el proceso de entrenamiento
Es importante, que para cualquier proceso de entrenamiento se tengan en cuenta los diferentes
niveles de competencia (tanto educativos, como habilidades que una persona posea), la
sensibilidad, es decir el compromiso, confiabilidad y disposición del talento humano, frente al
aprendizaje de la seguridad de la información, y el acceso a los activos de información de la
organización [5], [12].
A partir de estos aspectos, se puede realizar un entrenamiento según los intereses y la división
del talento humano existente en la organización, por ejemplo, se podrían clasificar por sus
competencias y según la sensibilidad que tengan hacia adquirir y transmitir el conocimiento en
seguridad de la información.
6.1 Clasificación del talento humano por el nivel de competencia,
responsabilidades y autonomía en la organización
Para llevar a cabo un buen manejo del talento humano y lograr el éxito en el entrenamiento en
seguridad de la información, es importante contemplar el tipo de audiencia a quien irá dirigida,
así como una motivación según sus conocimientos [5], [10]. Ya que cada persona dentro de una
organización tiene la facultad de dirigirse hacia el objetivo de la competitividad para alcanzar
sus metas y ser mejor en su competencia, siendo responsable y autónomo, es importante
encauzar esto a la mejora en seguridad de la información para el beneficio de él y el éxito en la
toma de conciencia en la organización [19].
Por esto se tomaron como base clasificaciones dadas por Javier Fernández [6] y las del artículo
Concientización en seguridad de la información [5] sobre las posibles audiencias para un
entrenamiento en seguridad y de esta forma llegar a una clasificación por competencias,
responsabilidades y autonomía de la siguiente manera:
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 29
Ejecutivo
En este grupo se encuentran cargos con el más alto grado de autonomía, iniciativa y
compromiso debido a su alto nivel de competencia y son quienes ocupan la primera línea
jerárquica de la organización. Estos cargos tienen la responsabilidad de planificar, coordinar,
ejecutar y controlar las políticas, estrategias y directrices corporativas, además de aprobar los
proyectos de la organización a corto y largo plazo. [5][6]
Esto debido a que en su mayoría como mínimo tienen un título Universitario, estudios formales
de posgrado y con alta experiencia en el ejercicio de su profesión en el sector laboral, dentro de
su alta competencia, sin embargo, puede presentarse que alguien perteneciente a este grupo
tenga algunos conocimientos y experiencia o la iniciativa de negocio, pero maneje la
organización con grupos especializados en la actividad que desarrolla esta.
Directivo
Este grupo comprende un grado medio de autonomía y la responsabilidad de fijar y controlar el
cumplimiento de las políticas, estrategias y directrices corporativas, además de la
administración del presupuesto, sin embargo se mantiene un nivel de competencia alto. [5]
En cuanto a la parte de competencia se tienen personas con alta habilidad en su profesión,
además de un título Universitario, estudios formales de posgrado y experiencia en el ejercicio
de su profesión, lo cual permite el apoyo de este grupo al ejecutivo.
Administrativo
Este grupo se encuentra en una posición organizacional intermedia, que tiene un cierto grado de
autonomía y responsabilidad. Son quienes desarrollan tareas complejas y brindan apoyo para la
integración, supervisión y realización de los planes, funciones y proyectos del talento humano y
los recursos técnicos de la organización. [6]
La competencia para este grupo es de nivel intermedio que incluye un título universitario, con
experiencia en el ejercicio de su profesión o con formación especializada en el desempeño de
su función y en algunos casos en gran parte de su labor será el intermediario entre la gerencia y
operativos.
Operativo
Ingeniería de Sistemas CIS0910SD04
Página 30
Son aquellos cargos que pueden o no tener responsabilidades de mando, con un alto grado de
supervisión y dependencia de los otros grupos. Encargados de realizar las labores relacionadas
con el funcionamiento de la organización y la logística del negocio. [5][6]
Para este grupo se tiene un nivel básico o bajo de competencia, por lo que se tiene en cuenta los
estudios técnicos especializados, educación secundaria (Bachiller) o básica primaria.
6.2 Niveles de sensibilidad y receptividad hacia la seguridad de la
información
Después del análisis de las áreas de proceso para cada nivel y la división por competencias del
talento humano de la organización, podría realizarse una clasificación de acuerdo a su interés
por el entrenamiento [5], esto puede lograrse mediante encuestas sobre el interés por la
seguridad de la información en la organización diseñadas por los encargados de la creación del
plan de entrenamiento y contestadas por el talento humano y así con esto definir el método de
distribución de información que se expondrá más adelante.
Muy sensibles y dispuestos al cambio
Son aquellas personas dispuestas a colaborar a partir de sus conocimientos en la mejora de la
seguridad de la información en la organización, tienen mayor conocimiento sobre esta área y
alguna experiencia asociada. Además son los más receptivos al cambio y al aprendizaje sobre
aspectos de seguridad.
Nivel medio de sensibilidad
En este nivel las personas están dispuestas a aprender sobre la gestión y las políticas que se van
a llevar a cabo para la seguridad de la información en la organización. Estas personas también
son receptivas al cambio y al aprendizaje.
Apatía, desinterés o rechazo
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 31
Las personas son reacias al cambio y al nuevo aprendizaje organizacional, no son dadas a la
colaboración entre el personal y al manejo de temas de seguridad de la información.
6.3 Niveles de acceso a la información
Es importante tener en cuenta que para el manejo de un entrenamiento puede realizarse énfasis
en quienes poseen un mayor manejo de información a quienes ocasionalmente tienen acceso a
ella, debido a que “el control de acceso incluye también la necesidad de mantener la seguridad
en las comunicaciones y la integridad de los datos” [7], esto se maneja dependiendo de la
cultura y políticas de seguridad de la organización, pues puede presentarse combinaciones
dentro de esta misma categoría (niveles de acceso a la información), es decir un espectador
puede tener en algunos casos acceso a la información como privilegiado, lo cual implicaría que
para este aplicarían las normas de ambos niveles.
Administrador
Es quien tiene prácticamente el control total para poder crear, modificar y eliminar información
de la organización, además puede asignar los permisos requeridos para cualquier otro nivel de
acceso y su asignación [5].
Usuario privilegiado
Los usuarios privilegiados tienen permisos especiales debido a su posición dentro de la
organización, tales como crear o modificar información sensible de la organización. Dichos
permisos dependen de lo definido por el administrador [5].
Espectador o Visor
Ingeniería de Sistemas CIS0910SD04
Página 32
En este nivel se encuentran todos los demás usuarios [5] con alguna posibilidad de acceso a la
información de la organización. El espectador solo puede visualizar la información sin la
posibilidad de algún privilegio sin una estricta autorización de un nivel de acceso superior.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 33
7. Medios para la obtención del conocimiento y colaboración en
seguridad de la información
El objeto de crear una conciencia en seguridad, es el hecho de dar al talento humano de la
organización el conocimiento necesario para obtener de él un buen manejo de las políticas de
seguridad [1] y una colaboración en la reducción de riesgos en la organización [9].
Para el cumplimento de lo anterior debe tenerse claridad sobre los procedimientos que deben
llevarse a cabo para la orientación del talento humano en cuanto a las vulnerabilidades
organizacionales y la forma como puede colaborar a la organización.
7.1 Motivación para el talento humano
Motivación se define como el motor que mueve a las personas a hacer lo que hacen [12]. En
este sentido y partiendo de que la disposición del talento humano es la que llevará al éxito o
fracaso de los esfuerzos para avanzar y mantener los niveles de seguridad, la promoción de la
motivación debe ser la primera meta a alcanzar como parte de un programa de entrenamiento en
seguridad de la información en la organización, para así obtener la colaboración y el
conocimiento de cada uno de los integrantes del talento humano.
Los métodos de motivación pueden ser monetarios y no monetarios [10] como forma de
incentivo [12], donde los primeros son recompensas en dinero por una buena labor y los
segundos se encargan de subir el ego profesional y dar reconocimiento al compromiso con la
seguridad.
Como ejemplo para los no monetarios está el elogiar públicamente un buen desempeño o de lo
contrario decir la falla de forma personal y dando corrección al resultado, mostrando paciencia
Ingeniería de Sistemas CIS0910SD04
Página 34
y sin repetir constantemente algo relacionado con el error cometido, a menos que sea necesario,
para no afectar la confianza y la disposición a la colaboración [10], [12].
Existen otros tipos de motivación tales como miedo y desarrollo personal; el primero podría
darse por problemas económicos en la organización o por la llegada de personal más calificado
que amenaza la permanencia de la persona en el cargo y podría afectar el nivel de sensibilidad y
receptividad; el segundo, que es el más recomendado y al cual se hace mayor referencia en este
trabajo, se deriva de una política organizacional y permite que el talento humano se motive al
saber que está adquiriendo nuevos conocimientos gracias a su trabajo y la organización [12].
Es importante tener en cuenta que los logros de una organización no son de uno solo si no de
todo el grupo de personas que trabajan en ella [10], por esto el reconocimiento de su labor y
contribución es una forma de mantener un talento humano motivado y con la certeza de que
colaborará en lo que sea necesario para que su organización prospere.
7.2 Actividades colaborativas por parte de los grupos por
competencias
Es importante que durante el entrenamiento en seguridad de la información en la organización
se establezcan las actividades que realizará cada uno de los grupos propuestos en la división por
competencias para la colaboración en su realización y éxito.
El método propuesto consiste entonces en que cada uno de estos grupos ayudará a otros grupos
o personas, convirtiéndose en gestores de conocimiento en seguridad de la información,
asegurando a su vez la colaboración en este aspecto dentro de la organización, ventajas
competitivas y el crecimiento personal [6].
Para la definición de las actividades propuestas se utilizaron algunas de las descritas por J.
Fernandez [6], E. Van Den Berghe [10] y A.Bruce y J. Pepitone [12], las cuales dan una forma
adecuada de crear y gestionar el conocimiento del talento humano.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 35
Grupo Actividad
Ejecutivo
Crear incentivos [10] para lograr la
colaboración de los demás grupos.
Involucrar al talento humano de la
organización en la planificación y el
desarrollo [12] de las políticas de seguridad de
la información.
Dar facultad al talento humano para que
participe activamente [12] reportando fallos y
dando sugerencias para el modelo de
seguridad [1].
Dar confianza e importancia a cada cargo en
la organización [10].
Permitir que cada grupo desarrolle el potencial
de los demás [12].
Aprender de todo cuanto sucede en la
organización y transformarlo en nuevas
estrategias para el control de la seguridad [10]
[12].
Directivo
Crear una cultura de colaboración en la
organización [6].
Despertar el sentido de pertenencia a la
organización [10].
Tener una relación directivo-empleado que
influya positivamente en la motivación [12].
Dar participación al talento humano [12] para
Ingeniería de Sistemas CIS0910SD04
Página 36
el evaluar los procedimientos que se están
llevando a cabo en seguridad.
Dar confianza e importancia a cada cargo en
la organización [10].
Cumplir con los incentivos fijados por los
ejecutivos para el talento humano.
Administrativo
Difundir la cultura de colaboración en toda la
organización [6].
Escuchar o atender sugerencias [12] por parte
de todo el talento humano, para la mejora en
seguridad de la información.
Dar confianza e importancia a cada cargo en
la organización [10].
Mantener informados a los directivos sobre la
colaboración, manejo y errores del talento
humano para el control y cumplimiento de las
actividades de motivación.
Operativo
Ser consientes de sus responsabilidades dentro
del proceso y colaborar siempre que sea
necesario [6] [12].
Ser generadores de conocimiento en seguridad
para la organización y sus compañeros [12].
Dar confianza e importancia a cada cargo en
la organización [10].
Tabla 2 Actividad colaborativa
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 37
8. Estructura del entrenamiento
Teniendo clara la división que puede hacerse del talento humano para la organización del
entrenamiento, seguido de un método de motivación y repartición de tareas asociadas a cada
uno de los grupos como regla base para la comunicación de los diferentes problemas en
seguridad de la información, se pueden ahora desarrollar paso a paso las actividades de
organización, realización, divulgación y evaluación del entrenamiento en seguridad de la
información.
8.1 Estrategia de entrenamiento por niveles de madurez
Como se estableció, para cada nivel de madurez existe un área de proceso que describe la
evolución del entrenamiento, lo que conlleva a la creación de un método.
Este método consta de actividades, basadas en el libro de A. Bruce y J. Pepitone [12] y
complementadas por Javier Fernández [6] y E. Van Den Berghe [10], que deben tenerse en
cuenta para la organización de las estrategias de entrenamiento según el nivel de madurez en el
que se encuentre la organización.
En el siguiente cuadro se encuentran las actividades a realizar dentro del entrenamiento de
seguridad de la información al talento humano de la organización para cada uno de los niveles
de madurez:
Ingeniería de Sistemas CIS0910SD04
Página 38
Nivel de madurez Actividad
Inicial Pueden existir personas encargadas de algunos aspectos de seguridad
ya sea física o digital, en este caso:
Existen controles mínimos e informales por parte de algunos
empleados de la organización preocupados por la seguridad
de la información que manejan en su trabajo.
Iniciar diálogos con el talento humano para identificar
posibles estrategias de entrenamiento y toma de conciencia
[10].
Intuitivo De acuerdo con las políticas establecidas y los recursos
asignados :
Permitir que el talento humano exprese sus ideas,
necesidades y problemas respecto a la seguridad de la
información [12].
Generar necesidad de aprendizaje por medio del
entrenamiento a diseñar [12].
En el caso de contratación de un formador para el
entrenamiento se le debe informar de las ideas y necesidades
de la organización [12].
Incluir el aprendizaje por experiencia apoyado por prácticas
en el entrenamiento [12].
Identificar que los factores motivan al talento humano de la
organización [10].
El gerente debe tener la capacidad de formar un equipo de
colaboradores para la asignación de responsabilidades y
delegar funciones para el desarrollo y mantenimiento del
entrenamiento en seguridad de la información [10].
Elegir las herramientas y los medios que se ajusten mejor a
los objetivos del entrenamiento y su audiencia.
Mejorar la comunicación entre los niveles, rompiendo
barreras jerárquicas [10].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 39
Definido Inicio del entrenamiento en seguridad de la información para el
talento humano:
Informar con exactitud al talento humano los objetivos del
entrenamiento en seguridad de la información [12].
Iniciar el entrenamiento y la distribución de información
justo a tiempo [12].
Los gerentes y directivos deben ser participativos, flexibles y
tolerantes con el talento humano al momento de dar
motivación y transmitir información [6], [12].
La gerencia y directivos deben ponerse a disposición para el
desarrollo del entrenamiento.
Conseguir que el talento humano sea coherente, dinámico y
decisorio [10].
Implantación sistemática del entrenamiento en seguridad de
la información [6].
Formación del personal en los aspectos más importantes de
seguridad en la organización [6].
Permitir al talento humano desarrollar planes de acción para
poner su conocimiento en práctica [12].
Hacer que el talento humano olvide los métodos intuitivos o
informales que no funcionan [12].
Gestionado y medible El entrenamiento está implementado totalmente en la organización:
Las herramientas utilizadas para el entrenamiento deben
permanecer almacenadas y disponibles para el talento
humano [6].
Se deben generar constantemente deseos de participación en
los entrenamientos ya sea como instructores o asistentes [6].
Revisar los planes de acción tomados por el talento humano
para la implementación de su nuevo conocimiento en
seguridad [12].
Generar una cultura de colaboración en distribución de la
Ingeniería de Sistemas CIS0910SD04
Página 40
información convertida en conocimiento [6].
Realización de encuestas o evaluaciones al talento humano,
para tener medición cualitativa de la calidad del
entrenamiento, transmisión de conocimientos y la
aplicabilidad en el espacio de trabajo.
Óptimo El entrenamiento para el talento humano es continuo y lleva un
proceso de mejora permanente:
Los gerentes y directivos se preocupan por la generación de
un estado mental de aprendizaje continuo en el talento
humano [6].
Existe una dinámica de gestión de cambio continuo en
técnicas, tecnologías y políticas de seguridad de la
organización [6].
Se seleccionan los mejores planes de acción creados por el
talento humano como punto de partida dentro de la
organización (benchmarking) [10], [12].
Tabla 3 Actividad estratégica de entrenamiento
8.2 Herramientas para el diseño del entrenamiento
En el momento de iniciar el diseño de la campaña que se realizará dentro del entrenamiento
debe tenerse en cuenta qué presupuesto ha sido asignado para este fin y con este elegir la mejor
manera de llegar al talento humano por medio de herramientas informativas, que les brindarán
conocimiento sobre el modelo de seguridad de la información y sus políticas.
Considerar esta parte del entrenamiento como una inversión y no como un gasto es relevante
para la organización puesto que será lo que permitirá realizar un entrenamiento con los
estándares necesarios para el éxito y no uno que llegará a unos pocos o fracasará por minimizar
en costos. Además permitirá tener una nueva situación en nivel de seguridad, generando
utilidades, participación, sensibilización y conocimiento, entre otras [24].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 41
Otro elemento a tener en cuenta antes de escoger las herramientas que se utilizarán para el
entrenamiento es la de evitar generar frustración [24], pues un logotipo, un mensaje mal
diseñado o un conferencista inadecuado para la audiencia, puede causar efectos contrarios en el
talento humano o la no receptividad del mensaje que realmente se quiere trasmitir. Para que
esto no ocurra, se debe tener en cuenta los objetivos del entrenamiento y el tipo de audiencia
que se está manejando [22].
Existen diferentes herramientas que permitirán lograr el éxito del entrenamiento según la
división de la audiencia que se haya realizado, los objetivos planteados y la realidad que vive la
empresa económicamente y en su interés por la seguridad de la información. Teniendo esto
claro puede entonces escogerse la mejor forma de llegar a la audiencia objetivo, optando por
una o mezclando diferentes herramientas.
En los siguientes cuadros se encuentran las posibles herramientas a usar para el entrenamiento y
algunos materiales que las representan, junto a una breve descripción de ventajas y desventajas
que se obtendrá con su utilización, basado en los libros de publicidad de W. Arens [22], O.
Aprile [23] y D. Parra y C. Herrera [24] y temas de metodologías de aprendizaje H. Aebli [25],
J.M. Serrano [26].
Herramienta Gráfica
Materiales Anuncios
Folletos
Afiches
Carteles
Manuales
Circulares
Boletines
Descripción Ventajas
Estas herramientas tienen la capacidad de ser más selectivas para
las diferentes audiencias y de lograr una máxima exhibición y
despliegue de la información [22], [23].
Da flexibilidad a la publicidad y manejo de información [22].
Ingeniería de Sistemas CIS0910SD04
Página 42
Permite ofrecer una mayor credibilidad al dar la profundidad
necesaria para que el talento humano logre la comprensión de los
mensajes [22], [23].
Ofrecen una mayor disponibilidad ante el talento humano a
diferencia de otros medios [23].
Brinda toda una gama de opciones que le dan adaptabilidad a la
herramienta dentro del entrenamiento, relacionando tamaño,
ubicación y costo [23].
Es una de las herramientas que permite mayor cobertura en el área
geográfica de la organización [23].
Con esta puede presentarse de forma clara las características y
atributos del tema de entrenamiento [28].
Puede presentarse la información junto a objetos o personajes que
le da un significado o cualidad especial que causará un efecto de
interés y curiosidad a la audiencia [28].
Permite manejar contextos reales, situaciones, personajes y objetos
con semejanza a la vida real o el irreal, manejando situaciones
fantásticas, imaginarias que le dan creatividad y originalidad a la
información presentada por esta herramienta [28].
Desventajas
Estas herramientas pueden no ser inmediatas cuando se requiera dar
una información importante en el menor tiempo posible [22].
Existe cierta incapacidad de un manejo masivo a bajo costo en
algunos de los materiales [22].
Puede presentarse zapping, lo cual se refiere a que el talento
humano puede no fijarse en alguna información puesta en esta
herramienta [23].
A veces las imágenes son limitadas en cuanto a comunicación y
transmisión de la información, por lo que siempre debe
complementarse por un elemento verbal, es decir texto [28].
Tabla 4 Herramienta Gráfica
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 43
Herramienta Tecnológica
Materiales e-mail
Multimedia
Banner
Página Web
Foros web
Redes sociales
Descripción Ventajas
Permite interactividad entre la gerencia y los demás grupos de la
división del talento humano [22].
Se tiene un total cubrimiento de la audiencia objetivo [22].
Brinda inmediatez de envío, actualización y corrección a los
mensajes informativos o de publicidad del entrenamiento [22], [23].
Da una mayor y precisa selectividad de audiencia y control según el
material que se utilice, alcanzando mayores niveles de eficacia [22],
[28].
Comunicación de la información de forma completa y exhaustiva
[22].
La información puede llegar en horarios fuera del laboral [22].
Ofrece una combinación entre artes, comunicación y técnicas [23].
Gran capacidad multimedia: texto, imagen, video, animación y
audio. Permitiendo de forma dinámica que el talento humano tenga
una mayor posibilidad de impacto y receptividad del mensaje [23].
Personalización: permite adaptar la información a la audiencia,
según su competitividad, sensibilidad y acceso a la información de la
organización [28].
Desventajas
Las descargas lentas pueden desmotivar a que la audiencia vea la
información [22], [23].
Pueden existir problemas en la entrega de la información al talento
humano debido a correos llenos o fallas en el momento de envío
[22].
Ingeniería de Sistemas CIS0910SD04
Página 44
En horarios fuera del laboral puede no ser accesible para todo el
talento humano de la organización [23].
Puede presentarse que el talento humano no se fije en alguna
información puesta en esta herramienta por encabezados poco
interesantes o equivocados [22].
Tabla 5 Herramienta tecnológica
Herramienta Guía organizacional y/o por expertos
Materiales
Congresos
Conferencias
Seminarios
Foros
Talleres
Cursos
Reuniones de grupo
Descripción Ventajas
Esta herramienta permite dar una evaluación cuantitativa de lo
logrado en cuanto a conocimiento y curiosidad generado en el
talento humano, durante el entrenamiento en seguridad de la
información.
Se obtiene la enseñanza masiva con métodos didácticos que
permiten encontrarse con experiencias cotidianas en seguridad de la
información [25].
Permite la realización de ejercicios en tiempo real sobre problemas
de seguridad que pueden presentarse en la organización, para
construir una solución conjunta a este [25].
Logra enfocar y guiar a la audiencia hacia la comprensión del tema
objetivo [25].
Consigue ligar a la audiencia de tal forma que se logre un
aprendizaje colaborativo [26].
Permite la utilización de motivación personal y directa entre
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 45
compañeros y de gerente a empleado [26].
Solución de dudas de la audiencia en tiempo real [27].
Desventajas
Puede no ser tan inmediata con respecto a otras herramientas en el
momento de dar información [23].
Es una herramienta que puede ser en algunas ocasiones poco
interactiva por falta de motivación, temor de la audiencia a participar
o desinterés [27].
En caso de no manejar el tiempo puede perderse la opinión de
algunas personas de la audiencia.
Tabla 6 Herramienta guía organizacional y/o por expertos
8.3 Método de distribución de la información
Tener en cuenta la comunicación como una parte estructurada del entrenamiento llevará a la
organización al logro de los objetivos específicos y la concientización del talento humano en los
aspectos de la seguridad de la información [22].
Teniendo definida(s) la(s) herramienta(s) y el o los materiales a utilizar para el entrenamiento se
debe establecer el método por el cual esto será distribuido y la ejecución de la comunicación de
la información pertinente de seguridad de la información al talento humano [23].
La gerencia puede escoger entre diferentes tipos de distribución como los son: la selectiva,
donde cada material incluido en el entrenamiento depende del tipo de división de audiencia
seleccionado; la intensiva, la cual se presenta de forma continua en la organización dando
disponibilidad completa a los materiales utilizados; por último, la exclusiva, es decir, se le dará
la información solo a ciertos individuos pertenecientes al talento humano de la organización
[22].
En el siguiente cuadro se dan algunos de los métodos a tener en cuenta para la distribución y
comunicación del entrenamiento; sin embargo la organización, según su capacidad creativa y
monetaria, es libre de incluir tantas actividades como lo considere adecuado:
Ingeniería de Sistemas CIS0910SD04
Página 46
Herramienta Método de comunicación y distribución
Gráfica Según el material diseñado para esta herramienta:
Ser visible para la audiencia a la que va
dirigida.
Prestar atención que la herramienta empleada
sea del conocimiento de todo el talento humano
en la organización.
Buscar los lugares más concurridos de la
organización para colocar las carteleras,
afiches, entre otros, sin saturar de información
por medio de esta herramienta ya que podría
tener efectos negativos en la audiencia [12],
[23].
Para lograr la mayor capacidad de impacto,
estos deben mantenerse en una misma
ubicación durante un periodo largo, ya que
permite un contacto visual repetido incluso
durante el mismo día [28].
Mucha de esta información puede terminar en la
basura [22], por esto es importante que el
mensaje quede en la mente de su receptor
enfatizándolo en otros materiales que sean de
mayor permanencia o requiriéndolos para
utilización posterior [23].
Esta herramienta puede utilizarse como un
medio troncal o de apoyo para las demás
herramientas, es decir como un complemento
de información o refuerzo de conocimiento
[23].
Pueden tenerse anunciantes que ayuden a la
motivación de la lectura de la herramienta
grafica que invita al talento humano al
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 47
aprendizaje de temas de seguridad de la
información [22].
Debe tenerse en cuenta que para una buena
distribución del material debe mostrarse el
título de la información a presentar y sus
características más significativas [28].
Aprovechar este medio para que el material
utilizado tenga circulación mano en mano y no
sea necesario realizar impresiones para cada
uno de los empleados [28].
Tecnológica Según el material diseñado para esta herramienta:
Deben realizarse páginas atractivas pero que no
tarden en cargarse [23].
Para una mejor comunicación de la información
mediante esta herramienta la navegación debe
ser intuitiva [23].
En caso de realizarse una página esta debe
promocionarse por otras herramientas o utilizar
otros materiales de este tipo como banners [23].
Se debe potenciar con esta herramienta la
interactividad mediante juegos, música y todo
tipo de recursos disponibles para el
entendimiento e interés del talento humano
[23].
Los mensajes deben orientarse al máximo para
evitar posibles distracciones o dispersión de la
información allí presentada y el talento humano
[23].
La información contenida en esta herramienta
debe ser actualizada periódicamente y ser
atractiva y original para el talento humano [23].
Al brindar información por algunos de los
materiales de esta herramienta debe tenerse en
Ingeniería de Sistemas CIS0910SD04
Página 48
cuenta que mucha información sin creatividad
puede aburrir a la audiencia, por lo que debe
realizarse de forma breve, dando a conocer el
tema, destacar la ventaja y desventaja más
importante y las formas de solución a este [28].
Los mensajes deben construirse con base en la
información de seguridad y los conocimientos
que allí se destacan, para transmitir un concepto
claro y que atraiga el interés de la audiencia
[28].
Se debe garantizar por esta herramienta una
comunicación que incluya veracidad,
credibilidad y estimulación sobre la relevancia
y significancia de la seguridad de la
información para el talento humano y la
organización [29].
Debe tenerse un método de control de la
comunicación y distribución de la información
sobre estos medios para garantizar la integridad
de la información allí colocada [29].
Guía organizacional y/o por expertos Según el material diseñado para esta herramienta:
Algunos de estos necesitan anuncios gráficos
base como: boletines, afiches o circulares o
tecnológicos como banners o e-mails.
Para esta herramienta debe tenerse en cuenta los
aspectos de motivación planteados que tendrá la
organización para los empleados.
Dentro de la comunicación debe tenerse en
cuenta como primer paso una explicación de la
organización a todo el talento humano, un
segundo paso es mostrar la importancia de ellos
dentro de la organización, es decir cómo estará
generando beneficios para él y la organización,
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 49
y el tercero, animar al talento humano para
intente hacer su trabajo diferente, a realizar
aportes de mejora y toma de riesgos que den
beneficios a la seguridad de la información
[12].
Todo aquello que se hable, como la solución de
problemas, aportes para la mejora de las
estrategias, acuerdos entre la gerencia y demás
talento humano, entre otros, debe ser
documentada y tenida en cuenta [12].
Para la comunicación de información por esta
herramienta los encargados deben asegurarse de
que el talento humano está involucrado y
sintonizado con el tema [12].
Para una buena distribución de información por
esta herramienta es necesario fijarse en una sola
línea de acción para así poder brindar la
información correcta a la audiencia correcta
[12].
La comunicación puede ser personal, es decir,
el receptor se puede comportar como emisor y
viceversa, dando la capacidad de interactuar
[29].
Debe garantizarse la interiorización, es decir, la
persona encargada de la comunicación debe
permitir que su conocimiento se convierta en el
de los demás [30].
El aprendizaje debe realizarse por medio de la
repetición, imitación, la aplicación de
recompensas [30].
Debe tratarse en lo posible, que por medio de
esta herramienta el trabajo sea grupal, para
obtener mejores resultados y una mayor
Ingeniería de Sistemas CIS0910SD04
Página 50
participación de la audiencia [12], [30].
Debe asegurarse de que el emisor se comunique
y se exprese perfectamente, para asegurase que
el receptor tiene una excelente comprensión de
la información [30].
Tabla 7 Método de comunicación y distribución
8.4 Evaluación del entrenamiento
Debido a que el entrenamiento es un proceso constante para el talento humano, es relevante que
la gerencia se encuentre informada sobre el éxito o fracaso que esté significando los esfuerzos,
herramientas de comunicación y distribución, motivación entre otras, para lograr, la
colaboración, buen desempeño de las tareas y el conocimiento del sistema de seguridad de la
información de la organización, por parte del talento humano.
Existen muchas posibilidades de conocer este tipo de situaciones dentro de una organización,
como son encuestas, evaluaciones de conocimiento, de desempeño, entre otras, las cuales deben
ser escogidas antes del inicio del entrenamiento, para ser aplicadas en el momento en que se
concluyan procesos, se comiencen a ver resultados, se requieran mejoras o no se vean
resultados del entrenamiento por parte del talento humano.
Dentro de esta sección se da un posible formato de evaluación para ser utilizado después de un
tiempo de estar llevando a cabo el entrenamiento, para el cual se tomó como guía el “Formato
de evaluación del desempeño [31]”.
En el formato se tienen en cuenta diferentes aspectos del evaluado (audiencia del proceso de
entrenamiento) como lo son: conocimiento, cantidad de trabajo, calidad del trabajo, iniciativa
y cooperación; es posible que según la organización, sus intereses y creatividad puedan
agregarse o modificarse.
Conocimiento: Se considera el conocimiento del empleado adquirido mediante el
entrenamiento en seguridad de la información.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 51
Cantidad de trabajo: Cantidad de trabajo producido y colaboración en condiciones normales,
para el mejoramiento de la seguridad de la información.
Calidad del trabajo: Se tienen en cuenta la pulcritud, confiabilidad y resultados obtenidos al
aplicar el conocimiento y responsabilidades de seguridad de la información.
Iniciativa: Tendencia del empleado a contribuir, desarrollar y generar nuevas ideas para la
seguridad de la información.
Cooperación: Considere la manera de relacionarse y prestación de ayuda y apoyo a sus
compañeros del trabajo.
Nombre Apellido
Cargo
Fecha última
evaluación
Departamento Periodo evaluado
Programa(s) de
entrenamiento
asistido(s)
Nombre del evaluador
Instrucciones Evaluación
Para las siguientes preguntas responda con
el número indicado entre 1 y 5, de forma
sincera y según el trabajo realizado
Escriba 1 : Lo cumple 2: Ha mejorado 3: Ha
cambiado poco 4: No ha cambiado y 5: Ha
desmejorado
Aspectos Preguntas Eval. Observaciones
Conocimiento
¿Está bien informado sobre las políticas de
seguridad del a información de la organización?
¿El conocimiento en seguridad de la
información es suficiente para realizar sólo las
labores que le corresponden?
¿Tiene dominio de las políticas, los planes de
acción y soluciones a los problemas de
seguridad?
Ingeniería de Sistemas CIS0910SD04
Página 52
Cantidad de
trabajo
¿Produce un buen volumen de ideas para las
mejoras en seguridad de la información?
Comparado con el promedio.
¿Participa activamente en los eventos
programados para el entrenamiento en
seguridad de la información?
¿Ayuda de forma permanente a sus compañeros
para mejorar el conocimiento en seguridad de
la información en la organización?
¿Lleva a cabo las actividades que le
corresponden para la guía de la organización en
la mejora de la seguridad de la información?
Calidad del
trabajo
¿No comete errores en los procesos guía para la
organización en la mejora de la seguridad de la
información?
¿Tiene en cuenta las políticas de seguridad de
la información en su trabajo cotidiano?
¿Cumple con las actividades de seguridad de la
información asignadas sin necesidad de ser
revisadas por un superior o ayudante?
Iniciativa
¿La iniciativa hacia la producción de ideas para
el control de seguridad de la información ha
sido relevante para la organización?
¿Ha participado de las actividades programadas
para el entrenamiento sin problemas o sin la
presión de un superior?
¿Necesita de gran motivación para realizar sus
responsabilidades con la seguridad de la
información?
Cooperación
¿Colabora esmeradamente a su equipo de
trabajo en el conocimiento de la seguridad de la
información? Sin reparo de tiempo ni por lo
que tiene que hacer.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 53
¿Ayuda a definir nuevas políticas, procesos,
soluciones entre otras para mejorar el sistema
de seguridad de la información?
¿Informa de errores o posibles deficiencias del
sistema de seguridad de la información de
forma continua?
Tabla 8 Formato de evaluación
Ingeniería de Sistemas CIS0910SD04
Página 54
9. Guía
9.1 Introducción
El diseño de esta guía, parte de la búsqueda de información y el análisis sobre la seguridad de la
información en las organizaciones, esto permitió crear un cuerpo base de la guía haciendo
énfasis en el nivel de madurez de seguridad de la información y el entrenamiento para generar
conciencia en el talento humano.
Así mismo se presenta en la guía unos lineamientos que permiten el diseño exitoso de un
programa de entrenamiento en seguridad de la información, finalizando con una evaluación
periódica que debe realizarse para lograr alcanzar o mantener un nivel de madurez y
entrenamiento óptimo. Sin embargo estos lineamientos no son un procedimiento detallado ni
estricto, la organización puede realizar los cambios que crea conveniente según su cultura y
políticas.
9.2 Guía para el entrenamiento en seguridad de la información
teniendo en cuenta su nivel de madurez
Dentro de esta sección se encontrarán los pasos a seguir para la utilización de la guía en el
proceso de inclusión de la seguridad de la información en la organización.
La guía se compone de los siguientes pasos:
1: Análisis del nivel de madurez de la organización.
2: Definición de audiencias para el entrenamiento en seguridad de la información.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 55
3: Definición de estrategias para obtener del talento humano colaboración hacia los procesos en
seguridad de la información.
4: Diseño estructural del entrenamiento en seguridad de la información.
5: Evaluación del progreso del talento humano y la organización en seguridad de la
información.
9.2.1 Paso 1: Análisis del nivel de madurez de la organización
Una organización interesada en obtener buenos resultados en seguridad de la información
teniendo en cuenta el talento humano, debe definir como primer paso en la estrategia de
concientización y entrenamiento la identificación de su estado inicial, es decir, el
reconocimiento que se tiene en cuanto a objetivos, procedimientos, asignación de recursos
económicos, capacidad informativa hacia el talento humano de la organización, entre otros
aspectos caracterizados en los diferentes niveles de madurez.
A continuación se describen cada uno de los niveles de madurez en seguridad de la
información:
Nivel 0:
No existe
No hay un proceso identificable de seguridad de la información dentro de la organización.
No se ha reconocido un problema a resolver [2]; y por ende no existe una comunicación del
tema hacia el talento humano.
Nivel 1:
Inicial
Se reconoce la necesidad de la seguridad de la información dentro de la organización, pero
no se ha realizado una evaluación para establecer las falencias existentes, por lo que los
controles establecidos son informales y no cubren todos los posibles riesgos. Se depende
Ingeniería de Sistemas CIS0910SD04
Página 56
únicamente del conocimiento y pertinencia de las personas encargadas del sostenimiento de
los activos de información y se tiene una comunicación esporádica sobre los temas y
enfoques para darles solución [2].
Nivel 2:
Intuitivo
Existe conciencia y gestión sobre algunos temas de seguridad de la información, donde se
incluyen procesos de planeación y supervisión, que permiten identificar posibles incidentes
de seguridad; sin embargo estos procesos no han sido adoptado totalmente dentro de la
organización, por lo que la comunicación de estándares y responsabilidades pertenece solo
a las personas encargadas y es probable que los demás empleados de la organización y la
gerencia no se sientan totalmente involucrados, dando como resultado que los procesos y
herramientas no se usen adecuadamente [2].
Nivel 3:
Definido
La importancia de un buen manejo de seguridad de la información se reconoce por parte de
la gerencia y es comunicado hacia la organización teniendo en cuenta la mayoría de temas y
soluciones planteados en sistemas de gestión de la seguridad de la información (SGSI)
como el ISO/IEC 27001 [1]. Los procesos de control se encuentran estandarizados y se
documentan, prueban y aprueban. El proceso de entrenamiento se encuentra establecido
pero aun está limitado a auto aprendizaje en temas genéricos, por lo que dificulta la buena
comunicación de los posibles problemas de seguridad en la organización y la participación
completa de la misma [2].
Nivel 4:
Gestionado y medible
La organización tiene un entendimiento completo del manejo de la seguridad por medio de
un modelo que ha sido definido y desarrollado siguiendo las mejores prácticas; se realizan
pruebas constantes para la recolección de métricas [2], para de esta manera evaluar la
efectividad del sistema de gestión dentro de la organización. Las responsabilidades de los
empleados son claras y se tiene conciencia de los riesgos y de la importancia de la
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 57
seguridad en la organización. Todas las actividades que se realizan son registradas para la
medición del desempeño del modelo de seguridad [2].
Nivel 5:
Óptimo
La organización tiene una comprensión total, avanzada y a futuro de los temas y soluciones
de seguridad de la información. Además de lo alcanzado en el nivel anterior el
entrenamiento y la comunicación se realizan periódicamente con conceptos y técnicas
avanzadas. Con base en resultados cuantitativos y cualitativos se mantiene una mejora y
control continuo del modelo de seguridad y la gerencia participa activamente brindando
herramientas para mejorar calidad, monitoreo, auto-evaluación y la comunicación completa
del modelo de seguridad hacia la organización, contando con la colaboración cercana del
talento humano en la utilización de estas herramientas [2].
El proceso de identificación del nivel de madurez en el cual se encuentra la organización debe
llevarse a cabo con base en las descripciones anteriores y las áreas de proceso correspondientes
a cada nivel que se encuentran en el Anexo 1G.
Para que la organización se encuentre en alguno de los niveles presentados en la ilustración 1,
es necesario que cumpla exactamente cada una de las especificaciones contenidas dentro de
cada nivel, junto a las áreas de proceso de niveles anteriores y las especificadas en el nivel que
se encuentra.
Ingeniería de Sistemas CIS0910SD04
Página 58
Ilustración 1 Niveles de madurez
Se sugiere la realización de evaluaciones internas frecuentes a cada una de las áreas de proceso,
por lo que la guía cuenta con algunos parámetros a tener en cuenta dentro de las evaluaciones y
una especificación de preguntas para el plan de entrenamiento, ver Anexo 2G.
9.2.2 Paso 2: Definición de audiencias para el entrenamiento en seguridad de la
información
Este paso debe realizarse con el fin de tener una división correcta del talento humano de la
organización, para convertirlo en la audiencia durante el proceso de entrenamiento, logrando así
que se capte mejor la información que se dará a conocer, se escoja un mejor método de
distribución de información, se motive positivamente y se mantenga la pro actividad dentro de
cada grupo de audiencia.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 59
Después de realizar un análisis exhaustivo dentro de la organización sobre las necesidades
existentes en seguridad de la información y un posicionamiento en los niveles de madurez se
tiene el objetivo de encontrar las diferentes audiencias que existen en una organización y el
diseño de un plan de entrenamiento, los encargados de realizar este paso deben clasificarlas
según sus políticas y cultura organizacional.
Sin embargo en esta guía se presentan posibles divisiones del talento humano, dando prioridad a
las competencias, responsabilidades y autonomía de decisión en la organización ya que este es
un aspecto relevante dentro del proceso de entrenamiento, como se muestra en la ilustración 2 y
se explica en el Anexo 3G.
Ilustración 2 Clasificación del talento humano
Es posible para este aspecto combinar la competencia del talento humano con las demás
clasificaciones dadas en esta guía o las que la organización desee manejar, siempre y cuando
contribuya al éxito del entrenamiento.
Después del análisis de las áreas de proceso para cada nivel y la división por competencias del
talento humano de la organización, podría por ejemplo realizarse una clasificación de acuerdo a
Ingeniería de Sistemas CIS0910SD04
Página 60
su interés por el entrenamiento o por los permisos que tiene cada uno de los grupos contenidos
en esta para acceder a la información.
9.2.3 Paso 3: Definición de estrategias para obtener del talento humano
colaboración hacia los procesos en seguridad de la información
Para obtener del talento humano el conocimiento que tiene sobre seguridad de la información y
a través de esto conseguir el mejoramiento y nuevas propuestas para escalar en los niveles de
madurez de la organización, es necesario que la gerencia, directivas y encargados diseñen
estrategias que faciliten este hecho, esto teniendo en cuenta la división realizada en el paso 2.
En este paso se muestran algunas posibilidades (ilustración 3), para que la gerencia y directivas
las analicen y apliquen antes, durante y después del entrenamiento.
Ilustración 3 Obtención de conocimiento y colaboración [32], [33].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 61
La motivación como primer aspecto permitirá que los ejecutivos, directivos y jefes de área de
la organización tengan un encuentro más cercano con sus empleados o personas a cargo,
dándoles mayor confianza y seguridad, para obtener de ellos mejores resultados en cuanto al
trabajo que deben realizar para la comunicación, mantenimiento y mejora de la seguridad de la
información y generando interés por estos aspectos de forma continua, es decir, lograr el
aumento del nivel de sensibilidad2 en el talento humano.
Por otra parte las actividades colaborativas permiten una integración total del talento humano en
pro de alcanzar el nivel óptimo en seguridad de la información y una estructura de actividades
específicas para cada grupo de la audiencia construido en el paso 2, dándoles un papel
importante dentro del proceso de escalonamiento y mantenimiento de los niveles de madurez.
A continuación se describen las actividades de motivación y de colaboración sugeridas para el
entrenamiento en seguridad de la información:
9.2.3.1 Motivación para el talento humano
Motivación se define como el motor que mueve a las personas a hacer lo que hacen [12]. En
este sentido y partiendo de que la disposición del talento humano es la que llevará al éxito o
fracaso de los esfuerzos para avanzar y mantener los niveles de seguridad, la promoción de la
motivación debe ser la primera meta a alcanzar como parte de un programa de entrenamiento en
seguridad de la información en la organización, para así obtener la colaboración y el
conocimiento de cada uno de los integrantes del talento humano.
Los métodos de motivación pueden ser monetarios y no monetarios [10] como forma de
incentivo [12], donde los primeros son recompensas en dinero por una buena labor y los
segundos se encargan de subir el ego profesional y dar reconocimiento al compromiso con la
seguridad.
Como ejemplo para los no monetarios está el elogiar públicamente un buen desempeño o de lo
contrario decir la falla de forma personal y dando corrección al resultado, mostrando paciencia
y sin repetir constantemente algo relacionado con el error cometido, a menos que sea necesario,
para no afectar la confianza y la disposición a la colaboración [10], [12].
2 Por conseguir seguridad de la información en la organización.
Ingeniería de Sistemas CIS0910SD04
Página 62
Existen otros tipos de motivación tales como miedo y desarrollo personal; el primero podría
darse por problemas económicos en la organización o por la llegada de personal más calificado
que amenaza la permanencia de la persona en el cargo y podría afectar el nivel de sensibilidad y
receptividad; el segundo, que es el más recomendado y al cual se hace mayor referencia en este
trabajo, se deriva de una política organizacional y permite que el talento humano se motive al
saber que está adquiriendo nuevos conocimientos gracias a su trabajo y la organización [12].
Es importante tener en cuenta que los logros de una organización no son de uno solo si no de
todo el grupo de personas que trabajan en ella [10], por esto el reconocimiento de su labor y
contribución es una forma de mantener un talento humano motivado y con la certeza de que
colaborará en lo que sea necesario para que su organización prospere.
9.2.3.2 Actividades colaborativas por parte de los grupos por competencias,
responsabilidad y autonomía.
Es importante que durante el entrenamiento en seguridad de la información en la organización
se establezcan las actividades que realizará cada uno de los grupos propuestos en la división por
competencias para la colaboración en su realización y éxito.
El método propuesto consiste entonces en que cada uno de estos grupos ayudará a otros grupos
o personas, convirtiéndose en gestores de conocimiento en seguridad de la información,
asegurando a su vez la colaboración en este aspecto dentro de la organización, ventajas
competitivas y el crecimiento personal [6].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 63
Grupo Actividad
Ejecutivo
Crear incentivos [10] para lograr la
colaboración de los demás grupos.
Involucrar al talento humano de la
organización en la planificación y el
desarrollo [12] de las políticas de seguridad de
la información.
Dar facultad al talento humano para que
participe activamente [12] reportando fallos y
dando sugerencias para el modelo de
seguridad [1].
Dar confianza e importancia a cada cargo en
la organización [10].
Permitir que cada grupo desarrolle el potencial
de los demás [12].
Aprender de todo cuanto sucede en la
organización y transformarlo en nuevas
estrategias para el control de la seguridad [10]
[12].
Directivo
Crear una cultura de colaboración en la
organización [6].
Despertar el sentido de pertenencia a la
organización [10].
Tener una relación directivo-empleado que
influya positivamente en la motivación [12].
Dar participación al talento humano [12] para
el evaluar los procedimientos que se están
Ingeniería de Sistemas CIS0910SD04
Página 64
llevando a cabo en seguridad.
Dar confianza e importancia a cada cargo en
la organización [10].
Cumplir con los incentivos fijados por los
ejecutivos para el talento humano.
Administrativo
Difundir la cultura de colaboración en toda la
organización [6].
Escuchar o atender sugerencias [12] por parte
de todo el talento humano, para la mejora en
seguridad de la información.
Dar confianza e importancia a cada cargo en
la organización [10].
Mantener informados a los directivos sobre la
colaboración, manejo y errores del talento
humano para el control y cumplimiento de las
actividades de motivación.
Operativo
Ser consientes de sus responsabilidades dentro
del proceso y colaborar siempre que sea
necesario [6] [12].
Ser generadores de conocimiento en seguridad
para la organización y sus compañeros [12].
Dar confianza e importancia a cada cargo en
la organización [10].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 65
9.2.4 Paso 4: Diseño estructural del entrenamiento en seguridad de la
información
Tener los aspectos establecidos dentro del paso 3, como una estrategia para mantener el interés
y la colaboración del talento humano frente al proceso de mejoramiento en seguridad de la
información no es suficiente, pues la idea principal es dar a conocer las políticas generadas para
la seguridad de la información, la importancia de estas y como conseguirlas, por lo que debe
entonces plantearse un paso más para la contribución a las estrategias ya definidas por la
organización.
Ya que este paso debe enfocarse en cómo llegarle de manera más formal y dinámica al talento
humano, la organización debe conseguir un buen diseño y desarrollo del entrenamiento en
seguridad de la información, por lo que se hace necesario tener un proceso organizado y
coherente.
En primer lugar, la gerencia3 debe definir los objetivos, personal que se encargará de llevar a
cabo el diseño y desarrollo del entrenamiento y todas las actividades necesarias para un manejo
coordinado, formal y exitoso.
En la guía se presentan algunas pautas a tener en cuenta para el diseño de la campaña, como lo
son: las actividades gerenciales según el nivel de madurez, las herramientas y por último
aspectos sobre la utilización de estas para el desarrollo del entrenamiento en la organización,
como lo muestra la ilustración 4.
3 Ejecutivos y/o directivos.
Ingeniería de Sistemas CIS0910SD04
Página 66
Ilustración 4 Proceso de diseño del entrenamiento
Dentro de la estrategia gerencial se desarrollan las siguientes actividades:
Nivel de madurez Actividad
Inicial Pueden existir personas encargadas de algunos aspectos de seguridad
ya sea física o digital, en este caso:
Existen controles mínimos e informales por parte de algunos
empleados de la organización preocupados por la seguridad
de la información que manejan en su trabajo.
Iniciar diálogos con el talento humano para identificar
posibles estrategias de entrenamiento y toma de conciencia
[10].
Intuitivo De acuerdo con las políticas establecidas y los recursos
asignados :
Permitir que el talento humano exprese sus ideas,
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 67
necesidades y problemas respecto a la seguridad de la
información [12].
Generar necesidad de aprendizaje por medio del
entrenamiento a diseñar [12].
En el caso de contratación de un formador para el
entrenamiento se le debe informar de las ideas y necesidades
de la organización [12].
Incluir el aprendizaje por experiencia apoyado por prácticas
en el entrenamiento [12].
Identificar que los factores motivan al talento humano de la
organización [10].
El gerente debe tener la capacidad de formar un equipo de
colaboradores para la asignación de responsabilidades y
delegar funciones para el desarrollo y mantenimiento del
entrenamiento en seguridad de la información [10].
Elegir las herramientas y los medios que se ajusten mejor a
los objetivos del entrenamiento y su audiencia.
Mejorar la comunicación entre los niveles, rompiendo
barreras jerárquicas [10].
Definido Inicio del entrenamiento en seguridad de la información para el
talento humano:
Informar con exactitud al talento humano los objetivos del
entrenamiento en seguridad de la información [12].
Iniciar el entrenamiento y la distribución de información
justo a tiempo [12].
Los gerentes y directivos deben ser participativos, flexibles y
tolerantes con el talento humano al momento de dar
motivación y transmitir información [6], [12].
La gerencia y directivos deben ponerse a disposición para el
desarrollo del entrenamiento.
Conseguir que el talento humano sea coherente, dinámico y
decisorio [10].
Ingeniería de Sistemas CIS0910SD04
Página 68
Implantación sistemática del entrenamiento en seguridad de
la información [6].
Formación del personal en los aspectos más importantes de
seguridad en la organización [6].
Permitir al talento humano desarrollar planes de acción para
poner su conocimiento en práctica [12].
Hacer que el talento humano olvide los métodos intuitivos o
informales que no funcionan [12].
Gestionado y medible El entrenamiento está implementado totalmente en la organización:
Las herramientas utilizadas para el entrenamiento deben
permanecer almacenadas y disponibles para el talento
humano [6].
Se deben generar constantemente deseos de participación en
los entrenamientos ya sea como instructores o asistentes [6].
Revisar los planes de acción tomados por el talento humano
para la implementación de su nuevo conocimiento en
seguridad [12].
Generar una cultura de colaboración en distribución de la
información convertida en conocimiento [6].
Realización de encuestas o evaluaciones al talento humano,
para tener medición cualitativa de la calidad del
entrenamiento, transmisión de conocimientos y la
aplicabilidad en el espacio de trabajo.
Óptimo El entrenamiento para el talento humano es continuo y lleva un
proceso de mejora permanente:
Los gerentes y directivos se preocupan por la generación de
un estado mental de aprendizaje continuo en el talento
humano [6].
Existe una dinámica de gestión de cambio continuo en
técnicas, tecnologías y políticas de seguridad de la
organización [6].
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 69
Se seleccionan los mejores planes de acción creados por el
talento humano como punto de partida dentro de la
organización (benchmarking) [10], [12].
Después de tener definidas formalmente todas las actividades que debe realizar el talento humano,
se deben definir los instrumentos que se utilizarán dentro del entrenamiento para la distribución y
comunicación de la información. La guía sugiere algunas herramientas como lo son las gráficas,
tecnológicas o guía y algunos métodos distribución, ver el Anexo 4G.
Una vez definidos estos aspectos y realizado un cronograma de actividades relacionadas con las
diferentes herramientas de comunicación de la información, la organización puede iniciar el proceso
de entrenamiento; sin embargo, se recomienda que este proceso sea lento, para verificar que lo
planteado si esté funcionando realmente con la ayuda de la evaluación constante que se presenta en
el paso 1 y paso 5 o de lo contrario estas estrategias deben ser cambiadas o mejoradas, según las
falencias que se presenten.
Para cada nivel deben realizarse constantes cambios a las estrategias, esto en caso de que alguno de
los métodos o herramientas no estén funcionando adecuadamente o ya no causen impacto al talento
humano, es decir, que estos no contribuyan al cumplimiento de los objetivos de seguridad de la
información planteados en el inicio del proceso de mejora, obligando entonces a la organización a
cambiarlos o mejorarlos, tal como lo plantean los niveles de madurez, y así alcanzar el éxito del
entrenamiento.
9.2.5 Paso 5: Evaluación del progreso del talento humano y de la organización en
seguridad de la información
Es indispensable que una vez puesto en marcha el entrenamiento en seguridad de la
información al talento humano en la organización se manejen métodos de evaluación para saber
en qué estado se encuentran los procesos de seguridad de la información; entre estos si el
entrenamiento está funcionando y siendo interiorizado por el talento humano.
En la guía se sugieren algunos aspectos como muestra la ilustración 5.
Ingeniería de Sistemas CIS0910SD04
Página 70
Ilustración 5 Evaluación
Conocimiento: Se considera el conocimiento del empleado adquirido mediante el
entrenamiento en seguridad de la información.
Cantidad de trabajo: Cantidad de trabajo producido y colaboración en condiciones normales,
para el mejoramiento de la seguridad de la información.
Calidad del trabajo: Se tienen en cuenta la pulcritud, confiabilidad y resultados obtenidos al
aplicar el conocimiento y responsabilidades de seguridad de la información.
Iniciativa: Tendencia del empleado a contribuir, desarrollar y generar nuevas ideas para la
seguridad de la información.
Cooperación: Considere la manera de relacionarse y prestación de ayuda y apoyo a sus
compañeros del trabajo.
Sin embargo este es solo un modelo de evaluación opcional (Anexo 5G) que la organización
puede tomar bien sea completo o como base para tener su propio método, esto según las
estrategias definidas desde el paso 2 hasta el 4.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 71
Para finalizar, se espera que al tener un manejo constante de cada uno de los pasos de la guía la
organización logre mejorar su nivel de madurez en seguridad de la información y que el talento
humano se sensibilice y concientice sobre la importancia de manejar correctamente la
información.
Ingeniería de Sistemas CIS0910SD04
Página 72
10. Conclusiones
La utilización de un modelo de madurez permitió a la guía dar un proceso ordenado,
lógico y coherente, para avanzar en cada uno de los aspectos tratados y relacionados a
la seguridad de la información.
El talento humano de una organización es el eslabón más débil en el mantenimiento de
la seguridad de la información, por lo que debe tenerse en cuenta en el proceso de
mejoramiento del sistema de seguridad.
Los niveles de competencia del talento humano juegan un papel importante dentro del
entrenamiento, ya que con esta clasificación se obtienen mejores resultados en el
momento de proveer conocimiento y que este sea captado correctamente.
Para tener una mayor aceptabilidad del entrenamiento en el talento humano, es preciso
realizar procesos de motivación que mejoren sus niveles de sensibilidad hacia la
seguridad de la información.
El diseño de un entrenamiento donde se fomente el auto aprendizaje y la colaboración,
facilita la distribución de información, el mantenimiento y éxito en el logro de los
objetivos que tiene una organización para conseguir tener su información segura.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 73
11. Trabajos futuros
Dentro de esta guía podrían agregarse temas de seguridad informática en términos técnicos y
forenses, auditoria para la seguridad de la información de las organizaciones, evaluaciones
aplicables para cada nivel de madurez y aumentar el énfasis en gestión del conocimiento.
Sería interesante aplicar la guía en una organización donde el nivel de seguridad fuera inexistente o
inicial, para monitorear los resultados obtenidos al seguirla paso a paso.
Se debe incluir un análisis inicial en la organización para definir la necesidad de capacitación y
entrenamiento del talento humano en seguridad de la información dentro de la organización.
Realizar una definición de indicadores formales para cada uno de los procesos y evaluaciones que
se llevan a cabo dentro del entrenamiento en seguridad de la información.
Ingeniería de Sistemas CIS0910SD04
Página 74
12. Bibliografía
[1] NTC-ISO-IEC 27001, “Norma Técnica Colombiana”, ICONTEC, 2006.
[2] IT Governance Institute, “CobiT 4.1”, 2007.
[3] Software Engineering Institut, “CMMI Services Versión 1.2”, SEI, 2009. [Online].
Disponible en: http://www.sei.cmu.edu/cmmi/.
[4] ISM3, Mayo 2009. [Online]. Disponible en: http://www.ism3.com/.
[5] R. Castillo, A. Di Mare, V. Díaz y H. Díez, “Concientización en seguridad de la
información”, Administración de la Seguridad Informática, Facultad de Ingeniería,
Departamento de sistemas y computación, Universidad de los Andes, Jul-Dic 2004.
[6] J. Fernández. Gestión por competencias: Un modelo estratégico para la dirección de
Recursos Humano. Prentice Hall, 2005.
[7] Check Point Software Technologies Ltd. "La seguridad de la información como activador
empresarial", Deloitte & Touche, 2003.
[8] Portal de ISO 27000, iso27000, Mayo 2009. [Online]. Disponible en:
http://www.iso27000.es/sgsi.html.
[9] W. Hubbard, “Methods and Techniques of Implementing a Security Awareness Program”,
SANS Institute, Abril 2002.
[10] E. Van Den Berghe. Gestión y Gerencia Empresariales aplicadas al siglo XXI. ECOE
Ediciones, 2005.
[11]Ministerio de Comercio Industrial y Turístico, Colombia, “Ley 590 de 2000”, Septiembre
2009. [Online]. Disponible en: http://www.mincomercio.gov.co/
[12] A. Bruce y J. S. Pepitone. Tenga a su equipo motivado. McGraw-Hill Profesional, 2002
[13] Diccionario de la Lengua Española, Real Academia Española, Mayo 2009, [Online].
Disponible en: http://buscon.rae.es/draeI/.
[14] V. Aceituno. Seguridad de la Información: Expectativas, Riesgos y técnicas de protección.
Creaciones Copyright, 2004.
[15] M. C. Lizaraso, “El papel de los recursos humanos en la supervivencia y competitividad de
la empresa”, Tesis Pontificia Universidad Javeriana, 1999.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 75
[16] G. Estrada. La riqueza de la información: Generación de capital intelectual mediante la
tecnología de información. Cargraphics, 1998.
[17] A. Calder. Nueve Claves para el éxito. ICONTEC, 2005.
[18] I. Martin, “Retos de la comunicación corporativa en la sociedad del conocimiento: de la
gestión de información a la creación de conocimiento organizacional”, Signo y Pensamiento
pp.51 vol. 26, Revista Facultada de comunicación y lenguaje Pontificia Universidad Javeriana
Bogotá y Facultada de comunicación y lenguaje Pontificia Universidad Javeriana Cali, Jul-Dic
2007.
[19] R. P. Reid, “Waging Public Relations: A Cornerstone of Fourth-Generation Warfare”,
Journal of Information Warfare, 2002.
[20] D. Martinez, “El valor de la información”, Departamento de control de registros, SRT,
Buenos Aires, Argentina, Octubre 2002.
[21] NTC-ISO-IEC 27002, “Norma Técnica Colombiana”, ICONTEC, 2005.
[22] W. Arens. Publicidad. 7ma. Ed. México: McGraw-Hill, 2000.
[23] O. Aprile. La publicidad puesta al día. 1ra. Ed. Buenos Aires - Argentina: La Crujía
Ediciones, 2003.
[24] D. Parra y C. Herrera. La publicidad no es solo para ricos. Ed. España: McGraw-Hill,
2003.
[25] H. Aebli. Doce formas básicas de enseñar: una didáctica basada en la psicología. Ed.
España: Narcea, 2002. [Online]. Disponible en:
http://books.google.com.co/books?id=ab_aKHQ-
iEwC&printsec=frontcover#v=onepage&q=&f=false.
[26] J.M. Serrano. “El aprendizaje cooperativo,” en Psicología de la Instrucción I. Variables y
procesos básicos. Ed. Madrid: Editorial Síntesis, S.A. 1996. [Online]. Disponible en:
http://74.125.155.132/scholar?q=cache:xdZhDeTpURUJ:scholar.google.com/+metodolog%C3
%ADas+de+aprendizaje&hl=es.
[27] M. Ruiz. Oratorianet, Autoayuda y asesoramiento personalizado en oratoria por Internet,
“¿Qué es una conferencia?,” Noviembre 2009. [Online]. Disponible en:
http://www.oratorianet.com/rsp/Index/Index_CONFERENCIAS.html.
[28] C. Hernández. Manual de creatividad publicitaria. Ed. España. Síntesis, 2004.
[29] M. García. Las claves de la publicidad. 5ta. Ed. Madrid-España. ESIC, 2001.
[30] A. Lucas. “La formación para la participación y la comunicación en las organizaciones,”
Revista española de investigaciones sociológicas, no. 77-78, pp. 263-280, Enero-Junio 1997.
[Online]. Disponible en: http://www.reis.cis.es/REISWeb/PDF/REIS_077_078_15.pdf.
Ingeniería de Sistemas CIS0910SD04
Página 76
[31] Slideshare Present yourself, “Formato evaluación del desempeño”, Noviembre 2009.
[Online]. Disponible en: http://www.slideshare.net/adrysilvav/formato-evaluacion-del-
desempeo.
[32] Instituto Politécnico Cristo Rey, Imagen Motivación, Noviembre 2009. [Online].
Disponible en: http://cristoreyvalladolid.files.wordpress.com/2009/10/motivacion-32.gif.
[33] Centro de investigación, Imagen Motivación, Noviembre 2009. [Online]. Disponible en:
http://www.grupoeducare.com/blog/UserFiles/Image/Intellectus/motivar.jpg.
[34] M. Visconti, P. Antimán y P. Rojas, “Experiencia con un modelo de madurez para el
mejoramiento del proceso de aseguramiento de calidad de software”, Departamento de
informática Universidad Técnica Federico Santa María, 1997. [Online]. Disponible en:
http://www.inf.utfsm.cl/~visconti/papers/papersqa1997.pdf.
Pontificia Universidad Javeriana Memoria de Trabajo de Grado – Proyecto de Investigación
Página 77
13. Anexos
Anexo A. Glosario
Anexo B. Evaluación a la guía por experto
Anexo C. Actas de reunión
Anexo D. Evaluación a la guía por experto
Anexo E. Evaluación a la guía por experto
Anexo 1. Modelo de madurez en seguridad de la información (MMSI)
Anexo 2. Evaluación MMSI
Anexo 3. División de audiencias
Anexo 4. Diseño del entrenamiento
Anexo 5. Evaluación